1. #include "stdafx.h"
  2. #define _WIN32_DCOM
  3. #include <iostream>
  4. using namespace std;
  5. #include <comdef.h>
  6. #include <Wbemidl.h>
  7. # pragma comment(lib, "wbemuuid.lib")
  8. int main(int argc, char **argv)
  9. {
  10. HRESULT hres;
  11. hres =  CoInitializeEx(0, COINIT_MULTITHREADED);
  12. if (FAILED(hres))
  13. {
  14. cout << "Failed to initialize COM library. "
  15. << "Error code = 0x"
  16. << hex << hres << endl;
  17. return 1;
  18. }
  19. IWbemLocator *pLoc = 0;
  20. HRESULT hr;
  21. hr = CoCreateInstance(CLSID_WbemLocator, 0,
  22. CLSCTX_INPROC_SERVER, IID_IWbemLocator, (LPVOID *) &pLoc);
  23. if (FAILED(hr))
  24. {
  25. cout << "Failed to create IWbemLocator object. Err code = 0x"
  26. << hex << hr << endl;
  27. return hr;     // Program has failed.
  28. }
  29. IWbemServices *pSvc = 0;
  30. bstr_t strNetworkResource("ROOT\\CIMV2");
  31. hr = pLoc->ConnectServer(
  32. strNetworkResource,
  33. NULL, NULL, 0, NULL, 0, 0, &pSvc);
  34. if (FAILED(hr))
  35. {
  36. cout << "Could not connect. Error code = 0x"
  37. << hex << hr << endl;
  38. pLoc->Release();
  39. CoUninitialize();
  40. return hr;      // Program has failed.
  41. }
  42. cout << "Connected to WMI" << endl;
  43. // Set the proxy so that impersonation of the client occurs.
  44. hr = CoSetProxyBlanket(pSvc,
  45. RPC_C_AUTHN_WINNT,
  46. RPC_C_AUTHZ_NONE,
  47. NULL,
  48. RPC_C_AUTHN_LEVEL_CALL,
  49. RPC_C_IMP_LEVEL_IMPERSONATE,
  50. NULL,
  51. EOAC_NONE
  52. );
  53. if (FAILED(hr))
  54. {
  55. cout << "Could not set proxy blanket. Error code = 0x"
  56. << hex << hr << endl;
  57. pSvc->Release();
  58. pLoc->Release();
  59. CoUninitialize();
  60. return hr;
  61. }
  62. bstr_t strLang("WQL");
  63. //监视taskmgr.exe进程创建
  64. bstr_t strQuery("SELECT * FROM __InstanceCreationEvent WITHIN 1 WHERE TargetInstance ISA 'Win32_Process' AND TargetInstance.Name = 'taskmgr.exe'");
  65. IEnumWbemClassObject* pResult = NULL;
  66. hr = pSvc->ExecNotificationQuery(strLang, strQuery, WBEM_FLAG_FORWARD_ONLY | WBEM_FLAG_RETURN_IMMEDIATELY, NULL, &pResult);
  67. if(SUCCEEDED(hr))
  68. {
  69. do{
  70. IWbemClassObject* pObject = NULL;
  71. ULONG lCnt = 0;
  72. hr = pResult->Next(WBEM_INFINITE, 1, &pObject, &lCnt);
  73. if(SUCCEEDED(hr) && pObject)
  74. {
  75. cout<<"taskmgr.exe进程已创建"<<endl;
  76. break; //退出
  77. }
  78. }while(true);
  79. }
  80. pSvc->Release();
  81. pLoc->Release();
  82. CoUninitialize();
  83. CoUninitialize();
  84. return 0;   // Program successfully completed.
  85. }

http://blog.csdn.net/zwfgdlc/article/details/6613605

ring3下利用WMI监视进程创建(vc版)的更多相关文章

  1. 用Visual studio2012在Windows8上开发内核驱动监视进程创建

    在Windows NT中,80386保护模式的“保护”比Windows 95中更坚固,这个“镀金的笼子”更加结实,更加难以打破.在Windows 95中,至少应用程序I/O操作是不受限制的,而在Win ...

  2. 小试X64 inline HOOK,hook explorer.exe--->CreateProcessInternalW监视进程创建

    原始函数是这样的 kernel32!CreateProcessInternalW: 00000000`7738e750 4c8bdc          mov     r11,rsp 00000000 ...

  3. 64位CreateProcess逆向:(二)0环下参数的整合即创建进程的整体流程

    转载:https://bbs.pediy.com/thread-207683.htm 点击下面进入总目录: 64位Windows创建64位进程逆向分析(总目录) 在上一篇文章中,我们介绍了Create ...

