Выполнение действия при появлении процесса

Сейчас на форуме: Lohmaty (+6 невидимых)

Посл.ответ	Сообщение
inkermann Ранг: 4.6 (гость) Активность: 0.04↘0 Статус: Участник	Создано: 01 сентября 2018 20:09 · Личное сообщение · #1 Прошу помощи по коду: Code: #include <iostream> #include <cstring> #include <windows.h> #include <tlhelp32.h> int proccess_is_exist(char name) { PROCESSENTRY32 pe32; HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); if (hProcessSnap == INVALID_HANDLE_VALUE) return -1; pe32.dwSize = sizeof(PROCESSENTRY32); Process32First(hProcessSnap, &pe32); do { if (!strcmp(name, pe32.szExeFile)) { CloseHandle(hProcessSnap); return 1; } } while* (Process32Next(hProcessSnap, &pe32)); CloseHandle(hProcessSnap); return 0; } int main(int argc, char argv[]) { setlocale(LC_ALL, "Russian"); char* proc_name[] = "notepad.exe"; while (true) { if (proccess_is_exist(proc_name)) WinExec("C:\1.exe", SW_SHOWMINNOACTIVE); Sleep(1000); } return 0; } - Здесь при обнаружении процесса notepad.exe запускается 1.exe многократно. Как сделать, чтобы происходило обнаружение нового процесса с интервалом ~1 сек, и при обнаружении, запускался 1.exe однократно? Делал убийство этой программы из 1.exe, но это не спасает, т.к. при обнаружении нового параллельно запущенного notepad.exe также должен быть произведен однократный запуск 1.exe. Т.Е. как сделать чтобы отслеживалось появление нового процесса *.exe происходило однократное срабатывание действия?

f13nd Ранг: 271.2 (наставник), 331thx Активность: 0.32↗1.49 Статус: Участник	Создано: 01 сентября 2018 20:14 · Поправил: f13nd · Личное сообщение · #2 Заполняй массив pid(explorer.exe) - true/false, что он обработан, передавай его функции и пропускай уже обработанные. Ну и pid в аргументы 1.exe, чтоб он не растерялся что ему делать. ----- 2 оттенка серого
inkermann Ранг: 4.6 (гость) Активность: 0.04↘0 Статус: Участник	Создано: 01 сентября 2018 20:16 · Личное сообщение · #3 f13nd пишет: Заполняй массив pid(explorer.exe) - true/false, что он обработан, передавай его функции и пропускай уже обработанные. Вы не могли бы показать на примере?
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 01 сентября 2018 20:27 · Поправил: difexacaw · Личное сообщение · #4 inkermann > как сделать чтобы отслеживалось появление нового процесса Стандартные функции ждут сигнализацию обьекта, например завершение потока/процесса. Выполнить же обратное действие штатным путём не ясно как, осевой апи не предназначен для написания малвари, что бы отслеживать процессы. Есть косвенные способы - к примеру можно загружаться через гуй как фильтры. Можно запускаться как отладчик, но для заранее определённых процессов. Это не корректно поставленная задача, зачем запускать есчо одно апп!? ----- vx
f13nd Ранг: 271.2 (наставник), 331thx Активность: 0.32↗1.49 Статус: Участник	Создано: 01 сентября 2018 20:31 · Поправил: f13nd · Личное сообщение · #5 Вы не могли бы показать на примере? Code: stdcall proccess_is_exist,szProcessFilename,addr pbinHandledArray,[nHandledArrayMaxIndex] test ecx,ecx .if ~ZERO? mov [nHandledArrayMaxIndex],ecx ;запуск "1.exe %d",eax .endif proc proccess_is_exist pszProcessFilename,pbinHandledArray,nHandledArrayMaxIndex locals binProcessInfo PROCESSENTRY32 endl invoke CreateToolhelp32Snapshot,TH32CS_SNAPPROCESS,0 mov [hProcessSnapshot],eax mov [binProcessInfo.dwSize],sizeof.PROCESSENTRY32 invoke Process32First,[hProcessSnapshot],addr binProcessInfo .next: .if eax = TRUE lea ecx,[binModuleInfo.szModule] invoke lstrcmpiA,addr binProcessInfo.szExeFile],[pszProcessFilename] test eax,eax .if ZERO? mov eax,[binProcessInfo.th32ProcessID] xor ecx,ecx mov edx,[pbinHandledArray] @@: .if ecx<[nHandledArrayMaxIndex] .if eax <> [edx + ecx4] inc* ecx jmp @B .endif .endif .if ecx=[nHandledArrayMaxIndex] mov DWORD[edx + ecx4],eax inc* ecx jmp @F .endif .endif invoke Process32Next,[hProcessSnapshot],addr binProcessInfo jmp .next .else xor ecx,ecx .endif @@: ret endp ----- 2 оттенка серого
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 01 сентября 2018 20:38 · Личное сообщение · #6 f13nd invoke lstrcmpiA,addr binProcessInfo.szExeFile] ----- vx
f13nd Ранг: 271.2 (наставник), 331thx Активность: 0.32↗1.49 Статус: Участник	Создано: 01 сентября 2018 20:40 · Личное сообщение · #7 difexacaw Я методом Кашпировского, без отладки и даже компиляции набросал. Просто идея, вряд ли он этот кусок использует. ----- 2 оттенка серого
inkermann Ранг: 4.6 (гость) Активность: 0.04↘0 Статус: Участник	Создано: 01 сентября 2018 20:43 · Личное сообщение · #8 f13nd, спасибо! Сейчас буду разбираться... difexacaw, Ну там возможно не exe, а батник будет(чтобы в зависимости от задачи с разными настройками использовать.) Пока нужно на 20 сек. системное время дергать... Добавлено спустя 2 минуты Конечно, тяжеловато, Я только азы познаю...
