监控进程创建

最新推荐文章于 2025-11-29 14:22:46 发布
原创 最新推荐文章于 2025-11-29 14:22:46 发布 · 253 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#运维 #macos #centos

第一种通过监控进程创建,解析进程命令行参数是否有目标文件类型,实现检测文件关联打开。
文件关联是自带的文件管理器或没有任何关联,这情况判断不了,它没有进程创建。
适用于已经被第三方关联的情况下弹窗

#include <windows.h>
#include <wbemidl.h>
#include <iostream>
#include <algorithm>
#include <shlwapi.h>
#pragma comment(lib, "shlwapi.lib") // 链接库

#include <comutil.h>  // 包含 _bstr_t 的定义
#pragma comment(lib, "comsuppw.lib")  // 链接 Unicode 版本的库

#pragma comment(lib, "wbemuuid.lib")

// 初始化 COM
HRESULT InitCOM() {
    HRESULT hr = CoInitializeEx(nullptr, COINIT_APARTMENTTHREADED);
    if (SUCCEEDED(hr)) {
        // 设置默认安全级别
        hr = CoInitializeSecurity(
            nullptr, -1, nullptr, nullptr,
            RPC_C_AUTHN_LEVEL_DEFAULT,
            RPC_C_IMP_LEVEL_IMPERSONATE,
            nullptr, EOAC_NONE, nullptr
        );
    }
    return hr;
}
 
// 连接 WMI 服务
HRESULT ConnectWMI(IWbemServices**ppSvc) {
    IWbemLocator* pLoc = nullptr;
    HRESULT hr = CoCreateInstance(
        CLSID_WbemLocator, nullptr,
        CLSCTX_INPROC_SERVER, IID_IWbemLocator,
        (LPVOID*)&pLoc
    );
    if (SUCCEEDED(hr)) {
        // 连接到 root\CIMV2 命名空间
        hr = pLoc->ConnectServer(
            _bstr_t(L"ROOT\\CIMV2"),
            nullptr, nullptr, nullptr,
            0, nullptr, nullptr, ppSvc
        );
        pLoc->Release();
        if (SUCCEEDED(hr)) {
            // 设置 WMI 服务的安全上下文
            hr = CoSetProxyBlanket(
                *ppSvc, RPC_C_AUTHN_WINNT,
                RPC_C_AUTHZ_NONE, nullptr,
                RPC_C_AUTHN_LEVEL_CALL,
                RPC_C_IMP_LEVEL_IMPERSONATE,
                nullptr, EOAC_NONE
            );
        }
    }
    return hr;
}

class ProcessCreationSink : public IWbemObjectSink {
public:
    LONG m_lRef;

    ProcessCreationSink() : m_lRef(1) {}

    // 引用计数实现
    STDMETHOD(QueryInterface)(REFIID riid, void** ppv) {
        if (riid == IID_IUnknown || riid == IID_IWbemObjectSink) {
            *ppv = this;
            AddRef();
            return S_OK;
        }
        return E_NOINTERFACE;
    }

    STDMETHOD_(ULONG, AddRef)() { return InterlockedIncrement(&m_lRef); }
    STDMETHOD_(ULONG, Release)() {
        if (InterlockedDecrement(&m_lRef) == 0) {
            delete this;
            return 0;
        }
        return m_lRef;
    }

    // 事件触发时调用:解析进程信息
    STDMETHOD(Indicate)(LONG lObjectCount, IWbemClassObject**apObjArray) {
        for (LONG i = 0; i < lObjectCount; i++) {
            // 获取新创建的进程实例(TargetInstance 为 Win32_Process)
            VARIANT vtTarget;
            HRESULT hr = apObjArray[i]->Get(L"TargetInstance", 0, &vtTarget, nullptr, nullptr);
            if (SUCCEEDED(hr) && vtTarget.vt == VT_UNKNOWN /*VT_DISPATCH*/)
            {
                IWbemClassObject* pProcess = (IWbemClassObject*)vtTarget.pdispVal;

                // 获取进程名(Name 属性)
                VARIANT vtName;
                if (SUCCEEDED(pProcess->Get(L"Name", 0, &vtName, nullptr, nullptr))) {
                    if (vtName.vt == VT_BSTR) {
                        wprintf(L"\n检测到新进程:%s\t", vtName.bstrVal);
                    }
                    VariantClear(&vtName);
                }

