如何检测创建应用程序进程的应用程序的名称?
例如,如果有人想要,他们可以调用CreateProcess并将悬挂的标志传递给我的应用程序。
有没有办法阻止CreateProcess或找出创建我的应用程序实例的进程?
我已经连接了loadlibrary,createthread和所有其他简单的东西,但CreateProcess似乎可以绕过它。
我这样做是为了娱乐和学习,而不是为了现实世界的使用。我只是没有看到任何检测到CreateProcess ..
有什么想法吗?
答案 0 :(得分:1)
您可以使用工具帮助库找到父进程ID:
CreateToolhelp32Snapshot。Process32First和Process32Next以枚举流程。PROCESSENTRY32结构,th32ProcessID是您的流程的进程ID。th32ParentProcessID成员,找到您父母的进程ID。在达到这一点之前,为父进程做好准备。