以挂起的方式创建进程

最新推荐文章于 2024-04-08 11:29:24 发布
最新推荐文章于 2024-04-08 11:29:24 发布
阅读量2.7k 收藏 3
点赞数
分类专栏: Windows编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zmmycsdn/article/details/79415515
版权 
BOOL CreateProcess(  
    LPCTSTR lpApplicationName,                 // name of executable module  
    LPTSTR lpCommandLine,                      // command line string  
    LPSECURITY_ATTRIBUTES lpProcessAttributes, // SD  
    LPSECURITY_ATTRIBUTES lpThreadAttributes,  // SD  
    BOOL bInheritHandles,                      // handle inheritance option  
    DWORD dwCreationFlags,                     // creation flags  
    LPVOID lpEnvironment,                      // new environment block  
    LPCTSTR lpCurrentDirectory,                // current directory name  
    LPSTARTUPINFO lpStartupInfo,               // startup information  
    LPPROCESS_INFORMATION lpProcessInformation // process information  

DWORD dwCreationFlags
//此参数指定创建进程的方式,CREATE_NEW_CONSOLE(创建控制台)或者NULL;
//如果创建子进程时设为NULL,则子进程没有控制台,而使用父进程的控制台
//CREATE_SUSPENDED 以挂起的方式创建进程

如果以CREATE_SUSPENDED 以挂起的方式创建进程,系统只会分配4G空间,而不会执行拉伸等后续操作,此时可以就可以对这个空间做一些你懂的事情。
STARTUPINFO ie_si = {0};   								
PROCESS_INFORMATION ie_pi;								
ie_si.cb = sizeof(ie_si);								
								
TCHAR szBuffer[256] = "C:\\notepad.exe";								
CreateProcess(								
	NULL,                  							
	szBuffer,                							
	NULL, 							
	NULL,  							
	FALSE,                   							
	CREATE_SUSPENDED,     							
	NULL,                    							
	NULL,                    							
	&ie_si,                  							
	&ie_pi                  							
	);							
								
//恢复执行								
ResumeThread(ie_pi.hThread);								
																								
2、以挂起的方式创建进程,获取进程的ImageBase和AddressOfEntryPoint								
								
STARTUPINFO ie_si = {0};   								
PROCESS_INFORMATION ie_pi;								
ie_si.cb = sizeof(ie_si);								
								
//以挂起的方式创建进程								
TCHAR szBuffer[256] = "C:\\ipmsg.exe";								
CreateProcess(								
	NULL,                    // name of executable module							
	szBuffer,                // command line string							
	NULL, 					 // SD		
	NULL,  		             // SD					
	FALSE,                   // handle inheritance option							
	CREATE_SUSPENDED,     	 // creation flags  						
	NULL,                    // new environment block							
	NULL,                    // current directory name							
	&ie_si,                  // startup information							
	&ie_pi                   // process information							
	);							
								
								
CONTEXT contx;  								
contx.ContextFlags = CONTEXT_FULL;  								
								
								
GetThreadContext(ie_pi.hThread, &contx);								
								
//获取入口点								
DWORD dwEntryPoint = contx.Eax;								
								
//获取ImageBase								
char* baseAddress = (CHAR *) contx.Ebx+8;								
								
memset(szBuffer,0,256);								
								
ReadProcessMemory(ie_pi.hProcess,baseAddress,szBuffer,4,NULL);								
								
								
ResumeThread(ie_pi.hThread);