                // 获取进程 PID(ProcessId 属性)
                VARIANT vtPid;
                if (SUCCEEDED(pProcess->Get(L"ProcessId", 0, &vtPid, nullptr, nullptr))) {
                    if (vtPid.vt == VT_UI4|| vtPid.vt == VT_I4) {
                        printf("进程 PID:%u\n", vtPid.ulVal);
                    }
                    VariantClear(&vtPid);
                }

                // 获取命令行
                VARIANT vtCmd;
                if (SUCCEEDED(pProcess->Get(L"CommandLine", 0, &vtCmd, nullptr, nullptr))) {
                   
                    if (vtCmd.vt == VT_BSTR && vtCmd.bstrVal != nullptr) {
                        wprintf(L"命令行: %s\n", vtCmd.bstrVal);  // 输出命令行

                         // 2. 解析为参数数组
                        int argc; // 存储参数数量(含程序名)
                        LPWSTR* argv = CommandLineToArgvW(vtCmd.bstrVal, &argc);
                        if (argv == nullptr) {
                            std::cerr << "解析命令行失败,错误码:" << GetLastError() << std::endl;
                            return 1;
                        }
                       for (int i = 1; i < argc; ++i)
                        {
                          //  std::wcout << L"参数 " << i << L":" << argv[i] << std::endl;
                            //处理当前是否是zip
                            std::wstring stline = argv[i];
                            std::transform(stline.begin(), stline.end(), stline.begin(), towlower);

                            if (/*PathFileExistsW(stline.c_str()) &&*/ stline.find(L".zip") != std::wstring::npos)
                            {
                                LPCWSTR filename = PathFindFileNameW(stline.c_str());
                                wprintf(L"你执行了%s文件关联!!!\n\n", filename);
                            }
                        }
                       
                        LocalFree(argv);
                    }
                    else {
                        wprintf(L"(空或无法获取)\n");
                    }
                    VariantClear(&vtCmd);
                }
              //  pProcess->Release();
            }
            
            VariantClear(&vtTarget);
        }
        return S_OK;
    }

    // 状态通知(如事件订阅结束)
    STDMETHOD(SetStatus)(LONG lFlags, HRESULT hResult, BSTR strParam, IWbemClassObject* pObjParam) {
        return S_OK;
    }
};

// 订阅进程创建事件
HRESULT SubscribeProcessCreation(IWbemServices* pSvc, IWbemObjectSink**ppSink) {
    // 创建事件接收器实例
    ProcessCreationSink* pSink = new ProcessCreationSink();
    *ppSink = pSink;

    // WQL 查询:监控 Win32_Process 的 __InstanceCreationEvent
    BSTR query = _bstr_t(L"SELECT * FROM __InstanceCreationEvent WITHIN 1 WHERE TargetInstance ISA 'Win32_Process'");

    // 异步执行查询,订阅事件
    return pSvc->ExecNotificationQueryAsync(
        _bstr_t(L"WQL"), query,
        WBEM_FLAG_SEND_STATUS, nullptr,
        pSink
    );
}

int main() {
    setlocale(LC_ALL, "");
    HRESULT hr = InitCOM();
    if (FAILED(hr)) {
        std::cerr << "COM 初始化失败" << std::endl;
        return 1;
    }

    IWbemServices* pSvc = nullptr;
    hr = ConnectWMI(&pSvc);
    if (FAILED(hr) || !pSvc) {
        std::cerr << "WMI 连接失败" << std::endl;
        CoUninitialize();
        return 1;
    }

    IWbemObjectSink* pSink = nullptr;
    hr = SubscribeProcessCreation(pSvc, &pSink);
    if (FAILED(hr) || !pSink) {
        std::cerr << "事件订阅失败" << std::endl;
        pSvc->Release();
        CoUninitialize();
        return 1;
    }
   
    // 等待事件(按任意键退出)
    std::wcout << L"正在监控进程创建...(按任意键退出)" << std::endl;
   /* getchar();*/
    MSG msg;
    while (GetMessage(&msg, NULL, 0, 0))
    {
        // 调试输出
        std::cout << "处理消息: " << msg.message << std::endl;

