[求助]子进程获取父进程名称的问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]子进程获取父进程名称的问题

发表于: 2016-4-21 11:50 7717

[求助]子进程获取父进程名称的问题

紫川

2016-4-21 11:50

7717

windows平台：
父进程通过createProcess创建另一个xxxx.exe达到调用exe的目的，紧接着，父进程退出。
子进程启动之后如何才能得到父进程的名称呢？
我在子进程中本想通过遍历进程快照来对比获取，可惜，那时候父进程已经退出了，所以对比不到。
(声明：父进程不是我的程序，我控制不了，也获取不到创建进程时候的参数，我现在的身份就是xxxx.exe，所有能做的事也都是在这个exe中编写，所以就别跟说父进程创建的时候怎么怎么获取参数了，哈哈)

大家有没有除了驱动层面的其他好办法？
请各位大神赐教

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・1

免费・0

支持

最新回复 (24)
aimhack 雪币： 423 活跃值： (501) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 80 粉丝 11 关注私信	aimhack 2 楼某P游戏的套路,应该没人会免费指点给你的吧 2016-4-21 12:20 0
紫川雪币： 48 活跃值： (462) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	紫川 3 楼啥意思？我不小心问到商业鸡蜜了？ 2016-4-21 12:51 0
shenchiyua 雪币： 96 活跃值： (64) 能力值： ( LV2，RANK：10 ) 在线值：发帖 85 回帖 284 粉丝 1 关注私信	shenchiyua 4 楼 hook explorer ntcreateuserprocess(win7) 试下 2016-4-21 13:06 0
lzldhu 雪币： 96 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 59 粉丝 1 关注私信	lzldhu 5 楼看错了。。 2016-4-21 13:26 0
紫川雪币： 48 活跃值： (462) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	紫川 6 楼 hook？子进程exe都已经运行的时候，创建进程的动作早就执行完了 2016-4-21 14:00 0
无边雪币： 9479 活跃值： (757) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 606 粉丝 3 关注私信	无边 7 楼在创建子进程的时候获取啊 2016-4-21 14:29 0
紫川雪币： 48 活跃值： (462) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	紫川 8 楼父进程不是我的程序，我控制不了，也获取不到创建进程时候的参数 2016-4-21 15:06 0
aimhack 雪币： 423 活跃值： (501) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 80 粉丝 11 关注私信	aimhack 9 楼我知道是哪个游戏,肯定是机密,不过想唯一解决不封号的办法还是走驱动层,你挂钩,Hook 都不可以的,现在某P技术不是吃白饭的,而且很猥琐~ 2016-4-21 17:00 0
紫川雪币： 48 活跃值： (462) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	紫川 10 楼我想你真的误会了，不过咱不讨论其他的，我只想讨论技术 2016-4-21 17:04 0
百合控雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	百合控 11 楼很好奇是哪个游戏.....能跟楼主这么奇葩的需求对上 2016-4-21 17:11 0
shenchiyua 雪币： 96 活跃值： (64) 能力值： ( LV2，RANK：10 ) 在线值：发帖 85 回帖 284 粉丝 1 关注私信	shenchiyua 12 楼你这个程序再怎么样也是要打开的吧在桌面上点是吧？那不就得了 ce给 explorer.exe ntcreateuserprocess的ret处下个断点就行或者你CreateProcess创建一个暂停进程也行 2016-4-21 17:15 0