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 01 сентября 2018 20:49 · Поправил: difexacaw · Личное сообщение · #9 inkermann Не нужны вам пакетные файлы. Забудь про это. Спалит тебя авер, будешь гореть как ёлка. ----- vx \| Сообщение посчитали полезным: Crawler
inkermann Ранг: 4.6 (гость) Активность: 0.04↘0 Статус: Участник	Создано: 01 сентября 2018 21:06 · Личное сообщение · #10 Да я пока для экспериментов, потом все в один запихну.
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 01 сентября 2018 21:11 · Личное сообщение · #11 inkermann На батниках тесты нельзя выполнить на ав сканерах. В любом случае это всё не правильно. Так не делается. ----- vx
VOLKOFF Ранг: 173.8 (ветеран), 208thx Активность: 0.12↗0.36 Статус: Участник	Создано: 01 сентября 2018 22:00 · Личное сообщение · #12 Зачем удалять гланды через автогеном? Есть же IFEO. Можно легко и просто запускать свою программу вместо любой заранее заданной. Нет заморочек с правами, не нужно постоянно дергать список процессов, а поскольку срабатывать будет при каждом старте нового процесса, не будет путанницы с многократным запуском целевого софта. И где топикстартер писал про виксы я тоже чот не увидел, Инде как всегда на своей волне \| Сообщение посчитали полезным: zds
f13nd Ранг: 271.2 (наставник), 331thx Активность: 0.32↗1.49 Статус: Участник	Создано: 01 сентября 2018 22:05 · Поправил: f13nd · Личное сообщение · #13 VOLKOFF пишет: Есть же IFEO. Одну малварную технику вместо другой ага Че ifeo, тупо explorer.exe заменить и готово. ----- 2 оттенка серого
Crawler Ранг: 216.9 (наставник), 85thx Активность: 0.31↘0.15 Статус: Участник X-Literator	Создано: 01 сентября 2018 22:07 · Личное сообщение · #14 inkermann Мьютексы. Можно создавать мьютекс, который видят другие процессы. Так проверяется, запущен ты один раз или несколько. Можно в запускаемом EXE открывать пайп, если уже открыт - опять же, не запускать процесс в очередной раз. Добавлено спустя 15 минут f13nd учитывая, что сейчас новый зеродей появился, это не такое уж и безумие - заменить что-нибудь. Это я про эксплоит от SandboxEscaper. Все слышали о таком? Короче, там пздц, можно через баг в планировщике повышать права от гостевых до системных перезаписью DACL хардлинка на любой файл, доступный на чтение. Соответственно, становится возможным его перезаписать. В примере кода там перезаписывается printconfig.dll, потом запускается задание печати, и запускается через пэйлоад любая программа с системными правами. ----- Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей. \| Сообщение посчитали полезным: inkermann
VOLKOFF Ранг: 173.8 (ветеран), 208thx Активность: 0.12↗0.36 Статус: Участник	Создано: 01 сентября 2018 22:32 · Поправил: VOLKOFF · Личное сообщение · #15 f13nd пишет: Одну малварную технику вместо другой ага Это стандартный легальный системный механизм, который юзается достаточно часто, втч Process Explorer, Process Hacker, редакторами, альт консолями итп. Инде не буксуй, читай маны Для автора (если он не умолчал о важных нюансах) это самый простой и надежный путь, идеально для любых тестов,- добавляешь одну запись в реестр и получаешь автоматический перехват запуска нужных процессов с вызовом своего кода. По сути это легальный хук CreateProcess. Не думаю, что найдется способ решить данную задачу эффективнее. \| Сообщение посчитали полезным: inkermann
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 01 сентября 2018 22:40 · Личное сообщение · #16 VOLKOFF Так не в техниках дело, если вы не поняли задачу тс ----- vx