        TranslateMessage(&msg);
        DispatchMessage(&msg);
    }

    // 清理资源
    pSvc->CancelAsyncCall(pSink); // 取消订阅
    pSink->Release();
    pSvc->Release();
    CoUninitialize();
    return 0;
}

第二种方案从双击时从窗口获取选择的文件类型
获取文件管理器和桌面中选择的文件

Greless
关注
全局监控进程创建and禁止结束某进程
编程论坛
06-12 1771
32位系统直接传统Hook就Ok了,但是64位系统就不行了,需要改动一下汇编代码64位系统Hook需求1.目标进程64位2.注入程序64位3.dll64位以上条件必须都满足方可Hook64程序--------------------------------------------------------------------------------------------------------...
精选资源
精选_基于PsSetCreateProcessNotifyRoutineEx实现监控进程创建并阻止创建_源码打包
03-10
"基于PsSetCreateProcessNotifyRoutineEx实现监控进程创建并阻止创建"是一个针对此主题的专业实践,它涉及到Windows内核编程和安全机制。 `PsSetCreateProcessNotifyRoutineEx` 是Windows内核的一个关键函数,它...
全面掌握Windows进程监控技术
weixin_42433737的博客
04-23 854
Windows任务管理器是系统管理工具中的一个核心组成部分,它提供了丰富的信息和控制选项来监控和管理运行中的程序、服务和进程。启动任务管理器非常简单,可以通过多种方式完成,其中包括按下键,使用任务栏右键菜单,或通过运行taskmgr命令。打开任务管理器后,我们可以看到它分为几个不同的标签页,例如“进程”、“性能”、“应用历史”、“启动”、“用户”、“服务”以及“详细信息”。每个标签页都提供了特定的信息和功能。
WMI监视进程启动
baggiowangyu的专栏
12-08 5317
// WMIProcessCreateMonitor.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include #include #include #include using namespace std; #pragma comment(lib, "wbemuuid.lib") #pragma comment(li
Linux 监控进程创建行为
小立仔
03-22 2143
本文简单描述了Linux 监控进程创建行为
PsSetCreateProcessNotifyRoutine监控进程创建
Sven的忘却日记
09-25 5833
PsSetCreateProcessNotifyRoutine函数用来注册一个进程创建的回调函数,当有新从进程创建时,就把父进程的ID,和子进程(被创建进程)ID传给回调函数,通过回调函数,可以监控创建进程 NTSTATUS PsSetCreateProcessNotifyRoutine( _In_ PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRouti...
linux监控进程创建文件,如何监控Linux文件系统事件:inotify使用指南
weixin_36024106的博客
04-30 1244
如何监控Linux文件系统事件:inotify使用指南§·inotify初识Inotify 是一个Linux特性,它监控文件系统操作,比如读取、写入和创建。Inotify反应灵敏,用法非常简单,并且比cron任务的繁忙轮询高效得多。学习如何将inotify集成到您的应用程序中,并发现一组可用来进一步自动化系统治理的命令行工具。§·inotify产生背景系统治理就像日常生活一样。就像刷牙和吃蔬菜一样...
linux 监控新建进程,技术分享 | Linux 入侵检测中的进程创建监控
weixin_32921023的博客
04-28 789
作者简介:张博,网易高级信息安全工程师。0x00 简介在入侵检测的过程中,进程创建监控是必不可少的一点,因为攻击者的绝大多数攻击行为都是以进程的方式呈现,所以及时获取到新进程创建的信息能帮助我们快速地定位攻击行为。本文将介绍一些常见的监控进程创建的方式,包括其原理、Demo、使用条件和优缺点。行文仓促,如果有哪些错误和不足,还望大家批评指正。0x01 常见方式目前来看,常见的获取进程创建的信息的方...
linux 进程创建 进程启动 监控
whatday的专栏
03-20 2524