紫川雪币： 48 活跃值： (462) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	紫川 13 楼父进程通过createProcess创建另一个xxxx.exe达到调用exe的目的，紧接着，父进程退出。子进程启动之后如何才能得到父进程的名称呢？所以不是在桌面上点的，我也不用ce...我只想在子进程xxxx.exe中通过编程获取他爹的名字 2016-4-21 17:23 0
dalerkd 雪币： 118 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 527 粉丝 3 关注私信	dalerkd 1 14 楼还能找到一个已经退出的程序的信息吗，不懂哎 2016-4-21 18:55 0
linyifeng 雪币： 631 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 98 粉丝 1 关注私信	linyifeng 15 楼枚举进程，不管程序退出还是不退出，内核里都有一个链表记录的，详情百度 2016-4-21 19:53 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 16 楼这个除非事先纪录（无论是驱动还是ring3)，否则如果没有什么驱动干扰了reference的话是无法获取的如果可以记录的话就太简单了 2016-4-22 00:43 0
紫川雪币： 48 活跃值： (462) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	紫川 17 楼所以才为这个事纠结呢 2016-4-22 10:03 0
紫川雪币： 48 活跃值： (462) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	紫川 18 楼驱动层的暂时还不想动手啊.... 2016-4-22 10:04 0
紫川雪币： 48 活跃值： (462) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	紫川 19 楼哎，看来得另想其他办法了 2016-4-22 11:10 0
linyifeng 雪币： 631 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 98 粉丝 1 关注私信	linyifeng 20 楼管理权限即可，不用驱动 2016-4-23 18:14 0
OXFFFFFFFE 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 57 粉丝 0 关注私信	OXFFFFFFFE 21 楼求教EPROCESS的释放时机是啥时候? 貌似有些进程退出后,eprocess还在.此时的eprocess , 是不是已经被释放了, 只不过是内存中留下的一个残影? 如果说自己的驱动对每一个进程的eprocess对reference一下,增加引用计数,那是不是系统中所有进程的eprocess都会永远存在不会被释放? 2016-4-24 14:05 0
zkek 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 109 粉丝 0 关注私信	zkek 22 楼看着像撸啊撸。。。 2016-4-24 16:17 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 23 楼如果退出时，reference都释放了，应该要清除的。但是有些驱动（甚至系统自己的）不一定会及时释放，这就会有残留，直到对应的计数释放，除非有引用了忘记释放的bug，否则不会一直残留的，这跟进程本身和驱动的策略有关系。 2016-4-24 23:26 0
shilyx 雪币： 209 活跃值： (143) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 255 粉丝 2 关注私信	shilyx 24 楼写一个新程序，记录pid和pn的对应关系，子进程获取父进程id后查表可得。 2016-4-25 21:38 0
火勺雪币： 96 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 135 粉丝 0 关注私信	火勺 25 楼父进程销毁之前获得进程名，销毁了还获取有什么意义吗。拦截检测都是销毁之前完成的吧。 2016-4-25 22:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

