简单的工作室

当前位置: 主页>编程技巧>VC++编程>

创建进程-CreateProcess

时间:2014-06-28 18:10来源:未知 作者:admin 点击:
CreateProcess函数用于创建进程: 函数原型: BOOL CreateProcess ( LPCTSTR lpApplicationName, LPTSTR lpCommandLine, LPSECURITY_ATTRIBUTES lpProcessAttributes。 LPSECURITY_ATTRIBUTES lpThreadAttributes, BOOL bInheritHandles, DWORD dwCreationFlags, LPVOID

CreateProcess函数用于创建进程:
函数原型:
  BOOL CreateProcess

  (

  LPCTSTR lpApplicationName,

  LPTSTR lpCommandLine,

  LPSECURITY_ATTRIBUTES lpProcessAttributes。

  LPSECURITY_ATTRIBUTES lpThreadAttributes,

  BOOL bInheritHandles,

  DWORD dwCreationFlags,

  LPVOID lpEnvironment,

  LPCTSTR lpCurrentDirectory,

  LPSTARTUPINFO lpStartupInfo,

  LPPROCESS_INFORMATION lpProcessInformation

  );

参数:
lpApplicationName:

    指向一个NULL结尾的、用来指定可执行模块的字符串。这个参数可以被设为NULL,在这种情况下,可执行模块的名字必须处于 lpCommandLine 参数的最前面并由空格符与后面的字符分开。这个被指定的模块可以是一个Win32应用程序。在Windows NT中,如果可执行模块是一个16位的应用程序,那么这个参数应该被设置为NULL并且因该在lpCommandLine参数中指定可执行模块的名称。16位的应用程序是以DOS虚拟机或Win32上的Windows(WOW) 为进程的方式运行。

lpCommandLine:

    指向一个NULL结尾的、用来指定要运行的命令行。这个参数可以为空,那么函数将使用参数指定的字符串当作要运行的程序的命令行。如果lpApplicationName和lpCommandLine参数都不为空,那么lpApplicationName参数指定将要被运行的模块,lpCommandLine参数指定将被运行的模块的命令行。新运行的进程可以使用GetCommandLine函数获得整个命令行。如果lpApplicationName参数为空,那么这个字符串中的第一个被空格分隔的要素指定可执行模块名。如果文件名不包含扩展名,那么.exe将被假定为默认的扩展名。如果文件名以一个点(.)结尾且没有扩展名,或文件名中包含路径,.exe将不会被加到后面。如果文件名中不包含路径,Windows将按照如下顺序寻找这个可执行文件
   

   1.当前应用程序的目录。
    2.父进程的目录。
    3.Windows NT:32位Windows系统目录。可以使用GetSystemDirectory函数获得,目录名是SYSTEM32。
    4.在Windows NT中:16位Windows系统目录。不可以使用Win32函数获得这个目录,但是它会被搜索,目录名是SYSTEM。
    5.Windows目录。可以使用GetWindowsDirectory函数获得这个目录。
    6.列在PATH环境变量中的目录。


lpProcessAttributes:

    指向一个SECURITY_ATTRIBUTES结构体,这个结构体决定是否返回的句柄可以被子进程继承。如果lpProcessAttributes参数为空(NULL),那么句柄不能被继承。
在Windows NT中:SECURITY_ATTRIBUTES结构的lpSecurityDescriptor成员指定了新进程的安全描述符,如果参数为空,新进程使用默认的安全描述符。
在Windows95中:SECURITY_ATTRIBUTES结构的lpSecurityDescriptor成员被忽略。

lpThreadAttributes:

    指向一个SECURITY_ATTRIBUTES结构体,这个结构体决定是否返回的句柄可以被子进程继承。如果lpThreadAttributes参数为空(NULL),那么句柄不能被继承。
在Windows NT中,SECURITY_ATTRIBUTES结构的lpSecurityDescriptor成员指定了主线程的安全描述符,如果参数为空,主线程使用默认的安全描述符。
在Windows95中:SECURITY_ATTRIBUTES结构的lpSecurityDescriptor成员被忽略。

bInheritHandles:

    指示新进程是否从调用进程处继承了句柄。如果参数的值为真,调用进程中的每一个可继承的打开句柄都将被子进程继承。被继承的句柄与原进程拥有完全相同的值和访问权限。

dwCreationFlags:

