获取父进程路径

最新推荐文章于 2023-06-29 10:01:00 发布
最新推荐文章于 2023-06-29 10:01:00 发布
阅读量596 收藏
点赞数
分类专栏: C/C++ 文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuqi7/article/details/119973967
版权

获取父进程路径

获取父进程路径,可用于反沙箱

#include <Windows.h>
#include <tlhelp32.h>
#include <stdio.h>

DWORD GetParentPID(DWORD pid)
{
	DWORD ppid = 0;
	PROCESSENTRY32W processEntry = { 0 };
	processEntry.dwSize = sizeof(PROCESSENTRY32W);
	HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	if (Process32FirstW(hSnapshot, &processEntry))
	{
		do
		{
			if (processEntry.th32ProcessID == pid)
			{
				ppid = processEntry.th32ParentProcessID;
				break;
			}
		} while (Process32NextW(hSnapshot, &processEntry));
	}
	CloseHandle(hSnapshot);
	return ppid;
}

int main() {
	DWORD parentPid = GetParentPID(GetCurrentProcessId());
	WCHAR parentName[MAX_PATH + 1];
	DWORD dwParentName = MAX_PATH;
	HANDLE hParent = OpenProcess(PROCESS_QUERY_INFORMATION, FALSE, parentPid);
	QueryFullProcessImageNameW(hParent, 0, parentName, &dwParentName); // another way to get process name is to use 'Toolhelp32Snapshot'
	//CharUpperW(parentName);
	wprintf(L"parentName: %ls\n", parentName);
	if (!wcsstr(parentName, L"explorer.exe")) {
		wprintf_s(L"Do nothing.\n");
		//return;
	} else
		wprintf_s(L"Now hacking...\n");

	getchar();
	return 0;
}

由于QueryFullProcessImageNameW只支持Windows Vista及以上的系统,所以用GetProcessImageFileNameW换一下以兼容xp:

#include <Windows.h>
#include <tlhelp32.h>
#include <psapi.h>
#include <stdio.h>
#pragma comment(lib,"Psapi.lib")

DWORD GetParentPID(DWORD pid)
{
	DWORD ppid = 0;
	PROCESSENTRY32W processEntry = { 0 };
	processEntry.dwSize = sizeof(PROCESSENTRY32W);
	HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	if (Process32FirstW(hSnapshot, &processEntry))
	{
		do
		{
			if (processEntry.th32ProcessID == pid)
			{
				ppid = processEntry.th32ParentProcessID;
				break;
			}
		} while (Process32NextW(hSnapshot, &processEntry));
	}
	CloseHandle(hSnapshot);
	return ppid;
}

int main() {
	DWORD parentPid = GetParentPID(GetCurrentProcessId());
	WCHAR parentName[MAX_PATH + 1];
	DWORD dwParentName = MAX_PATH;
	HANDLE hParent = OpenProcess(PROCESS_QUERY_INFORMATION, FALSE, parentPid);
	GetProcessImageFileNameW(hParent, parentName, dwParentName); // another way to get process name is to use 'Toolhelp32Snapshot'
	//CharUpperW(parentName);
	wprintf(L"parentName: %ls\n", parentName);
	if (!wcsstr(parentName, L"explorer.exe")) {
		wprintf_s(L"Do nothing.\n");
		//return;
	}
	else
		wprintf_s(L"Now hacking...\n");

	getchar();
	return 0;
}

当然也是可以用2次CreateToolhelp32Snapshot来兼容xp的:

#include <Windows.h>
#include <tlhelp32.h>
#include <stdio.h>

DWORD GetParentPID(DWORD pid)
{
	DWORD ppid = 0;
	PROCESSENTRY32W processEntry = { 0 };
	processEntry.dwSize = sizeof(PROCESSENTRY32W);
	HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	if (Process32FirstW(hSnapshot, &processEntry))
	{
		do
		{
			if (processEntry.th32ProcessID == pid)
			{
				ppid = processEntry.th32ParentProcessID;
				break;
			}
		} while (Process32NextW(hSnapshot, &processEntry));
	}
	CloseHandle(hSnapshot);
	return ppid;
}

int main() {
	bool bDebugged = false;
	DWORD dwParentProcessId = GetParentPID(GetCurrentProcessId());