  4. 利用Delphi监视注册表的变化

    转帖:利用Delphi监视注册表的变化 2009-12-23 11:53:51 分类: 利用Delphi监视注册表的变化       我们在编写软件的时候,常常需要把一些信息保存到系统的注册表中.如果 ...

  5. python黑帽子学习笔记1:pyqt5 designer+wmi实现进程监视器

    环境说明:python3.6 所需要模块:wmi.pyqt5.pythonMagick 先放上一张成品效果图,如图所示: 界面利用pyqt5的designer实现,画好界面如下图所示: 画好后,保存好 ...

  6. 介绍linux下利用编译bash设置root账号共用的权限审计设置

    在日常运维工作中,公司不同人员(一般是运维人员)共用root账号登录linux服务器进行维护管理,在不健全的账户权限审计制度下,一旦出现问题,就很难找出源头,甚是麻烦!在此,介绍下利用编译bash使不 ...

  7. Ring3下干净的强行删除文件

    在某公司实习完,再次回到寝室.还是在学校好. 实习期间的给我的任务就是为项目添加一个强行删除的模块. 背景是硬盘上存储空间不够时,需要删掉老的文件,如果这时后,老的文件被打开了,没有关掉,就无法删除. ...

  8. Linux-进程描述(4)之进程优先级与进程创建执行

    进程优先级 进程cpu资源分配就是指进程的优先权(priority).优先权高的进程有优先执行权利. 权限与优先级.权限(privilege)是指在多用户计算机系统的管理中,某个特定的用户具有特定的系 ...

  9. Xshell5下利用sftp上传下载传输文件

    sftp是Secure File Transfer Protocol的缩写,安全文件传送协议.可以为传输文件提供一种安全的加密方法.sftp 与 ftp 有着几乎一样的语法和功能.SFTP 为 SSH ...

随机推荐

  1. kindeditor 4 指定生成文件的时间日期/动态获取My97的时间

    最近后台要求要指定上传附件的时间日期,编辑器是kindeditor,仔细研究后发现可以借助clickToolbar事件,传递时间到后台,但是中途发现传递的时间总是初始化my97的时间,改变后的时间只有 ...

  2. numpy 代码优化(一)—— 常见手段

    选择使用 numpy 库的应有之义就在于:应当以矢量化的方式(vectorized operations)来避免迭代操作(iterations),numpy 下的迭代操作执行起来十分耗时. impor ...

  3. Notepad++ 自定义关键字

    Notepad++是一款輕便好用的編輯器,但可能有些語言的關鍵字不全,比方SQL中,默認關鍵字沒有Merge. 怎样給Notepad++中的語言添加關鍵字,而不是大動干戈自定義一個語言? 步驟: Se ...

  4. 运行该脚本出现/bin/sh^M: bad interpreter: No such file or directory

    错误中脚本文件的一个非常可能的原因是DOS格的, 即每一行的行尾以\r\n来标识, 其ASCII码各自是0x0D, 0x0A.  能够有非常多种办法看这个文件是DOS格式的还是UNIX格式的, 还是M ...

  5. SQL查询表结构 相关语句

    --查看列注释select * from all_col_comments where table_name=upper('XXXXX')--查看表结构select * from user_tab_c ...

  6. html5中 table数据导出到excel文件

    JS代码: /** * table数据导出到excel * 形参 table : tableId ; * sheetName : 工作薄名 * fileName : 文件名 * linkId :隐藏的 ...

  7. WebAPI Delete方法报错405 Method Not Allowed

    .net framework 在Web.config文件中添加如下配置: <system.webServer> <modules runAllManagedModulesForAll ...

  8. UWP中String类型如何转换为Windows.UI.Color

    原文:UWP中String类型如何转换为Windows.UI.Color 我在学习过程中遇到的,我保存主题色为string,但在我想让StatusBar随着主题色变化时发现没法使用. ThemeCol ...

  9. 谷歌将为 Mac 和 Windows 用户推出新的备份和同步应用

    据报道,谷歌将于 6 月 28 日面向 Mac 和 Windows 用户发布一款新的备份和同步应用(Backup and Sync app). Google 刚刚宣布将推出其备份和同步应用程序,该工具 ...

  10. 【Git】打标签

    打标签 同大多数 VCS 一样,Git 也可以对某一时间点上的版本打上标签.人们在发布某个软件版本(比如 v1.0 等等)的时候,经常这么做.本节我们一起来学习如何列出所有可用的标签,如何新建标签,以 ...