    指定附加的、用来控制优先类和进程的创建的标志。以下的创建标志可以以除下面列出的方式外的任何方式组合后指定。

CREATE_DEFAULT_ERROR_MODE


    新的进程不继承调用进程的错误模式。CreateProcess函数赋予新进程当前的默认错误模式作为替代。应用程序可以调用SetErrorMode函数设置当前的默认错误模式。这个标志对于那些运行在没有硬件错误环境下的多线程外壳程序是十分有用的。对于CreateProcess函数,默认的行为是为新进程继承调用者的错误模式。设置这个标志以改变默认的处理方式。

CREATE_NEW_CONSOLE

    新的进程将使用一个新的控制台,而不是继承父进程的控制台。这个标志不能与DETACHED_PROCESS标志一起使用。

CREATE_NEW_PROCESS_GROUP


    新进程将使一个进程树的根进程。进程树种的全部进程都是根进程的子进程。新进程树的用户标识符与这个进程的标识符是相同的,由lpProcessInformation参数返回。进程树经常使用GenerateConsoleCtrlEvent函数允许发送CTRL+C或CTRL+BREAK信号到一组控制台进程。

CREATE_SEPARATE_WOW_VDM


    这个标志只有当运行一个16位的Windows应用程序时才是有效的。如果被设置,新进程将会在一个私有的虚拟DOS机(VDM)中运行。另外,默认情况下所有的16位Windows应用程序都会在同一个共享的VDM中以线程的方式运行。单独运行一个16位程序的优点是一个应用程序的崩溃只会结束这一个VDM的运行;其他那些在不同VDM中运行的程序会继续正常的运行。同样的,在不同VDM中运行的16位Windows应用程序拥有不同的输入队列,这意味着如果一个程序暂时失去响应,在独立的VDM中的应用程序能够继续获得输入。

CREATE_SHARED_WOW_VDM

    这个标志只有当运行一个16位的Windows应用程序时才是有效的。如果WIN.INI中的Windows段的DefaultSeparateVDM选项被设置为真,这个标识使得CreateProcess函数越过这个选项并在共享的虚拟DOS机中运行新进程。

CREATE_SUSPENDED

    含义:新进程的主线程会以暂停的状态被创建,直到调用ResumeThread函数被调用时才运行。

CREATE_UNICODE_ENVIRONMENT

    含义:如果被设置,由lpEnvironment参数指定的环境块使用Unicode字符,如果为空,环境块使用ANSI字符。

DEBUG_PROCESS

含义:如果这个标志被设置,调用进程将被当作一个调试程序,并且新进程会被当作被调试的进程。系统把被调试程序发生的所有调试事件通知给调试器。
如果你使用这个标志创建进程,只有调用进程(调用CreateProcess函数的进程)可以调用WaitForDebugEvent函数。

DEBUG_ONLY_THIS_PROCESS


含义:如果此标志没有被设置且调用进程正在被调试,新进程将成为调试调用进程的调试器的另一个调试对象。如果调用进程没有被调试,有关调试的行为就不会产生。

DETACHED_PROCESS


含义:对于控制台进程,新进程没有访问父进程控制台的权限。新进程可以通过AllocConsole函数自己创建一个新的控制台。这个标志不可以与CREATE_NEW_CONSOLE标志一起使用。

dwCreationFlags

    还用来控制新进程的优先类,优先类用来决定此进程的线程调度的优先级。如果下面的优先级类标志都没有被指定,那么默认的优先类是NORMAL_PRIORITY_CLASS,除非被创建的进程是IDLE_PRIORITY_CLASS。在这种情况下子进程的默认优先类是IDLE_PRIORITY_CLASS。
可以下面的标志中的一个:

lpEnvironment:

    指向一个新进程的环境块。如果此参数为空,新进程使用调用进程的环境。
一个环境块存在于一个由以NULL结尾的字符串组成的块中,这个块也是以NULL结尾的。每个字符串都是name=value的形式。
因为相等标志被当作分隔符,所以它不能被环境变量当作变量名。
与其使用应用程序提供的环境块,不如直接把这个参数设为空,系统驱动器上的当前目录信息不会被自动传递给新创建的进程。对于这个情况的探讨和如何处理,请参见注释一节。
环境块可以包含Unicode或ANSI字符。如果lpEnvironment指向的环境块包含Unicode字符,那么dwCreationFlags字段的CREATE_UNICODE_ENVIRONMENT标志将被设置。如果块包含ANSI字符,该标志将被清空。
请注意一个ANSI环境块是由两个零字节结束的:一个是字符串的结尾,另一个用来结束这个快。一个Unicode环境块石油四个零字节结束的:两个代表字符串结束,另两个用来结束块。

lpCurrentDirectory:

    指向一个以NULL结尾的字符串,这个字符串用来指定子进程的工作路径。这个字符串必须是一个包含驱动器名的绝对路径。如果这个参数为空,新进程将使用与调用进程相同的驱动器和目录。这个选项是一个需要启动启动应用程序并指定它们的驱动器和工作目录的外壳程序的主要条件。

lpStartupInfo:

    指向一个用于决定新进程的主窗体如何显示的STARTUPINFO结构体。

lpProcessInformation:

    指向一个用来接收新进程的识别信息的PROCESS_INFORMATION结构体。

返回值:


如果函数执行成功,返回非零值。如果函数执行失败,返回零,可以使用GetLastError函数获得错误的附加信息。

 

举例:

CreateProcess的参数比较多,使用时一般都是传递0或者NULL作为默认参数,如下启动一个记事本进程的方法:

[cpp] view plaincopyprint?
  1. char lpPath[] = "notepad.exe";  
  2. STARTUPINFO si = {sizeof(si)};  
  3. PROCESS_INFORMATION pi;  
  4. BOOL bStatus = CreateProcess(NULL,lpPath,NULL,NULL,FALSE,0,NULL,NULL,&si,&pi);   

 

STARTUPINFO结构中的cb字段表示该结构的长度,表示子进程继承父进程的STARTUPINFO结构。

如果要修改子进程的启动信息,就要先获取到父进程的信息,然后再设置STARTUPINFO结构中的相应字段。

如下隐藏启动一个程序:

[cpp] view plaincopyprint?
  1.        char lpPath[] = "notepad.exe" ;  
  2. STARTUPINFO si = { sizeof(si) } ;  
  3. // 设置STARTF_USESHOWWINDOW标记,使得STARTUPINFO结构的wShowWindow字段有效  
  4. si.dwFlags |= STARTF_USESHOWWINDOW ;      
  5. // 设置窗口的显示方式,SW_HIDE表示隐藏方式  
  6. si.wShowWindow = SW_HIDE ;  
  7.   
  8. PROCESS_INFORMATION pi ;  
  9. BOOL bStatus = CreateProcess ( NULL, lpPath, NULL, NULL, FALSE, 0,NULL, NULL, &si, &pi ) ;  
  10. if ( bStatus == FALSE )  
  11. {  
  12.     MessageBox ( 0, "CreateProcess error, notepad.exe", 0, 0 ) ;  
  13.     return ;  
  14. }  


在创建子进程的时候使用CREATE_SUSPENDED标记使子进程挂起,此时子进程还没有初始化,然后就可以调用进程中处理子进程的数据和代码,比如:对子进程进行数据处理和模块注入(HOOK)等操作,最后再恢复执行。

[cpp] view plaincopyprint?
  1. WCHAR lpPath[] = L"notepad.exe" ;  
  2. STARTUPINFO si = { sizeof(si) } ;  
  3. PROCESS_INFORMATION pi ;  
  4. // 步骤1:使用CREATE_SUSPENDED创建挂起进程  
  5. BOOL bStatus = CreateProcess ( NULL, lpPath, NULL, NULL, FALSE, CREATE_SUSPENDED,NULL, NULL, &si, &pi ) ;  
  6. if ( bStatus == FALSE )  
  7. {  
  8.     MessageBox ( 0, L"CreateProcess error, notepad.exe", 0, 0 ) ;  
  9.     return ;  
  10. }  
  11.   
  12. // 步骤2:在这里对子进程进行数据处理和模块注入等操作  
  13. // ……  
  14. // 步骤3:恢复执行  
  15. ResumeThread ( pi.hThread ) ;  

(责任编辑:简单的工作室)
顶一下
(7)
100%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片
栏目列表
推荐内容