	PROCESSENTRY32 ProcessEntry = { 0 };
	ProcessEntry.dwSize = sizeof(PROCESSENTRY32W);

	HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	if (Process32First(hSnapshot, &ProcessEntry))
	{
		do
		{
			if ((ProcessEntry.th32ProcessID == dwParentProcessId))
			{
				wprintf(L"parentName: %ls\n", ProcessEntry.szExeFile);
				if (!wcsstr(ProcessEntry.szExeFile, L"explorer.exe")) {
					bDebugged = true;
					break;
				}
			}
		} while (Process32Next(hSnapshot, &ProcessEntry));
	}

	CloseHandle(hSnapshot);

	if (bDebugged) {
		wprintf_s(L"Do nothing.\n");
		//return;
	}
	else
		wprintf_s(L"Now hacking...\n");

	getchar();
	return 0;
}

原链接:

  1. https://0xpat.github.io/Malware_development_part_2/
  2. https://bbs.pediy.com/thread-268528.htm

2021/4/20

xuqi7
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows上获取进程的一种简单方法
murasakii的博客
01-30 2091
Windows平台简单获取进程的PID和进程
获取当前进程进程并且结束进程
秋月的私语
09-05 858
最近碰到一个需求,需要结束当前进程进程id并且结束进程,经过搜索,结合网上共享的代码,得到了解决方案。特此分享代码,初步测试成功。
在.Net中,如何获得一个进程进程
weixin_30672019的博客
01-27 143
一个简单的方法: var performanceCounter = new PerformanceCounter("Process", "Creating Process ID", "Child Process Name"); return Process.GetProcessById((int)performanceCounter.NextValue()); 这个方法哪里都好,就是...
C#获得进程PID编号的完整源源码
weixin_34191845的博客
01-17 1170
将内容过程中比较重要的一些内容片段做个记录,如下内容段是关于C#获得进程PID编号的完整源的内容,应该能对大伙有一些用途。using System; using System.Diagnostics; namespace RobvanderWoude { class GetMyPID { static int Main( string[] args ) { #region C...
通过GetProcessImageFileName函数获取进程路径
热门推荐
陌路缘
04-24 2万+
由于函数GetModuleFileName() 和 函数GetModuleFileNameEx()都是通过PE文件头信息获取进程文件路径,所以它们只能工作于与调用进程相同位数的进程,比如:调用进程32位时,这两个函数只对32位进程有效,64位同理。所以在64位进程与32位进程并存的64位机器中,只能通过GetProcessImageFileName()函数获取进程的DOS文件路径
枚举电脑所有进程进程, 判断进程 根据进程获取进程路径函数 按进程ID取进程ID和路径th32ParentProces
最新发布
10-05
我们将主要关注两个核心知识点:一是按进程ID获取进程ID,二是按进程ID获取进程路径。 首先,我们需要理解Windows API(应用程序接口)在处理进程方面的功能。Windows API提供了一系列函数,如`CreateProcess`、`...
易语言检测进程
07-22
3. 调用ZwQueryInformationProcess获取进程ID。 4. 再次调用OpenProcess,用进程ID打开进程。 5. 调用GetProcessImageFileNameA获取进程名。 6. 关闭所有打开的进程句柄,释放资源。 在易语言的源码中,...
获取进程进程的Name、ID、Module
04-04
3. **获取进程ID**:获取进程ID稍微复杂一些,需要使用`NtQueryInformationProcess`函数,获取`ProcessBasicInformation`结构体,其中包含了进程ID。 ```c++ HANDLE hProcess = OpenProcess(PROCESS_QUERY_...
