[求助]一个监视进程创建的东西求大神分析下原理-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
Indexs 雪币： 52 活跃值： (257) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 24 粉丝 1 关注私信	Indexs 2 楼这个能过掉部分有驱动保护的游戏从而注入DLL 2013-11-26 04:25 0
bakurise 雪币： 98 活跃值： (79) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 196 粉丝 0 关注私信	bakurise 3 楼你从哪里看出来的这玩意还能注入DLL到其他进程里？ 2013-11-26 09:57 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 4 楼 [QUOTE=Indexs;1242446] 图如上程序：监视新进程.rar[/QUOTE] 最近好像好几个人都在问环3监视进程创建和结束的问题呢. 通过wmi 的 win32!process 都是可以实现的. 其效果有点类似 pssetcreateprocessnotifyroutine 上传的附件：监视进程的创建.7z （0.40kb，156次下载） 2013-11-26 12:47 0
Indexs 雪币： 52 活跃值： (257) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 24 粉丝 1 关注私信	Indexs 5 楼我发了源码你看下原理呗他引用一个 E模块东西都在模块里面~~ 2013-11-26 15:28 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 6 楼源码你都发了,还看啥原理? 2013-11-26 15:32 0
Indexs 雪币： 52 活跃值： (257) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 24 粉丝 1 关注私信	Indexs 7 楼他是在易语言的一个模块里面我想知道原理后用C++来写~ 2013-11-26 15:41 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 8 楼那就托到IDA或者OD里面分析一下啊. 估计八九不离十是wmi实现的. 2013-11-26 16:53 0
哟哟哟哟雪币： 107 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 205 粉丝 0 关注私信	哟哟哟哟 9 楼关注，顶一下 2013-11-26 18:14 0
bakurise 雪币： 98 活跃值： (79) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 196 粉丝 0 关注私信	bakurise 10 楼如果是WMI ，给你一个VC的工程，我用过的 http://www.fenlog.com/post/72.html 2013-11-26 18:29 0
bakurise 雪币： 98 活跃值： (79) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 196 粉丝 0 关注私信	bakurise 11 楼我去。。看了一眼代码，监控DNF.EXE 然后注入DLL。。。。以后这种问题不要再发到看雪了！！ ' 当监视到一个新进程时可以进行各种判断,然后注入DLL或窗口化等操作. 列表框1.加入项目 (“进程ID=” ＋到文本 (进程ID) ＋ “ 句柄=” ＋到文本 (进程句柄) ＋ “ 启动参数=” ＋程序文件, ) 处理事件 () .如果真 (-1 ≠ 倒找文本 (程序文件, “DNF.exe”, , 假)) 安装线程DLL (进程句柄, 取运行目录 () ＋ “\mydll.dll”, 线程句柄) .如果真结束 ' 对象_复制对象句柄 (-1, 进程句柄, -1, 新进程句柄) 对象_复制对象句柄 (-1, 线程句柄, -1, 新线程句柄) 返回 (真) ' 真=允许创建,假=终止进程阻该程序运行. 至于那个进程监控： .子程序监视新进程, , 公开, 监视新进程创建使用一个时钟周期=1的时钟控件来调用该功能. .参数新进程接口, 子程序指针, , 〈逻辑型〉新进程接口（整数型进程ID，整数型线程ID，整数型进程句柄，整数型线程句柄，文本型程序全路径）真=放行,假=阻止使用一个定时器。。。八成是遍历进程的。。。。有兴趣了HOOK一下遍历进程的函数跟一下。。反正我在那个里面搜索WMI的关键字没找到。。。而且wmi是不用定时器的 2013-11-26 18:41 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 12 楼搞个定时器,半秒钟扫描一下全部进程,有目标进程就注入, 2013-11-27 10:06 0
ericzw 雪币： 408 活跃值： (153) 能力值： ( LV9，RANK：210 ) 在线值：发帖 13 回帖 61 粉丝 7 关注私信	ericzw 4 13 楼 bakurise 如果是WMI ，给你一个VC的工程，我用过的 http://www.fenlog.com/post/72.html 谢谢哥们 2017-10-7 11:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