f13nd Ранг: 271.2 (наставник), 331thx Активность: 0.32↗1.49 Статус: Участник	Создано: 02 сентября 2018 02:42 · Поправил: f13nd · Личное сообщение · #17 Более правильный вариант использовать эвенты/колбеки, чтоб не было лага. Это можно сделать через эвенты WMI --> Link <-- или грязненьким способом через SetWindowsHookEx --> Link <--. Грязненький потому что отслеживать можно создание окна, а не процесса, но для explorer.exe это почти одно и то же. WMI сама по себе довольно тупая и глючная подсистема, я бы наверное выбрал второй вариант. ----- 2 оттенка серого \| Сообщение посчитали полезным: inkermann
inkermann Ранг: 4.6 (гость) Активность: 0.04↘0 Статус: Участник	Создано: 02 сентября 2018 21:27 · Поправил: inkermann · Личное сообщение · #18 Решил пойти по другому пути и заблудился в трех соснах: Code: #include "windows.h" #include "iostream" using namespace std; int main(int argc, char argv[]) { for (int* i = 0; i < argc; i++) { //Выводим список аргументов в цикле cout << "Argument " << i << " : " << argv[i] << endl; ----------------------------------------------------------------------------------- fi = ?????????? STARTUPINFO cif; ZeroMemory(&cif, sizeof(STARTUPINFO)); PROCESS_INFORMATION pi; LPTSTR fi; if (CreateProcess("C:\game.exe", fi, NULL, NULL, FALSE, NULL, NULL, NULL, &cif, &pi) == TRUE) WinExec("C:\1.cmd", SW_SHOWMINNOACTIVE); { cout << "process" << endl; cout << "handle " << pi.hProcess << endl; Sleep(1000); } } Не получается нормально связать верхнюю часть с нижней ... Нужно, чтобы командная строка данного л.. из неизвестно какого кол-ва аргументов нормально передавалась game.exe. Т.Е. fi присвоить правильное значение, если сработает.. Что не пробовал - ошибки лезут.
VOLKOFF Ранг: 173.8 (ветеран), 208thx Активность: 0.12↗0.36 Статус: Участник	Создано: 02 сентября 2018 22:22 · Личное сообщение · #19 inkermann пишет: Что не пробовал - ошибки лезут А маны CreateProcess читать не пробовал? Для простоты жизни на таком уровне кодинга однострочник с GetCommandLine покатит. \| Сообщение посчитали полезным: ajax
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 02 сентября 2018 22:40 · Личное сообщение · #20 Размер в структуре STARTUPINFO укажи. \| Сообщение посчитали полезным: inkermann
inkermann Ранг: 4.6 (гость) Активность: 0.04↘0 Статус: Участник	Создано: 03 сентября 2018 01:15 · Личное сообщение · #21 Как только не извращался: Code: #include <iostream> #include <windows.h> using namespace std; int main(int argc, char argv[]) { for (int* i = 1; i < argc; i++) { char cmdline; cmdline = (cout <<" "<< argv[i]); { char cmdline(argv); if (CreateProcess("1.exe", &cmdline, NULL, NULL, FALSE, NULL, NULL, NULL, NULL, NULL)) Sleep(1000); } }
ajax Ранг: 337.6 (мудрец), 224thx Активность: 0.21↘0.1 Статус: Участник born to be evil	Создано: 03 сентября 2018 08:02 · Поправил: ajax · Личное сообщение · #22 inkermann --> Link <-- как уже VOLKOFF написал, GetCommandLine с минимумом движений покатит для параметров ----- От многой мудрости много скорби, и умножающий знание умножает печаль \| Сообщение посчитали полезным: inkermann
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 03 сентября 2018 09:10 · Личное сообщение · #23 Получай PID процесса ,в пеши в массив и чекай его ...... ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. \| Сообщение посчитали полезным: Crawler, inkermann
inkermann Ранг: 4.6 (гость) Активность: 0.04↘0 Статус: Участник	Создано: 03 сентября 2018 11:22 · Поправил: inkermann · Личное сообщение · #24 ajax пишет: GetCommandLine Понятно. но интересно было бы именно с CreateProcess, т.к. остальные возможности, тоже понадобятся... То, что выше, я только для примера привел, чтобы носом ткнули , как &cmdline присвоить входное значение.