linux根据进程号PID查找启动程序的全路径
09-14
如果程序是僵死状态(僵尸进程),通常意味着它已经完成主要工作,但进程尚未关闭它。这种情况下,可能需要通过`kill`或`pkill`命令结束进程,或者找到并移除引起问题的冗余或垃圾程序。 在某些情况下,直接删除...
Python使用psutil获取进程信息的例子
09-18
- `parents()`:返回进程的整个进程链。 - `status()`:返回进程的状态,如'running'、'sleeping'等。 - `username()`:返回进程所有者的用户名。 - `create_time()`:返回进程创建的时间戳。 - `terminal()`:...
.NET基础示例系列之十六:制做进程监视器
weixin_33858249的博客
03-20 182
1)可以查看进程的各项基本信息,如cpu,内存,进程,执行路径,创建者等 2)可以中止进程,创建新进程 3)可以配置目标进程,配置刷新速度 最终效果图:   (以下给出部分代码,其余像进程的创建、中止等,使用process类将很容易实现) 1)使用wmi获取进程id,进程创建者 (注意,使用wmi获得的内容,不宜循环刷新,这样代价比较大) 添加命名空间: using ...
进程控制(2)
weixin_30732825的博客
06-20 132
6.执行新程序 在用fork或vfork创建子进程以后,子进程通常会调用exec函数来执行另一个程序。系统用exec用于执行一个可执行程序用于执行一个可执行程序以代替当前进程的执行映像。 先了解下什么是环境变量 argc、argv之前了解过,argc是命令行参数的个数,argv是字符串数组,其中保存着命令行参数envp是环境变量的值,我们可以通过一个例子了解下。 //env....
在.NET中,如何查找一个进程进程
weixin_30614587的博客
12-07 115
最简单的方式: var performanceCounter = new PerformanceCounter("Process", "Creating Process ID", "Child Process Name"); 不过这种方式有个很严重的问题就是效率。在我的测试机上,创建PerformanceCounter的时间超过了1.5秒。如果效率对你很重要的话,你可以考虑PInvoke...
进程控制,进程
laugh哥的博客
11-08 668
进程号;进程0,1,2;进程获取相关函数;getpid,getppid,getuid,getgid;fork的进程进程的共享文件方式两种
C# 根据设备实例路径获取节点(系)的设备实例路径
log103628的博客
06-29 275
我们知道有时候系统的某些设备异常,可以通过(禁用启用)重启该设备。但是某些设备操作当前设备是没起作用的,例如扬声器设备,禁用后扬声器仍然可以播放声音,但是如果禁用了该设备的节点则不再可以播放声音。 可以从设备管理器中查看 这里就是节点 如果通过C#怎么获取该设备的系实例路径呢?可以使用以下方式 /// <summary>定位到设备节点</summary>...
oracle 10g 动态链接库,Win7安装Oracle10 无法定位程序输入点GetProcessImageFileNameW于动态链接库PSAPL.DLL上...
weixin_39844515的博客
04-15 221
1,首先到数据库的解压包database\stage\prereq\db中,找到refhost.xml,右键选择编辑,在文件里面找到5.2,添加6.1,保存(如图所见) 2,再找到database\install\oraparam.ini,右键选择编辑,在里面查找到[CertifiedVersions]#Youcancustomiseerrormessageshownforfai...
C#获取当前程序运行路径的方法集合
SIMON DOMAIN
07-24 677
//获取当前进程的完整路径,包含文件名(进程名)。 string str = this.GetType().Assembly.Location; result: X:\xxx\xxx\xxx.exe (.exe文件所在的目录+.exe文件名) //获取新的 Process 组件并将其与当前活动的进程关联的主模块的完整路径,包含文件名(进程名)。 string str = System.
windows获取可执行程序进程句柄
05-27
第五个参数指定进程是否继承进程的句柄,一般设置为 FALSE;第六个参数指定新进程的标志,例如是否新建控制台窗口等;第七个参数是环境变量指针,一般为 NULL;第八个参数是工作目录指针,可以为 NULL;第九个参数...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值