Indexs 雪币： 52 活跃值： (257) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 24 粉丝 1 关注私信	Indexs 2 楼这个能过掉部分有驱动保护的游戏从而注入DLL 2013-11-26 04:25 0
bakurise 雪币： 98 活跃值： (79) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 196 粉丝 0 关注私信	bakurise 3 楼你从哪里看出来的这玩意还能注入DLL到其他进程里？ 2013-11-26 09:57 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 4 楼 [QUOTE=Indexs;1242446] 图如上程序：监视新进程.rar[/QUOTE] 最近好像好几个人都在问环3监视进程创建和结束的问题呢. 通过wmi 的 win32!process 都是可以实现的. 其效果有点类似 pssetcreateprocessnotifyroutine 上传的附件：监视进程的创建.7z （0.40kb，156次下载） 2013-11-26 12:47 0
Indexs 雪币： 52 活跃值： (257) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 24 粉丝 1 关注私信	Indexs 5 楼我发了源码你看下原理呗他引用一个 E模块东西都在模块里面~~ 2013-11-26 15:28 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 6 楼源码你都发了,还看啥原理? 2013-11-26 15:32 0
Indexs 雪币： 52 活跃值： (257) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 24 粉丝 1 关注私信	Indexs 7 楼他是在易语言的一个模块里面我想知道原理后用C++来写~ 2013-11-26 15:41 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 8 楼那就托到IDA或者OD里面分析一下啊. 估计八九不离十是wmi实现的. 2013-11-26 16:53 0
哟哟哟哟雪币： 107 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 205 粉丝 0 关注私信	哟哟哟哟 9 楼关注，顶一下 2013-11-26 18:14 0
bakurise 雪币： 98 活跃值： (79) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 196 粉丝 0 关注私信	bakurise 10 楼如果是WMI ，给你一个VC的工程，我用过的 http://www.fenlog.com/post/72.html 2013-11-26 18:29 0
bakurise 雪币： 98 活跃值： (79) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 196 粉丝 0 关注私信	bakurise 11 楼我去。。看了一眼代码，监控DNF.EXE 然后注入DLL。。。。以后这种问题不要再发到看雪了！！ ' 当监视到一个新进程时可以进行各种判断,然后注入DLL或窗口化等操作. 列表框1.加入项目 (“进程ID=” ＋到文本 (进程ID) ＋ “ 句柄=” ＋到文本 (进程句柄) ＋ “ 启动参数=” ＋程序文件, ) 处理事件 () .如果真 (-1 ≠ 倒找文本 (程序文件, “DNF.exe”, , 假)) 安装线程DLL (进程句柄, 取运行目录 () ＋ “\mydll.dll”, 线程句柄) .如果真结束 ' 对象_复制对象句柄 (-1, 进程句柄, -1, 新进程句柄) 对象_复制对象句柄 (-1, 线程句柄, -1, 新线程句柄) 返回 (真) ' 真=允许创建,假=终止进程阻该程序运行. 至于那个进程监控： .子程序监视新进程, , 公开, 监视新进程创建使用一个时钟周期=1的时钟控件来调用该功能. .参数新进程接口, 子程序指针, , 〈逻辑型〉新进程接口（整数型进程ID，整数型线程ID，整数型进程句柄，整数型线程句柄，文本型程序全路径）真=放行,假=阻止使用一个定时器。。。八成是遍历进程的。。。。有兴趣了HOOK一下遍历进程的函数跟一下。。反正我在那个里面搜索WMI的关键字没找到。。。而且wmi是不用定时器的 2013-11-26 18:41 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 12 楼搞个定时器,半秒钟扫描一下全部进程,有目标进程就注入, 2013-11-27 10:06 0
ericzw 雪币： 408 活跃值： (153) 能力值： ( LV9，RANK：210 ) 在线值：发帖 13 回帖 61 粉丝 7 关注私信	ericzw 4 13 楼 bakurise 如果是WMI ，给你一个VC的工程，我用过的 http://www.fenlog.com/post/72.html 谢谢哥们 2017-10-7 11:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]一个监视进程创建的东西 求大神分析下原理

[求助]一个监视进程创建的东西求大神分析下原理