ring3下利用WMI监视进程创建(vc版)

最新推荐文章于 2021-10-06 16:25:15 发布
最新推荐文章于 2021-10-06 16:25:15 发布
阅读量4.7k 收藏 5
点赞数
文章标签: hex null include server c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zwfgdlc/article/details/6613605
版权 
#include "stdafx.h"
#define _WIN32_DCOM
#include <iostream>
using namespace std;
#include <comdef.h>
#include <Wbemidl.h>

# pragma comment(lib, "wbemuuid.lib")

int main(int argc, char **argv)
{
	HRESULT hres;

	hres =  CoInitializeEx(0, COINIT_MULTITHREADED); 
	if (FAILED(hres))
	{
		cout << "Failed to initialize COM library. " 
			<< "Error code = 0x" 
			<< hex << hres << endl;
		return 1;
	}

	IWbemLocator *pLoc = 0;
	HRESULT hr;

	hr = CoCreateInstance(CLSID_WbemLocator, 0, 
		CLSCTX_INPROC_SERVER, IID_IWbemLocator, (LPVOID *) &pLoc);

	if (FAILED(hr))
	{
		cout << "Failed to create IWbemLocator object. Err code = 0x"
			<< hex << hr << endl;
		return hr;     // Program has failed.
	}

	IWbemServices *pSvc = 0;

	bstr_t strNetworkResource("ROOT\\CIMV2");

	hr = pLoc->ConnectServer(
		strNetworkResource, 
		NULL, NULL, 0, NULL, 0, 0, &pSvc);

	if (FAILED(hr))
	{
		cout << "Could not connect. Error code = 0x" 
			<< hex << hr << endl;
		pLoc->Release();
		CoUninitialize();
		return hr;      // Program has failed.
	}

	cout << "Connected to WMI" << endl;

	// Set the proxy so that impersonation of the client occurs.
	hr = CoSetProxyBlanket(pSvc,
		RPC_C_AUTHN_WINNT,
		RPC_C_AUTHZ_NONE,
		NULL,
		RPC_C_AUTHN_LEVEL_CALL,
		RPC_C_IMP_LEVEL_IMPERSONATE,
		NULL,
		EOAC_NONE
		);

	if (FAILED(hr))
	{
		cout << "Could not set proxy blanket. Error code = 0x" 
			<< hex << hr << endl;
		pSvc->Release();
		pLoc->Release();     
		CoUninitialize();
		return hr;
	}

	
	bstr_t strLang("WQL");
	//监视taskmgr.exe进程创建
	bstr_t strQuery("SELECT * FROM __InstanceCreationEvent WITHIN 1 WHERE TargetInstance ISA 'Win32_Process' AND TargetInstance.Name = 'taskmgr.exe'"); 
	IEnumWbemClassObject* pResult = NULL;

	hr = pSvc->ExecNotificationQuery(strLang, strQuery, WBEM_FLAG_FORWARD_ONLY | WBEM_FLAG_RETURN_IMMEDIATELY, NULL, &pResult);
	if(SUCCEEDED(hr))
	{
		do{
			IWbemClassObject* pObject = NULL;
			ULONG lCnt = 0;
			hr = pResult->Next(WBEM_INFINITE, 1, &pObject, &lCnt);
			if(SUCCEEDED(hr) && pObject)
			{
				cout<<"taskmgr.exe进程已创建"<<endl;
				break; //退出
			}
		}while(true);
	}



	pSvc->Release();
	pLoc->Release();     
	CoUninitialize();
	CoUninitialize();

