挂起方式创建进程

最新推荐文章于 2021-05-17 22:45:04 发布
原创 最新推荐文章于 2021-05-17 22:45:04 发布 · 4.2k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了使用CREATE_SUSPENDED标志挂起方式创建进程的方法,通过C++代码示例展示了如何获取新进程的入口点及ImageBase地址,并演示了如何恢复挂起的进程。文章深入解析了进程创建的细节,对于理解Windows环境下进程管理和调试具有重要意义。

创建进程除了用 CREATE_NEW_CONSOLE,还可以用挂起的方式创建,CREATE_SUSPENDED

// TestCreateSuspended.cpp : Defines the entry point for the console application.
// 挂起方式创建进程

#include "stdafx.h"
#include <WINDOWS.H>

int main(int argc, char* argv[])
{
	// 挂起方式创建进程
	STARTUPINFO si = {0};
	si.cb = sizeof(si);
	PROCESS_INFORMATION pi;
	char szPath[MAX_PATH] = "c:\\notepad.exe";
	CreateProcess(NULL, szPath, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &si, &pi);
	// 获取线程上下文
	CONTEXT context;
	context.ContextFlags = CONTEXT_FULL;
	GetThreadContext(pi.hThread, &context);
	// 获取入口点
	DWORD dwEntryPoint = context.Eax;
	printf("入口点: %x\n", dwEntryPoint);
	// 获取ImageBase
	char *baseAddress = (char *)context.Ebx + 8;
	char szBuffer[256] = {0};
	ReadProcessMemory(pi.hProcess, baseAddress, szBuffer, 4, NULL);
	