紫川

发帖

回帖

RANK

关注

私信

他的文章

[求助]子进程获取父进程名称的问题 7718

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
aimhack 雪币： 423 活跃值： (501) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 80 粉丝 11 关注私信	aimhack 2 楼某P游戏的套路,应该没人会免费指点给你的吧 2016-4-21 12:20 0
紫川雪币： 48 活跃值： (462) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	紫川 3 楼啥意思？我不小心问到商业鸡蜜了？ 2016-4-21 12:51 0
shenchiyua 雪币： 96 活跃值： (64) 能力值： ( LV2，RANK：10 ) 在线值：发帖 85 回帖 284 粉丝 1 关注私信	shenchiyua 4 楼 hook explorer ntcreateuserprocess(win7) 试下 2016-4-21 13:06 0
lzldhu 雪币： 96 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 59 粉丝 1 关注私信	lzldhu 5 楼看错了。。 2016-4-21 13:26 0
紫川雪币： 48 活跃值： (462) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	紫川 6 楼 hook？子进程exe都已经运行的时候，创建进程的动作早就执行完了 2016-4-21 14:00 0
无边雪币： 9479 活跃值： (757) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 606 粉丝 3 关注私信	无边 7 楼在创建子进程的时候获取啊 2016-4-21 14:29 0
紫川雪币： 48 活跃值： (462) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	紫川 8 楼父进程不是我的程序，我控制不了，也获取不到创建进程时候的参数 2016-4-21 15:06 0
aimhack 雪币： 423 活跃值： (501) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 80 粉丝 11 关注私信	aimhack 9 楼我知道是哪个游戏,肯定是机密,不过想唯一解决不封号的办法还是走驱动层,你挂钩,Hook 都不可以的,现在某P技术不是吃白饭的,而且很猥琐~ 2016-4-21 17:00 0
紫川雪币： 48 活跃值： (462) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	紫川 10 楼我想你真的误会了，不过咱不讨论其他的，我只想讨论技术 2016-4-21 17:04 0
百合控雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	百合控 11 楼很好奇是哪个游戏.....能跟楼主这么奇葩的需求对上 2016-4-21 17:11 0
shenchiyua 雪币： 96 活跃值： (64) 能力值： ( LV2，RANK：10 ) 在线值：发帖 85 回帖 284 粉丝 1 关注私信	shenchiyua 12 楼你这个程序再怎么样也是要打开的吧在桌面上点是吧？那不就得了 ce给 explorer.exe ntcreateuserprocess的ret处下个断点就行或者你CreateProcess创建一个暂停进程也行 2016-4-21 17:15 0
紫川雪币： 48 活跃值： (462) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	紫川 13 楼父进程通过createProcess创建另一个xxxx.exe达到调用exe的目的，紧接着，父进程退出。子进程启动之后如何才能得到父进程的名称呢？所以不是在桌面上点的，我也不用ce...我只想在子进程xxxx.exe中通过编程获取他爹的名字 2016-4-21 17:23 0
dalerkd 雪币： 118 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 527 粉丝 3 关注私信	dalerkd 1 14 楼还能找到一个已经退出的程序的信息吗，不懂哎 2016-4-21 18:55 0
linyifeng 雪币： 631 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 98 粉丝 1 关注私信	linyifeng 15 楼枚举进程，不管程序退出还是不退出，内核里都有一个链表记录的，详情百度 2016-4-21 19:53 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 16 楼这个除非事先纪录（无论是驱动还是ring3)，否则如果没有什么驱动干扰了reference的话是无法获取的如果可以记录的话就太简单了 2016-4-22 00:43 0
紫川雪币： 48 活跃值： (462) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	紫川 17 楼所以才为这个事纠结呢 2016-4-22 10:03 0
紫川雪币： 48 活跃值： (462) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	紫川 18 楼驱动层的暂时还不想动手啊.... 2016-4-22 10:04 0
紫川雪币： 48 活跃值： (462) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	紫川 19 楼哎，看来得另想其他办法了 2016-4-22 11:10 0
linyifeng 雪币： 631 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 98 粉丝 1 关注私信	linyifeng 20 楼管理权限即可，不用驱动 2016-4-23 18:14 0
OXFFFFFFFE 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 57 粉丝 0 关注私信	OXFFFFFFFE 21 楼求教EPROCESS的释放时机是啥时候? 貌似有些进程退出后,eprocess还在.此时的eprocess , 是不是已经被释放了, 只不过是内存中留下的一个残影? 如果说自己的驱动对每一个进程的eprocess对reference一下,增加引用计数,那是不是系统中所有进程的eprocess都会永远存在不会被释放? 2016-4-24 14:05 0
zkek 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 109 粉丝 0 关注私信	zkek 22 楼看着像撸啊撸。。。 2016-4-24 16:17 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 23 楼如果退出时，reference都释放了，应该要清除的。但是有些驱动（甚至系统自己的）不一定会及时释放，这就会有残留，直到对应的计数释放，除非有引用了忘记释放的bug，否则不会一直残留的，这跟进程本身和驱动的策略有关系。 2016-4-24 23:26 0
shilyx 雪币： 209 活跃值： (143) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 255 粉丝 2 关注私信	shilyx 24 楼写一个新程序，记录pid和pn的对应关系，子进程获取父进程id后查表可得。 2016-4-25 21:38 0
火勺雪币： 96 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 135 粉丝 0 关注私信	火勺 25 楼父进程销毁之前获得进程名，销毁了还获取有什么意义吗。拦截检测都是销毁之前完成的吧。 2016-4-25 22:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复