	return 0;   // Program successfully completed.
}


zwfgdlc
关注
WMI实时监控进程开启demo
11-03
实时监控进程开启demo,使用WMI实时监控进程事件的发生,并做出相应操作
利用WMI对象实现进程监控-易语言
06-13
利用WMI对象实现进程监控
利用WMI实现ring3进程监控 - vc
weixin_34375251的博客
04-24 245
为什么80%的码农都做不了架构师?>>> ...
wmi监视进程创建和结束
weixin_30505485的博客
06-21 446
程序主要利用wmi异步的方法监视进程的启动和关闭。分别写进两个单独的线程static void porcessWhater()和 static void processkill()中。在按钮中启动两个线程。希望大家一起学习 指出不足之处。同时调用窗体回调函数显示。 源码 using System; using System.Collections.Generic; using ...
64位内核开发第十二讲,进程监视,ring3ring0事件同步.
weixin_30315435的博客
06-09 327
一丶同步与互斥详解,以及实现一个进程监视软件. 1.用于线程同步的 KEVENT 事件很简单分别分为 事件状态. 以及事件类别. 事件状态: 有信号 Signaled 无信号 Non-signaled 事件类别 自动恢复 Synchronization 自动设置 不自动恢复. Notification 手动设置 事件的创建函数 ** IoCreateNotificationEvent() ** *...
Ring3进程内核查看,参照xuetr部分功能
06-02
在IT领域,Ring3进程和内核查看是操作系统安全性和调试技术的重要组成部分。"Ring3进程内核查看,参照xuetr部分功能"这个标题暗示了我们正在讨论一种技术,它允许用户在Ring3级别(用户模式)查看操作系统的内核信息...
vc++ 应用源码包_3
09-15
内含各种例子(vc下各种控件的使用方法、标题栏与菜单栏、工具栏与状态栏、图标与光标、程序窗口、程序控制、进程与线程、字符串、文件读写操作、文件与文件夹属性操作、文件与文件夹系统操作、系统控制操作、程序...
vc++ 应用源码包_5
09-15
内含各种例子(vc下各种控件的使用方法、标题栏与菜单栏、工具栏与状态栏、图标与光标、程序窗口、程序控制、进程与线程、字符串、文件读写操作、文件与文件夹属性操作、文件与文件夹系统操作、系统控制操作、程序...
vc++ 应用源码包_1
09-15
内含各种例子(vc下各种控件的使用方法、标题栏与菜单栏、工具栏与状态栏、图标与光标、程序窗口、程序控制、进程与线程、字符串、文件读写操作、文件与文件夹属性操作、文件与文件夹系统操作、系统控制操作、程序...
vc++ 应用源码包_2
09-15
内含各种例子(vc下各种控件的使用方法、标题栏与菜单栏、工具栏与状态栏、图标与光标、程序窗口、程序控制、进程与线程、字符串、文件读写操作、文件与文件夹属性操作、文件与文件夹系统操作、系统控制操作、程序...
实时监控进程创建
03-30
Hook ObCreateObject 实时监控进程创建
进程创建监控
07-31
Ring3+Ring0 控制进程创建
C++调用WMI遍历进程
06-15
详细演示了C++调用WMI遍历进程的整个过程,有详细注释,代码可以直接复用。
内核实现,超强注入RING3进程
05-24
内核监控进程启动,然后完成 DLL 注入,注入的DLL负责Ring3 HOOK 这样,注入和HOOK 分离操作简便。
C++进程管理和监视程序源码
10-23
简单的进程管理和监视进程.能够显示出系统当前所有运行的进程.. 并且能够对进程进行控制,可以关闭运行,也可以禁止进程的运行. 并带有定时关机功能...
监视并控制进程创建
商少
07-31 1142
我们都知道,进程创建会涉及比较多的行为,从开始的创建进程空间,创建句柄表等内核功能,之后映射可执行文件、主线程的运行,如果我们可以在其中的一个位置做手脚,进程创建应该就会失败。这里我们使用的是系统回调函数的方法。 基本函数。 // 可以通知我们进程创建 NTSTATUS PsSetCreateProcessNotifyRoutine( IN PCREATE_PROC
wmic创建进程
slwsss的专栏
10-06 388
wmic /node:$ip /user:$user /password:$password --% Service where name="W3SVC" call stopservice wmic /node:$ip /user:$user /password:$password --% Service where name="W3SVC" call startservice wmic /node:$ip /user:$user /password:$password --% process where
WMI监视进程启动
baggiowangyu的专栏
12-08 5241
// WMIProcessCreateMonitor.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include #include #include #include using namespace std; #pragma comment(lib, "wbemuuid.lib") #pragma comment(li
进程创建、终止、监控、执行
xiupong的博客
07-23 428
进程前言一、进程创建 fork()/vfork()1、获得进程id2、fork()3、vfork()二、进程的终止 exit()/_exit()1、正常结束进程 exit()2、结束进程执行 _exit()3、exit()与_exit()区别三、监控子进程 wait()/waitpid()1、wait()2、waitpid()四、程序的执行 exec()族1、exec()族2、system()五、僵尸进程和孤儿进程1、概念2、危害与解决方法六、守护进程与后台进程 前言 fork创建一个子进程,该.
利用VC2005实现WMI系统服务条件查询教程
资源摘要信息:"VC_WMI.rar_WMI C++_vc w_wmi_wmi 服务_系统服务" 本资源是关于如何在Windows环境下使用C++语言通过WMI(Windows Management Instrumentation)接口来查询和管理系统服务的详细指南。特别地,本资源...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值