【API】检查进程是否存在 - CreateToolhelp32Snapshot

最新推荐文章于 2023-05-09 13:44:38 发布
最新推荐文章于 2023-05-09 13:44:38 发布
阅读量283 收藏
点赞数
文章标签: 操作系统 c/c++
原文链接:http://www.cnblogs.com/17bdw/p/6725846.html
版权

1 学习目标

今天静态逆向mydocument病毒时,看到病毒代码为了防止自身被调试会先检测杀毒软件和调试工具的进程是否存在。如果没有杀毒软件则释放真正的病毒文件,提前熟悉一下枚举进程的反汇编代码。

2 编程思路

2.1 代码原理

这是一段检测指定进程是否存在的代码,使用CreateToolhelp32Snapshot这个API获取进程信息。然后对比有没有杀毒软件的进程。

2.2 编写思路

将这几个功能封装成一个函数。

  • 1、 定义TCHAR数组,数组中存放要检测的进程名
  • 2、获取进程信息
  • 3、遍历进程名
  • 4、对比是否存在指定的进程名

如果检测到有相关的进程名,函数返回值为TRUE,否则为FALSE

3 参考文章

判断指定的进程或程序是否存在方法
http://blog.csdn.net/yeahhook/article/details/6942414

Anti-Debug之父进程检测以及根据进程名检测
http://www.52pojie.cn/thread-193804-1-1.html

4 实现流程

4.1 编程环境

操作系统:windows 7

编译器版本:vs 2010

4.2 前置API函数

// 获取进程的快照以及堆,模块,这些进程和线程使用。
CreateToolhelp32Snapshot()

// 存放快照进程信息的一个结构体
PROCESSENTRY32

// Process32First是一个进程获取函数 ,利用process32First函数来获得第一个进程的句柄。
Process32First()

// Process32Next是一个进程获取函数,利用Process32Next函数来获得下一个进程的句柄。
Process32Next()

// 关闭句柄
CloseHandle()

4.3 C++代码

#include "stdafx.h"
#include <windows.h>
#include <tchar.h>
#include <TlHelp32.h>


BOOL EnumProcessName();
int main()
{
    if (EnumProcessName())
    {
        MessageBox(NULL, _T("检测到OD"), _T("结果"), MB_OK);
    }
    else
    {
        MessageBox(NULL, _T("没有检测到OD"), _T("结果"), MB_OK);
    }
    return 0;
}

BOOL EnumProcessName()
{
    TCHAR szOLLYDBG[] = _T("OLLYDBG.EXE");  //要检测的OD进程名
    TCHAR sz52[] = _T("吾爱破解.EXE");
    TCHAR szICey[] = _T("ICEYOD.EXE");
    TCHAR szODICE[] = _T("OLLYICE.EXE");
    TCHAR szWINDBG[] = _T("WINGUARD.EXE");
    TCHAR szTestQQ[] = _T("QQ.EXE"); //测试QQ进程是否存在

    PROCESSENTRY32 pe;
    pe.dwSize = sizeof(PROCESSENTRY32);

    HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    if (INVALID_HANDLE_VALUE == hSnap)
    {
        MessageBox(NULL, _T("创建进程失败"), _T("错误"), MB_ICONERROR);
        return FALSE;
    }
    if (Process32First(hSnap, &pe))
    {
        do
        {
            if (lstrcmpi(szOLLYDBG, pe.szExeFile) == 0 ||
                lstrcmpi(sz52, pe.szExeFile) == 0 ||
                lstrcmpi(szICey, pe.szExeFile) == 0 ||
                lstrcmpi(szODICE, pe.szExeFile) == 0 ||
                lstrcmpi(szWINDBG, pe.szExeFile) == 0||
                lstrcmpi(szTestQQ, pe.szExeFile) == 0)
            {
                return TRUE;
            }
        } while (Process32Next(hSnap, &pe));
    }
    CloseHandle(hSnap);
    return FALSE; //其余都返回FALSE
}

