CreateProcessEx创建进程

最新推荐文章于 2023-09-13 13:45:04 发布
最新推荐文章于 2023-09-13 13:45:04 发布
阅读量1.3k 收藏
点赞数
原文链接:http://www.cnblogs.com/long123king/p/3937273.html
版权 
NTSYSCALLAPI
NTSTATUS
NTAPI
NtCreateProcess(
    OUT PHANDLE ProcessHandle,
    IN ACCESS_MASK DesiredAccess,
    IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL,
    IN HANDLE ParentProcess,
    IN BOOLEAN InheritObjectTable,
    IN HANDLE SectionHandle OPTIONAL,
    IN HANDLE DebugPort OPTIONAL,
    IN HANDLE ExceptionPort OPTIONAL
);

  

在这些参数里面,SectionHandle代表了可执行文件,因为对于System进程来说,不存在可执行文件,所以这里是optional,但是对于其他进程来说是必需的。

通过ObReferenceObjectByHandle来获取到SECTION_OBJECT的引用

//
// Section Object
//
typedef struct _SECTION_OBJECT
{
    PVOID StartingVa;
    PVOID EndingVa;
    PVOID LeftChild;
    PVOID RightChild;
    PSEGMENT_OBJECT Segment;
} SECTION_OBJECT, *PSECTION_OBJECT;

  

这里很奇怪,明明第5个成员类型是PSEGMENT_OBJECT,

//
// Segment Object
//
typedef struct _SEGMENT_OBJECT
{
    PVOID BaseAddress;
    ULONG TotalNumberOfPtes;
    LARGE_INTEGER SizeOfSegment;
    ULONG NonExtendedPtes;
    ULONG ImageCommitment;
    PCONTROL_AREA ControlArea;
    PSUBSECTION Subsection;
    PLARGE_CONTROL_AREA LargeControlArea;
    PMMSECTION_FLAGS MmSectionFlags;
    PMMSUBSECTION_FLAGS MmSubSectionFlags;
} SEGMENT_OBJECT, *PSEGMENT_OBJECT;

  

但是实际上却是

typedef struct _SEGMENT
{
    struct _CONTROL_AREA *ControlArea;
    ULONG TotalNumberOfPtes;
    ULONG NonExtendedPtes;
    ULONG Spare0;
    ULONGLONG SizeOfSegment;
    MMPTE SegmentPteTemplate;
    ULONG NumberOfCommittedPages;
    PMMEXTEND_INFO ExtendInfo;
    SEGMENT_FLAGS SegmentFlags;
    PVOID BasedAddress;
    union
    {
        SIZE_T ImageCommitment;
        PEPROCESS CreatingProcess;
    } u1;
    union
    {
        PSECTION_IMAGE_INFORMATION ImageInformation;
        PVOID FirstMappedVa;
    } u2;
    PMMPTE PrototypePte;
    MMPTE ThePtes[1];
} SEGMENT, *PSEGMENT;

  

//
// Control Area Structures
//
typedef struct _CONTROL_AREA
{
    PSEGMENT Segment;
    LIST_ENTRY DereferenceList;
    ULONG NumberOfSectionReferences;
    ULONG NumberOfPfnReferences;
    ULONG NumberOfMappedViews;
    ULONG NumberOfSystemCacheViews;
    ULONG NumberOfUserReferences;
    union
    {
        ULONG LongFlags;
        MMSECTION_FLAGS Flags;
    } u;
    PFILE_OBJECT FilePointer;
    PEVENT_COUNTER WaitingForDeletion;
    USHORT ModifiedWriteCount;
    USHORT FlushInProgressCount;
    ULONG WritableUserReferences;
    ULONG QuadwordPad;
} CONTROL_AREA, *PCONTROL_AREA;

  

最终我们终于找到了

PFILE_OBJECT FilePointer;

