父进程检测

最新推荐文章于 2022-12-14 10:16:20 发布
最新推荐文章于 2022-12-14 10:16:20 发布
阅读量1.4k 收藏 2
点赞数 4
分类专栏: 检测 文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45806710/article/details/109711297
版权

启动方式一般有3种:
1,Explrer.exe(资源管理器启动)
2.cmd.exe(命令行启动)
3.Sercices.exe(系统服务)

还要防止用调试器打开软件

VOID ParentsTest()
{
	MyNtQueryInformationProcess pZwQueryInformationProcess;
	pZwQueryInformationProcess=(MyNtQueryInformationProcess)GetProcAddress(getModuleHan);
	PROCESS_BASIC_INFORMATION stBasicInfo={NULL};
	pZwQueryInformationProcess(GetCurrentProcess(),ProcessBasicInformation,&stBasicInfo);
	DWORD dwPid=TWHFindProcess(TEXT("explorer.exe"));
	if(dwPid!=stBasicInfo.InheritedFrowUniqueProcessId&&dwPid!=0)
	{
	MessageBoxA(0,"od启动",0,0);
	}

代码的意思是先将ZwQueryInformationProcess函数提取出来,在调用,判断进程是否由explorer启动的;如果不是,就证明被调用;
方法很多,需要一双善于发现玄机的眼睛;