运行截图

549050-20170418010635431-205628125.png

转载于:https://www.cnblogs.com/17bdw/p/6725846.html

weixin_30825581
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows查找进程winAPI-CreateToolhelp32Snapshot
super_bert的专栏
05-19 1130
//根据进程名获取进程ID DWORD GetPidByProcessName(TCHAR *pProcess) { HANDLE hSnapshot; PROCESSENTRY32 lppe; //创建系统快照 hSnapshot = ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, NULL); //#inc
易语言API判断进程是否存在源码
04-09
易语言API判断进程是否存在 完全API写法
FindWindow(api)确认程序是否在运行
weixin_34360651的博客
05-29 196
HWND hWnd =::FindWindow(NULL,"计算器"); //得到窗口句柄 HWND FindWindow(          LPCTSTR lpClassName,     LPCTSTR lpWindowName ); lpWindowName [in] Pointer to a null-terminated string that specifies the w...
根据内存判断指定程序运行个数(GlobalMemoryStatus,CreateToolhelp32Snapshot函数)
weixin_30919235的博客
06-17 69
最近碰到一个比较郁闷的事情,我们公司一个地方的电脑非常烂,烂到只能装98系统内存128M,刚好操作电脑的人又是一个老太婆不怎么会用鼠标,有时候点点点,就点出N个程序导致直接死机。。 解决方法,根据GlobalMemoryStatus判断物理内存大小 用CreateToolhelp32Snapshot历遍系统运行的进程和线程 procedure Tf...
windows检测进程是否存在?强制杀死进程
qq_40135848的博客
05-09 511
windows 进程检测,杀死进程
VB调用系统API函数---CreateToolhelp32Snapshot函数.pdf
09-30
`CreateToolhelp32Snapshot`函数是Windows API的一部分,它允许开发者获取系统中进程和线程的快照。该函数位于`kernel32.dll`库中,声明如下: ```vb Private Declare Function CreateToolhelp32Snapshot Lib ...
C++基于CreateToolhelp32Snapshot获取系统进程实例
09-04
`CreateToolhelp32Snapshot`是Windows API中的一个函数,用于创建一个系统状态的快照,其中包括进程、线程、模块等信息。在这个例子中,我们关注的是进程信息。该函数接受两个参数: - `dwFlags`:标志位,用于...
易语言API检测进程是否存在
07-21
易语言API检测进程是否存在源码,API检测进程是否存在,进程是否存在,CreateToolhelp32Snapshot,Process32First,Process32Next,CloseHandle,OpenProcess
CreateToolhelp32SnapshotForModule.zip_进程模块
09-22
在Windows操作系统中,`CreateToolhelp32Snapshot`是一个重要的系统API函数,它允许开发者获取当前系统中的进程和线程的快照信息。这个函数被广泛用于系统监控、调试和其他需要遍历进程或线程信息的场景。在这个特定...
判断进程是否存在
07-14
首先,我们需要了解"置列"、"取模块路径"、"进程是否存在"、"CreateToolhelp32Snapshot"和"Module32First"这些概念。 1. **置列**:在编程中,"置列"可能指的是设置数据结构(如数组或列表)中的元素。在这个场景中...
windows判断进程是否存在脚本
热门推荐
duanbeibei的专栏
11-20 1万+
@echo off set Program="E:\\work\\debug\\hello.exe" tasklist -v | findstr %Program% > NUL if ErrorLevel 1 ( echo "进程不存在" ) else ( echo "进程存在" )
判断某个进程(例如.exe)是否存在,存在则关闭
angellove156的专栏
07-09 971
#include #include      PROCESSENTRY32 pe32;    pe32.dwSize = sizeof(pe32);      HANDLE hProcessSnap = ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);    if(hProcessSnap == INVALID_HANDLE
Windbg Preview调试分析CreateToolhelp32Snapshot
笔记本
06-03 3214
进程隐藏的时候并没有对CreateToolhelp32Snapshot进行Hook,而是Hook了ZwQuerySystemInformation,写了一个调用CreateToolhelp32Snapshot显示进程的小程序,分析一下,顺便了解下Windbg Preview怎么用. 1. 应用商店搜索Windbg Preview下载,界面比原来的版本好看很多,而且也有更多地功能区,各种方便,推...
C++判断进程是否存在
字节跳动
03-10 1142
判断进程是否存在 一 方法 CreateToolhelp32Snapshot -> 获取进程列表 Process32First -> 获取列表第一个实体 Process32Next -> 获取列表下一个实体 二 实现 bool IsProcessExist(DWORD process_id) { bool bExist = false; HANDLE hSnapShot ...
Windows进程和线程常用API
weixin_43488671的博客
05-23 1257
文章目录GetModuleFileNameA 获取一个可执行文件或DLL文件的位置GetCommandLine 获取指向当前进程命令行的指针GetEnvironmentStrings 获取完整环境块GetCurrentDirectory 获取当前进程所在的目录CreateProcess 创建一个进程获取当前进程ID GetModuleFileNameA 获取一个可执行文件或DLL文件的位置 DWORD GetModuleFileNameA(HMDULE hModule,LPSTR lpFilename,D
createtoolhelp32snapshot用法
最新发布
08-05
createtoolhelp32snapshot是Windows API中的一个函数,用于创建一个系统进程和模块的快照。它的具体用法是通过调用该函数并传递一个指向PROCESSENTRY32结构的指针来创建快照。这个结构体包含有关进程的信息,例如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值