	// 恢复线程
	ResumeThread(pi.hThread);
	getchar();
	return 0;
}

运行结果
在这里插入图片描述

hambaga
关注
创建进程挂起进程注入
02-08
下载请管理员帮忙修改下5分太多了。不会修改这个。 创建进程挂起进程。注入。然后可以做你想做的事情,比如修改不了PE头和各种恶心自检的文件。源码纯API,函数命令不提供了。想使用的自己添加一下,保证可以使用,希望大家自己动手添加函数命令这样记的更深刻。
挂起方式创建进程
Ghjhfssfgk的博客
01-24 680
用CreateProcess函数可以创建一个进程; 正常情况下CreateProcess做以下事情:创建一个进程的内核对象、给进程分配一个4GB的空间、加载pe:包括exe、dll、修复dll、创建主线程,把程序入口地址交给EIP 如果参数dwCreationFlags传入CREATE_SUSPENDED将以挂起方式创建进程; 以这种方式创建进程只有一个壳;也就是进程的主线程没有开始运行; 需...
挂起的形式创建进程
暗黑@魔心
10-05 997
原文转自:http://www.cnblogs.com/zheh/p/5223697.html 程序工能说明:通过process.exe创建出两个进程(run.exe ie.exe),实现通过run.exe控制ie。将run.cpp编译后将生成的exe路径复制process.cpp的相应位置,编译process.cpp并运行完成整个Demo测试,观察运行的结果。(一个cpp一个项目不要写到...
进程自我创建---挂起进程方法
zhangmiaoping23的专栏
03-06 982
//来自一书 #include #include #include void ChildProc() { MessageBox(NULL, L"This is a child process!", L"DebugMe2", MB_OK); ExitProcess(0); } void _tmain(int argc, TCHAR *argv[]) { T
C#中进程挂起与恢复
08-31
在`ProcessMgr`类中,可以创建如下的方法来挂起和恢复进程: ```csharp [DllImport("ntdll.dll", SetLastError = true)] private static extern int NtSuspendProcess(IntPtr hProcess); [DllImport("ntdll....
精选资源
语言进程挂起源码-易语言
06-13
在“易语言进程挂起源码”这个主题中,我们主要探讨的是如何利用易语言来实现对操作系统中进程的控制,特别是挂起进程的功能。 挂起进程是指将一个正在运行的程序暂时停止其执行,使其进入等待状态,直到被唤醒或者...
支持创建挂起进程的 DLL 注入器
最新发布
09-16
如果目标进程未运行,则创建挂起状态的进程并注入DLL 支持通过进程名或PID进行注入 自动处理进程创建挂起、注入和恢复的全过程 injector.exe <目标可执行文件完整路径> <要注入的DLL完整路径> 示例:injector...
精选资源
语言挂起进程源码-易语言
06-13
`CreateProcess.e`文件很可能是易语言的一个源代码文件,其中详细实现了使用`CreateProcess`函数创建进程挂起的操作。这个源代码可能包含以下几个关键部分: 1. **参数准备**:在调用`CreateProcess`之前,需要...
挂起一个进程
几罗星人的专栏
10-15 8374
文章文字解说转载自“珠穆朗玛”:http://sluttery.blog.163.com/blog/static/20277252005813749336/ 源代码来自“开源中国”的sincoder:http://www.oschina.net/code/snippet_196111_14193 声明:两位作者本人不认识,与之相关的技术本人很陌生,只是见到以后可能用到就摘录下来
c语言编程调试及挂起分析
06-14
调试(debugging)是指去掉程序中的错误(通常被称为bugs)的过程。一个错误可能非常简单,例如拼错一个单词或者漏掉一个分号;也可能比较复杂,例如使用一个指向并不存在的地址的指针。无论错误的复杂程度如何,掌握正确的调试方法都能使程序员受益匪浅。
挂起进程代码
01-18
挂起进程 调用系统api,
为什么c语言写程序要挂起,我运行的C语言程序挂起了,应该怎么办?
weixin_39517902的博客
05-17 700
导航:网站首页 >我运行的C语言程序挂起了,应该怎么办?时间:2017-11-14相关问题:匿名网友:当你运行一个程序时会有多种原因使它挂起,这些原因可以分为以下4种基本类型:(1)程序中有死循环;(2)程序运行的时间比所期望的长;(3)程序在等待某些输入信息,并且直到输入正确后才会继续运行;(4)程序设计的目的就是为了延迟一段时间,或者暂停执行。在讨论了因未知原因而挂起的程序的调试技巧后,...
linux 下C语言编程(2)——进程创建挂起,解挂,进程间通信
HeatDeath的博客
07-30 4735
在 linux 下利用C语言实现进程创建挂起和解挂操作 #include #include #include #include #include #include #include /*********************************************************** 功能说明:在 linux 下利用C语言实现进程创建挂起和解
语言-C++】C++、C 创建挂起进程
少莫千华
08-08 4430
#include #include struct ProcessType { DWORD value[30]; }; void Init(ProcessType &pt) { pt.value[0] = DEBUG_PROCESS; pt.value[1] = DEBUG_ONLY_THIS_PROCESS; pt.value[2] = CREATE_SUSPENDED;//
进程挂起以及可重入函数
qq_41027326的博客
04-14 747
相关接口     pause 函数用于将进程挂起. 如果信号的处理动作是终止进程, 则进程终止, pause 函数没有返回值; 如果信号的处理动作是忽略, 则进程挂起, pause函数不返回, 如果信号的处理动作是捕捉, 则调用信号处理动作之后pause 返回 -1. 来看一段代码 #include&lt;stdio.h&gt; #include&lt;stdlib.h&gt; ...
Createprocess 函数运行出错的原因和解决办法
狮子Blog
01-30 7791
CreateProcess函数用来创建一个进程,在参数中有一个就是执行的命令。这个值在createprocess函数内部是会被改变的,所以在传递参数的时候不允许传const类型常量。 如以下方法不允许 1:CreateProcess(NULL,_T("calc.exe'),NULL,NULL,TRUE,0,NULL,NULL,&si,&pi); 2: const TCHAR sCmd[
CreateProcess函数详解
weixin_30689307的博客
02-22 1469
CreateProcess说明:WIN32API函数CreateProcess用来创建一个新的进程和它的主线程,这个新进程运行指定的可执行文件。 函数原型:BOOL CreateProcess( LPCTSTR lpApplicationName, LPTSTR lpCommandLine, LPSECURITY_ATTRIBUTES lpP...
《python灰帽子》学习笔记:写一个windos 调试器(一)
weixin_30323961的博客
05-11 204
一、开发内容介绍   为了对一个进程进行调试,你首先必须用一些方法把调试器和进程连接起来。所以, 我们的调试器要不然就是装载一个可执行程序然后运行它, 要不然就是动态的附加到一个运行的进程。Windows 的调试接口(Windows debugging API)提供了一个非常简单的方法完成这两点。  运行一个程序和附加到一个程序有细微的差别。 打开一个程序的优点在于他能在程序运行任何代码之前完全...
进程调度与挂起操作简易教程
资源摘要信息: "调度程序Scheduling.rar_进程挂起" 在计算机操作系统中,调度程序是管理进程执行的关键组件,它决定了哪个进程获得CPU的控制权以及何时获得。调度程序的任务是高效地分配有限的计算资源,以便实现...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值