Aaronpack
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
2014简单绕过某60进程查杀
落笔飞花笑百生的博客
04-27 1735
 ;落笔飞花笑百生 ;2014.12.9 ;过360进程一个弱弱的方法 ;过360启动项 .386 .model flat,stdcall option casemap:none include windows.inc includelib kernel32.lib include kernel32.inc include user32.inc include
检查进程是不是explorer
x
05-12 200
#include <iostream> #include <stdio.h> #include <stdlib.h> #include <Windows.h> #include <process.h> #include <Winternl.h> #include <Tlhelp32.h.> #include <tchar.h> using std::cout; using std::endl; DWO...
绕过360安全卫士的部分代码
liujiayu2的专栏
10-20 3816
利用快捷方式,由用户启动程序,进行绕过360进程查杀,代码记录于此处,方便查阅 [cpp] view plain copy int bypass_360_startup()   {       TCHAR str_desktop[256];       LPITEMIDLIST pidl;       SHGetSpecia
语言联邦-反杀进程的源码
qq_42531872的博客
12-14 113
C++ 查找进程、反杀进程的源码
操作系统---(15)进程与子进程
Fan的博客
03-24 8619
进程什么时候被创建 批作业调度 (操作系统创建用户进程) 交互作业提交 (操作系统创建用户进程) 系统提供服务 (操作系统创建系统进程) 用户程序创建子进程 (用户程序创建用户进程) 用户通过调用fork()函数实现 进程家族树 进程:执行过程中创建了其它进程进程进程:被进程创建的进程 子子进程… fork()函数说明 函数原型 pid_t fork(void) 该函...
易语言检测进程
07-22
本篇将详细探讨如何使用易语言来检测进程的名字,以及涉及到的相关技术如ZwQueryInformationProcess、OpenProcess、CloseHandle和GetProcessImageFileNameA。 首先,我们要理解“进程”和“子进程”的概念。在...
paraent.rar_delphi 进程_反检测源码_进程
09-20
在本文中,我们将深入探讨如何在Delphi中实现进程检测,尤其是检测当前进程是否为进程,以及这种技术在反启动检测中的应用。 首先,让我们了解什么是进程进程。在操作系统中,进程是程序执行时的一个实例,每...
易语言检测进程名源码-易语言
06-13
在易语言中,编写程序来检测进程的名字是一项常见的任务,这有助于理解程序的运行环境或者进行特定的安全检查。 在易语言中,检测进程名涉及的主要知识点包括: 1. **进程管理**:进程是操作系统中运行程序的...
VB-检测进程.rar
07-10
VB-检测进程检测进程进程是否是EXPLORE的进程,建立进程快照,搜索explorer.exe进程,并获得其ID,遍历第一个进程,获得PROCESSENTRY32结构,运行结果会告之是不是发现进程
WIN32程序获取进程ID的方法
09-04
这样,无论进程是正常退出还是异常终止,子进程都能检测到并相应地结束自身。 这个方法在x86和x64架构的Windows Server 2003及2008等平台上已被证实有效。需要注意的是,由于`NtQueryInformationProcess()`是未...
关于进程和子进程的关系(UAC 绕过思路)
weixin_34288121的博客
04-14 919
      表面上看。在windows中。假设是a进程创建了b进程,那么a进程就是b进程进程。反之,假设是b创建了a,那么b进程就是a的进程,这是在windows出现以来一直是程序员们都证实的,可是在在win Vista后面有了一个新安全消息机制。UAC(user account control),这里科普下UAC的功能,事实上UAC就是大家常见的安装软件或者启动程序的时候的出现的全...
linux系统编程之进程(六):进程查询子进程的退出,wait,waitpid
diehuojiang5959的博客
07-13 826
本节目标: 僵进程 SIGCHLD wait waitpid 一,僵尸进程 当一个子进程先于进程结束运行时,它与其进程之间的关联还会保持到进程也正常地结束运行,或者进程调用了wait才告终止。 子进程退出时,内核将子进程置为僵尸状态,这个进程称为僵尸进程,它只保留最小的一些内核数据结构,以便进程查询子进程的退出状态。 进程表中代表子进程的数据...
如何查看进程
厚积薄发
11-01 4473
进程PPID和子进程PID [root@silver-ion-ui ~]# ps lax|grep DevNode 0 0 5323 4487 20 0 4337768 437296 futex_ Sl ? 1:40 /root/installation/DSEngine/work/silver-ion-ui-0/tibcoConfigHome/ti...
vbs 获取当前运行脚本的路径_检测PID欺骗?
weixin_39553458的博客
11-19 300
用来检测异常活动的最有用的技术之一是对进程关系的分析,然而,技术更高明更强大的攻击者可以使用PID(PPID)欺骗来绕过此操作,从而允许从任意进程执行恶意进程。尽管这项技术本身并不新鲜,虽然Cobalt Strike和DidierStevens 对其进行了详细介绍,但在检测此类攻击方面进行的专门研究却很少。在本文中,我们将探讨该技术的工作原理以及防御者如何利用Windows事件跟...
windows 子进程获取进程方法
ningjingdemayi的专栏
09-11 6729
进程获取进程可以通过微软未公开的一个api实现 NTSTATUS WINAPI NtQueryInformationProcess( __in HANDLE ProcessHandle, __in PROCESSINFOCLASS ProcessInformationClass, __out PVOID ProcessInformation, __in ULONG ProcessIn
得到进程进程的另一种办法
03-22 1229
次贴的防止loader的办法中使用了NT中的native API,所以无法在Win9x/ME中使用。利用Win32提供的ToolHelp API,也可以得到一个进程进程的PID。Win9x/ME和Win2K/XP都支持ToolHelp API,但WinNT(3.51, 4.0)却不支持。  #include #include #include #include #pragm
操作系统 子进程进程所使用的函数详解
JxufeCarol的博客
03-21 473
一、fork() (1)linux c语言 fork() 和 exec 函数的简介和用法 https://www.cnblogs.com/dongguolei/p/8098181.html 二、wait() (1)Linux wait函数详解 https://www.cnblogs.com/zhanggaofeng/p/6073568.html 三、exec()函数族 (1)linux c语言 f...
linux环境 调用system()创建的进程检测进程是否退出
最新发布
05-26
在Linux环境下,可以通过获取进程ID(PPID)来检测进程是否退出。可以使用getppid()函数来获取当前进程进程ID,然后使用kill()函数向进程发送信号,如果返回值为0,则表示进程还在运行中;否则,表示进程已经退出。 以下是一个示例代码: ```c++ #include <unistd.h> #include <signal.h> #include <stdlib.h> #include <stdio.h> int main() { pid_t pid = fork(); if (pid == 0) { // 子进程 sleep(10); } else if (pid > 0) { // 进程 int status; sleep(1); if (getppid() == 1) { printf("Parent process exited\n"); exit(0); } kill(getppid(), 0); if (errno == ESRCH) { printf("Parent process exited\n"); exit(0); } } else { printf("Fork failed\n"); exit(1); } return 0; } ``` 在上面的示例中,进程首先调用getppid()函数获取其进程ID,然后使用kill()函数向进程发送信号0,来检测进程是否存在。如果进程不存在,则打印一条消息并退出程序。子进程则会休眠10秒钟,以便我们可以测试进程的退出情况。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Aaronpack

你的鼓励是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值