Перехват запущенных приложений

Тема в разделе "WASM.RESEARCH", создана пользователем paskal, 6 окт 2021.

  1. paskal

    paskal New Member

    Публикаций:
    0
    Регистрация:
    3 апр 2019
    Сообщения:
    6
    Нужен инструмент. Что то вроде Process Monitor от Sysinternals. Только надо отслеживать не процессы, а запуск приложений другим заданным приложением и параметры командной строки, которые передаются при запуске.
    Что посоветуете?
     
    Последнее редактирование: 6 окт 2021
  2. ormoulu

    ormoulu Well-Known Member

    Публикаций:
    0
    Регистрация:
    24 янв 2011
    Сообщения:
    1.208
    Process Monitor от Microsoft :meeting:
     
  3. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.576
    Api monitor от Rohitab, перехватывает запуск, можно разрешать или даже поменять какие-то параметры.
     
  4. paskal

    paskal New Member

    Публикаций:
    0
    Регистрация:
    3 апр 2019
    Сообщения:
    6
    Process Monitor это совсем не то. Не показывает параметров командной строки. И он показывает не запущенные приложения, а висящие в памяти службы.

    Api monitor - да, работает если поставить хук на CreateProcessA. Но есть "но". У меня очень длинная строка параметров, и он ее режет.
     
  5. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    paskal,

    Свой напиши, там десяток апи и пол часа работы.
     
  6. f13nd

    f13nd Well-Known Member

    Публикаций:
    0
    Регистрация:
    22 июн 2009
    Сообщения:
    2.000
    Ох уж эти неуверенные пользователи Windows :acute:
    Безымянный.png
     
    paskal и M0rg0t нравится это.
  7. ormoulu

    ormoulu Well-Known Member

    Публикаций:
    0
    Регистрация:
    24 янв 2011
    Сообщения:
    1.208
    Вы вообще о чем?
    upload_2021-10-7_9-13-46.png
     
    paskal нравится это.
  8. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.576
    Indy_, чтоб такое закодить, драйвер нужен же? Или как с юзермода сделать, глобальный перехват NtCreateProcess, как?

    ormoulu, мб перепутал с Process Explorer ?
     
  9. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    M0rg0t,

    Вставить свой код в нэйтив, любой процесс будет контролируем на этапе инит.
     
  10. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.576
    Indy_, но куда? Инжектить в эксплорер и везде?
     
  11. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    M0rg0t,

    Изменить например ntdll, но это нэйтив - скилл для этого нужен соотв., тк загрузка пойдёт во всю систему все процессы, при этом юзер ртл будет не доступен, сложно короче. Есть есчо средства системные, но привязаны к имени апп, задача не чётко сформулирована.