即SectionHandle是对应于哪个文件。

转载于:https://www.cnblogs.com/long123king/p/3937273.html

weixin_34174132
关注
未指定路径时,CreateProcess与ShellExecute(Ex) 查找路径之不同
我的专栏
10-30 2953
未指定路径时,CreateProcess与ShellExecute(Ex) 查找路径之不同   几天前碰上的一个比较细节的东西。调用CreateProcess时不指定全路径时(如:devenv.exe)就不成功(返回0),而同样是不带路径,开始-》运行(与ShellExecute 相当?我想)则完全OK,可以正常开户vs的开发环境。最后原因是——没有把devenv.exe所在的路径加入
CreateProcessEx(Mem: Pointer)
Avan_Lau的专栏
04-07 1829
type  TSections = array [0..0] of TImageSectionHeader;function GetAlignedSize(Size: dword; Alignment: dword): dword;begin  if ((Size mod Alignment) = 0) then    Result := Size;  else    Result := ((Si
hook zwcreateprocessex
Lassewang的成长历程
04-25 1688
extern "C" { #include } //#define dprintf if (DBG) DbgPrint #define dprintf DbgPrint #define DWORD unsigned long #define WORD unsigned short #define BOOL unsigned long #define BYTE unsigned char
【转】ZwCreateProcess
okmnji79513的专栏
08-27 1338
http://bbs.pediy.com/showthread.php?t=80403&highlight=%E9%A9%B1%E5%8A%A8+createprocess http://bbs.pediy.com/showthread.php?t=80179 http://hi.baidu.com/heartdbg/blog/item/eb9579deff2f0f5795ee37
webstrom运行nodejs文件出现CreateProcess failed with error 2
01-12 3276
1:首先:确定自己已经安装好了nodejs 2:然后查看控制窗里面报的具体的信息,我的具体信息如下: "D:\软件\webstorm\WebStorm 2017.2.5\bin\runnerw.exe" D:\node\node.exe "D:\文档\node test\hello.js" CreateProcess failed with error 2: Process finishe
madCodeHook.pas
04-16
// madCodeHook.pas version: 2.0 ? date: 2003-08-10 // ---------- // API hooking, code hooking // ---------- ...// ********** ...// 2001-04-16 1.2 new function CreateProcessEx -> dll injecting
使用Native API 创建进程
misterliwei的专栏
08-18 5477
<!--v/:* {behavior:url(#default#VML);}o/:* {behavior:url(#default#VML);}w/:* {behavior:url(#default#VML);}.shape {behavior:url(#default#VML);}--> Normal 0 7.8 磅 0 2
关于msdn中CreateProcess函数说明的注释
zzstack的专栏
11-20 1502
msdn中CreateProcess函数关于lpApplicationName参数的说明里面有这么一段话 The string can specify the full path and file name of the module to execute or it can specify a partial name. In the case of a partial name, the
通过Hook ZwCreateProcess获取进程全路径(缓存问题解决方案)
博客模版
06-01 2565
环境:WinXP 我们在拦截进程启动时,会去拦截ZwCreateProcess函数,然后在中间获取启动进程的了全路径,判断进程是否合法。 首先看下ZwCreateProcess函数的原型如下: 其中我们主要是利用SectionHandle参数,通过ObReferenceObjectByHandle获取文件对象,然后再利用ObQueryNameString函数进行刷新文件名缓存
windows核心编程-CreateProcess创建进程
qq_22423659的博客
11-25 1117
一、CreateProcess BOOL WINAPI CreateProcess( _In_opt_    LPCTSTR               lpApplicationName, //可执行文件的文件名 _Inout_opt_ LPTSTR                lpCommandLine, //命令行字符串,长度最大可以达到32768个字符 _I
zwCreateProcess获得目标进程
trents的专栏
02-13 3073
参数KeyHandle 为SectionHandle。 解决了文件名因为缓冲机制导致的修改文件名,但获得的文件名是老名的问题。 有两种文件对象控制区域,DataSection 和 ImageSection ImageSection :文件映像,进程退出时没被释放,而被放到空闲内存区域,以被重用 DataSection   :  数据副本, 进程退出,被释放 在获得文件对象方法中,
Windows内核--CreateProcess到内核NtCreateProcess(2.3)
编程语言技巧经验分享
11-19 1651
应用程序调用CreateProcess到内核执行NtCreateProcess究竟做了什么?
关于Windows创建进程的过程
aijuzhou1959的博客
03-11 705
之前有听到别人的面试题是问系统创建进程的具体过程是什么,首先想到的是CreateProcess,但是对于具体过程却不是很清楚,今天整理一下。 从操作系统的角度来说 创建进程步骤: 1.申请进程块 2.为进程分配内存资源 3.初始化进程块 4.将进程块链入就绪队列 课本上的知识。。。 从CreateProce...
CreateProcess进程创建的内核跟踪分析
zjw1989
09-12 1010
<br />*[标题]:CreateProcess进程创建的内核跟踪分析<br />*[作者]:gz1X [gz1x(at)tom(dot)com]<br />*[来自]:中国黑客联盟 [CHU]<br /><br />    <br />*[正文]:<br /><br /><br />[实现流程]<br />——————————————————————<br />1.打开需要执行的文件(.exe);<br />2.创建执行体进程对象; //<-------重点<br />3.创建初始线程; /
NtCreateUserProcess 初探与玩法
最新发布
stopys6的博客
09-13 302
/要注意的是我们每添加一个新属性,都需要将PS_ATTRIBUTE增大,因为调用RtlAllocateHeap要为PS_ATTRIBUTE分配足够的内存空间最后NtCreateUserProcess其实很多CreateProcess的项目,就比如ppid也有用CreateProcess写的,都可以加以改变改成用NtCreateUserProcess操作的,就可以把一个很简单的被查杀CreateProcess进行一个免杀保护了。(当然也不是都能改的具体情况具体分析)
windows内核情景分析---进程线程
maomao171314的专栏
04-04 3350
本篇主要讲述进程的启动过程、线程的调度与切换、进程挂靠 进程的启动过程: BOOL CreateProcess (   LPCTSTR lpApplicationName,                 //   LPTSTR lpCommandLine,                      // command line string   LPSECURITY_ATTRIBU
内核和用户模式下进程与线程创建
寻梦&之璐
02-04 2567
内核模式下进程与线程的创建 进程创建 在内核模式中,一个进程创建是从函数NtCreateProcess开始的。该函数位于文件ntosrnl.exe中,该文件位于%windir%\system32.它对用户传进的部分参数进行简单处理,然后交给函数NtCreateProcessEx NTSTATUS NtCreateProcessEx( __out PHANDLE ProcessHandle, //返回进程句柄 __in ACCESS_MASK DesiredAccess,
19.VC(custom)-CreateProcess函数详解
热门推荐
hgy413的专栏
02-22 2万+
CreateProcess 说明: WIN32API函数CreateProcess用来创建一个新的进程和它的主线程,这个新进程运行指定的可执行文件。 函数原型: BOOL CreateProcess ( LPCTSTR lpApplicationName, LPTSTR lpCommandLine, LPSECURITY_ATTRIBUTES lpProcessAttributes。 LPSECURITY_ATTRIBUT
http://www.cr173.com/html/11519_1.html CreateProcess详解
05-05 7395
函数原型  BOOL CreateProcess   (   LPCTSTR lpApplicationName,   LPTSTR lpCommandLine,   LPSECURITY_ATTRIBUTES lpProcessAttributes。   LPSECURITY_ATTRIBUTES lpThreadAttributes,   BO
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值