VOLKOFF Ранг: 173.8 (ветеран), 208thx Активность: 0.12↗0.36 Статус: Участник	Создано: 03 сентября 2018 15:01 · Личное сообщение · #25 inkermann пишет: GetCommandLine Понятно. но интересно было бы именно с CreateProcess Они не взаимоисключающие, если че inkermann пишет: остальные возможности страшно подумать, что там в "подводной части айсберга"
inkermann Ранг: 4.6 (гость) Активность: 0.04↘0 Статус: Участник	Создано: 03 сентября 2018 19:36 · Поправил: inkermann · Личное сообщение · #26 VOLKOFF пишет: страшно подумать, что там в "подводной части айсберга" Добавлено спустя 3 часа 40 минут Вот так проходит 1 аргумент командной строки, а нужно, чтобы все. Подправьте пожалуйста мой код: Code: #include <iostream> using namespace std; int main(int argc, // Number of strings in array argv char argv[], // Array of command-line argument strings char* envp[]) // Array of environment variable strings { int* count; // Display each command-line argument. cout << "\nCommand-line arguments:\n"; for (count = 0; count < argc; count++) cout << " argv[" << count << "] " << argv[count] << "\n"; if ((UINT)ShellExecute( NULL, "open", "C:\App.exe", argv[1], NULL, SW_SHOWNORMAL) <= 32) { // обработка ошибок } }
inkermann Ранг: 4.6 (гость) Активность: 0.04↘0 Статус: Участник	Создано: 04 сентября 2018 20:24 · Поправил: inkermann · Личное сообщение · #27 Конечно устроил бы и предложенный вариант (LPTSTR WINAPI GetCommandLine(void);), но не могу его связать ни с shell execute ни с create proces. на все попытки ругается компилятор (vs17)... Если не затруднит, покажите пожалуйста на примере как. (Только чтобы длинные аргументы от 1 до 5 с путями, проходили, как есть дочернему процессу. Остальное сам приделаю. Уже не пойму толи библиотеки не те , толи глюки.)
f13nd Ранг: 271.2 (наставник), 331thx Активность: 0.32↗1.49 Статус: Участник	Создано: 05 сентября 2018 00:30 · Поправил: f13nd · Личное сообщение · #28 Возможно дело в двойных кавычках. Вообще на голом апи можно аргументы передавать и забирать, чтоб студия вместо тебя не думала. Code: invoke memset,addr binSui,0,sizeof.STARTUPINFO add esp,34 mov* [binSui.cb],sizeof.STARTUPINFO invoke CreateProcessW,0,addr szuUnzipCmd,0,0,0,0,0,0,addr binSui,addr binPri Code: invoke GetCommandLineW invoke CommandLineToArgvW,eax,addr nArgs mov [pArgs],eax mov [nCurrentArg],1 @@: mov eax,[nCurrentArg] .if eax < [nArgs] lea eax,[eax4] add* eax,[pArgs] invoke lstrcpyW,addr szuArgument,DWORD[eax] ... inc [nCurrentArg] jmp @B .endif ----- 2 оттенка серого \| Сообщение посчитали полезным: inkermann
Jupiter Ранг: 605.2 (!), 341thx Активность: 0.47↘0.25 Статус: Модератор Research & Development	Создано: 05 сентября 2018 08:47 · Личное сообщение · #29 Глянь сорсы плагина DbgChild - Debug Child Process Tool: --> https://github.com/David-Reguera-Garcia-Dreg/DbgChild <-- Фичи: Hook process creation for x86 or x64 child processes Patching and unpatching of NTDLL process creation for x86 and x64 child processes Process watcher for auto launching of new x64dbg instance when child process detected Modify the suspend (pre) and resume (post) logic to adapt to your own requirements ----- EnJoy! \| Сообщение посчитали полезным: inkermann
inkermann Ранг: 4.6 (гость) Активность: 0.04↘0 Статус: Участник	Создано: 08 сентября 2018 12:49 · Поправил: inkermann · Личное сообщение · #30 f13nd пишет: Возможно дело в двойных кавычках. Да! Именно! В составе аргумента они передаются, а powershell их сжирает. Экранировать же достаточно проблематично, особенно если кавычка в середине аргумента. Помимо того режется еще раньше, при разборе argv.

Для печати