zmmycsdn
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
进程及控制
冲鸭^
09-04 120
一、进程 程序的执行 顺序执行 并发执行(宏观上并行,微观上串行) 特点: (1)间断性(异步性) (2)失去封闭性:共享资源,受其他程序的控制逻辑影响 ,从而失去独立运行的封闭性。 (3)失去可在现性 进程的定义 进程是程序的一次执行活动。 进程的特性 动态性(创建-运行-消亡,就绪阻塞状态等) 独立性:各进程的地址空间互相独立。 并发性 异步性 结构化: 进程=代码段+数据段...
c++中进程
ghevinn欢迎您光临
10-31 6508
NtTerminateProcess 、NtResumeProcess 、NtSuspendProcess 这三个函数是微软内核api 可以在线查询 *++ Module Name: NtSuspendProcess.cpp Abstract: This utility [Suspend|Resume] processes. Author: Michael Wookey 6-Jun-2003
C++多线程编程(2)进程
SzMing
11-14 1272
进程   1.进程:程序被装载到内存中并准备执行。进程具备文本、数据、堆栈片段以及他们的资源。资源可以是文件、对象句柄、设备、信号量、互斥量、管道等等。操作系统管理进程及它的资源。信息保存于进程控制块或进程信息块的系统结构中,用户通过函数调用或访问数据结构即可使用此结构中包含的信息。 每个进程都有一个初始优先权。进程属性包含保存在进程信息块中部分或全部信息以及与信号、I/O和虚拟
进程起,等待和退出(wait,waitpid,exit,_exit,atexit 等函数)
最新发布
BEIFEN13的博客
04-08 1014
​ 大家好,这里是小缺,一名对嵌入式软件开发充满热情的探索者。这一篇文章主要内容是带大家了解进程起,等待,退出等操作。包括wait,waitpid,exit,_exit,atexit 等函数 ​
【语言-C++】C++、C 创建进程
少莫千华
08-08 4258
#include #include struct ProcessType { DWORD value[30]; }; void Init(ProcessType &pt) { pt.value[0] = DEBUG_PROCESS; pt.value[1] = DEBUG_ONLY_THIS_PROCESS; pt.value[2] = CREATE_SUSPENDED;//
起一个正在运行的进程
wu997630084的博客
10-08 1272
typedef LONG(NTAPI *NtSuspendProcess)(IN HANDLE ProcessHandle);  NtSuspendProcess pfnNtSuspendProcess = (NtSuspendProcess)GetProcAddress(   GetModuleHandle(L"ntdll"), "NtSuspendProcess");  pf
方式创建进程
hambaga的博客
07-02 3931
创建进程除了用 CREATE_NEW_CONSOLE,还可以用起的方式创建,CREATE_SUSPENDED // TestCreateSuspended.cpp : Defines the entry point for the console application. // 方式创建进程 #include "stdafx.h" #include <WINDOWS.H> int main(int argc, char* argv[]) { // 方式创建进程 STARTUPI
创建进程方式
weixin_45612333的博客
11-15 448
进程创建有一下四种方式: 基于fork的进程; 基于mutiprocess的金创创建; 自定义进程类; 进程创建进程。 四种进程创建的区别与联系: fork mutiprocess 自定义进程进程创建fork进程需要使用到:import os模块 创建mutiprocess需要使用:import mutiprocess中的Process模块 自定义进程类需要继承mu...
易语言进程
07-21
2. **CreateThread**: 虽然进程通常指的是起整个进程,但在这个上下文中,`CreateThread`可能用于创建附加线程,这些线程可能会被起或恢复。这个函数创建一个新的线程并在指定的进程中运行指定的函数。 3. ...
C#中进程起与恢复
08-31
在`ProcessMgr`类中,可以创建如下的方法来起和恢复进程: ```csharp [DllImport("ntdll.dll", SetLastError = true)] private static extern int NtSuspendProcess(IntPtr hProcess); [DllImport("ntdll....
创建进程进程注入
02-08
创建进程进程。注入。然后可以做你想做的事情,比如修改不了PE头和各种恶心自检的文件。源码纯API,函数命令不提供了。想使用的自己添加一下,保证可以使用,希望大家自己动手添加函数命令这样记的更深刻。
vc++进程 冻结进程
08-23
自定义了OpenThread函数,如果是VC6.0的不需要下载SDK了,权限很高可以起和恢复大多系统进程,丝毫不比如瑞星的差,哈哈,大家自己研究下~
Windows进程编程
12-06
(1)了解线程的概念 (2)了解进程的状态 (3)学习在程序中创建进程的方法 (4)学习在程序中结束进程的方法 (5)学习在程序中获取进程信息的方法 (6)学习进程间通信的方法
进程代码
01-18
进程 调用系统api,
1调度程序Scheduling.rar_进程
09-20
**进程**:在操作系统中,起是一种控制进程状态变化的操作,它将当前正在执行的进程暂停,将其从内存转移到外存,让出CPU资源给其他进程。这样做的好处包括释放内存、保存进程状态以便稍后恢复以及实现任务的...
易语言进程起源码.zip易语言项目例子源码下载
03-24
1. **进程管理**:易语言提供了一系列的系统调用和函数,如“创建进程”、“查找进程”和“进程”,用于对系统中的进程进行操作。在这个项目中,开发者可能使用了这些函数来获取目标进程并进行起操作。 2. **...
VC++定时检测进程,被检测进程掉后启动
ccf19881030的专栏
05-27 3972
应用场景 最近使用MFC写一个监控进程的后台程序,需要实现以下的功能: 1、遍历被监控的进程列表,定时(比如1分钟)检测进程列表,如果某个需要被监视的进程未运行,则启动它。 2、防止假死-使用心跳机制(UDP实现后台监控进程与被监控进程的心跳进制) a、被检测进程定时,比如说每隔5秒给后台监控进程发送一个包含进程名称、进程所在绝对路径、发送心跳的时间戳等信息,后台监控进程定时检测遍历每个进程,如果该进程连续3次如15秒没有给监控进程发送心跳包,则说明该进程因为异常情况比如假死了,监控进程则先杀掉该进程然后再
win32 判断进程状态(起/运行中)、用API起/恢复进程
不蚌埠!
08-09 3909
应用层判断进程是否起的多种方法和调用API NtSuspendProcess()进程
c++实现创建,销毁,起和激活记事本进程
03-28
起记事本进程: ``` #include #include int main() { HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, processId); if (hProcess == NULL) { printf("OpenProcess failed (%d).\n", ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值