0x00 简介 在入侵检测的过程中,进程创建监控是必不可少的一点,因为攻击者的绝大多数攻击行为都是以进程的方式呈现,所以及时获取到新进程创建的信息能帮助我们快速地定位攻击行为。 本文将介绍一些常见的监控进程创建的方式,包括其原理、Demo、使用条件和优缺点。行文仓促,如果有哪些错误和不足,还望大家批评指正。 0x01 常见方式 目前来看,常见的获取进程创建的信息的方式有以下四种: 1、S...
技术分享 | Linux 入侵检测中的进程创建监控
wsfcc的专栏
09-06 1388
转载自:看雪专栏 作者简介:张博,网易高级信息安全工程师。 0x00 简介 在入侵检测的过程中,进程创建监控是必不可少的一点,因为攻击者的绝大多数攻击行为都是以进程的方式呈现,所以及时获取到新进程创建的信息能帮助我们快速地定位攻击行为。 本文将介绍一些常见的监控进程创建的方式,包括其原理、Demo、使用条件和优缺点。行文仓促,如果有哪些错误和不足,还望大家批评指正。 0x01 常见方式 目前来看,常见的获取进程创建的信息的方式有以下四种: So preload Netlink .
基于PsSetCreateProcessNotifyRoutineEx实现监控进程创建并阻止创建(禁用QQ 360等exe可执行文件)
苞米地里捉小鸡的博客
09-20 4128
对于内核层实现监控进程创建或者退出,你可能第一时间会想到 HOOK 内核函数 ZwOpenProcess、ZwTerminateProcess 等。确定,在内核层中的 HOOK 已经给人留下太多深刻的印象了,有 SSDT HOOK、Inline HOOK、IRP HOOK、过滤驱动等等。 但是,Windows 其实给我们提供现成的内核函数接口,方便我们在内核下监控用户层上进程创建和退出的情况。即 PsSetCreateProcessNotifyRoutineEx 内核函数,可以设置一个回调函数,来监控
监控进程创建,源码
06-26
在IT领域,监控进程创建是一项重要的系统管理任务,它能够帮助我们了解系统中正在运行的程序,检测潜在的恶意活动,以及优化系统性能。本文将深入探讨如何通过源码实现进程监控,特别是针对Windows XP和Win7 32位...
精选_SSDT Hook 之内核函数ZwCreateUserProcess实现监控进程创建_源码打包
03-11
在本压缩包文件"ssdt-hook-zwcreateuserprocess"中,我们聚焦于通过Hook SSDT中的`ZwCreateUserProcess`函数来实现对进程创建监控。 `ZwCreateUserProcess`是Windows内核的一个关键系统服务,用于创建新的用户...
shell监控linux系统进程创建脚本分享
09-15
在Linux系统管理中,监控进程是一项重要的任务,它有助于我们了解系统的运行状态,及时发现异常并进行处理。本文将详细讲解如何使用Shell脚本来实现对Linux系统进程监控,以及提供的示例脚本的工作原理。 首先,...
遇到的问题与解决 k8s节点加入集群
2501_91384465的博客
11-27 291
得到的结果放到下面,出现这样的报错。1.2 删除后重新显示加入了集群。
Forensic Explorer 取证恢复软件功能介绍
2302_82041293的博客
11-27 615
Forensic Explorer 由多个模块组成,这些模块可通过程序图形用户界面顶部的选项卡进行访问。每个模块都包含一个用于启动分析功能的工具栏。在模块的数据视图窗口中右键单击,可访问与该窗口相关的可用选项下拉菜单。证据模块证据模块是启动 Forensic Explorer 时默认显示的窗口。在此模块中,可以创建、打开或预览案例,并添加证据,支持物理设备、取证镜像或单个文件形式的证据。
influx2.0+grafana
lan266548_ning的博客
11-27 432
Mac 安装 Docker(Docker Desktop)教程官方下载地址:根据你的 Mac 类型,下载对应版本:Intel。
Docker:基于自制openjdk8镜像 or 官方openjdk8镜像,制作tomcat镜像
最新发布
2509_94186151的博客
11-29 481
78.56 MBopenjdk二进制下载地址Dockerfile中,source /etc/profile不能加载的原因为什么还需要选择使用他的原因:三 中,tomcat普通用户交互式启动tomcat#在 Docker 容器中,/etc/profile 文件不会在容器启动时自动执行,这是因为 Docker 容器通常不会启动交互式登录 shell,而是直接运行指定的命令。
c# 监控进程创建
09-03
Console.WriteLine("正在监控进程创建... 按任意键退出。"); Console.ReadKey(); // 停止监听 watcher.Stop(); } static void ProcessCreated(object sender, EventArrivedEventArgs e) { // 获取新创建的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值