在 Windows 系统中,可以通过多种方式跟踪 CreateProcessA 是否调用成功,包括 API Hook、调试器、日志监控 等方法。以下是几种常用的方法:
方法1:使用 API Hook(Detours / MinHook)
通过 DLL注入 + API Hook 拦截 CreateProcessA,检查其返回值及参数。
示例代码(使用 Microsoft Detours)
#include <windows.h>
#include <detours/detours.h>
// 原始函数指针
static BOOL (WINAPI *OriginalCreateProcessA)(
LPCSTR lpApplicationName,
LPSTR lpCommandLine,
LPSECURITY_ATTRIBUTES lpProcessAttributes,
LPSECURITY_ATTRIBUTES lpThreadAttributes,
BOOL bInheritHandles,
DWORD dwCreationFlags,
LPVOID lpEnvironment,
LPCSTR lpCurrentDirectory,
LPSTARTUPINFOA lpStartupInfo,
LPPROCESS_INFORMATION lpProcessInformation
) = CreateProcessA;
// Hook后的函数
BOOL WINAPI HookedCreateProcessA(
LPCSTR lpApplicationName,
LPSTR lpCommandLine,
LPSECURITY_ATTRIBUTES lpProcessAttributes,
LPSECURITY_ATTRIBUTES lpThreadAttributes,
BOOL bInheritHandles,
DWORD dwCreationFlags,
LPVOID lpEnvironment,
LPCSTR lpCurrentDirectory,
LPSTARTUPINFOA lpStartupInfo,
LPPROCESS_INFORMATION lpProcessInformation)
{
// 调用原函数
BOOL result = OriginalCreateProcessA(
lpApplicationName,
lpCommandLine,
... // 其他参数
);
// 检查是否成功
if (result) {
printf("[SUCCESS] Process created: %s\n",
(lpApplicationName != NULL) ? lpApplicationName : "NULL");
} else {
DWORD err = GetLastError();
printf("[FAILED] Error code: %d\n", err);
}
return result;
}
// DLL入口点(用于注入)
BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved)
{
if (ul_reason_for_call == DLL_PROCESS_ATTACH) {
DetourRestoreAfterWith();
DetourTransactionBegin();
DetourUpdateThread(GetCurrentThread());
DetourAttach(&(PVOID&)OriginalCreateProcessA, HookedCreateProcessA);
DetourTransactionCommit();
}
return TRUE;
}
使用方法
- 编译为
.dll。 - 使用
rundll32.exe或DLL注入工具(如RemoteDLL)加载到目标进程。 - 运行程序时,会打印
CreateProcessA的调用结果。
方法2:使用 Process Monitor(ProcMon)
微软官方工具,可以监控进程创建行为。
操作步骤
- 下载 ProcMon:Microsoft Sysinternals - Process Monitor
- 启动 ProcMon(管理员权限)。
- 设置过滤器:
Operation→"Process Create"Path→<你的目标进程名>
- 观察事件列表:
Result=SUCCESS→ 创建成功
Result=ACCESS_DENIED/INVALID_PARAMETER...→ 失败
方法3:调试器断点(WinDbg/x64dbg/OllyDbg)
用调试器在 kernel32!CreateProcessA / kernelbase!CreateProcessInternalW下断点。
(1) WinDbg/x64dbg
# WinDbg命令:
bp kernel32!CreateProcessA "gu; .if(eax==0){ .echo 'Failed'; !gle } .else { .echo 'Success' }"
!gle: 获取最后错误码 (GetLastError())。
(2) x64dbg/OllyDbg
- F2下断点后,查看返回值 (
EAX):EAX=1: Success
EAX=0: Failed (可查错误码)
方法4:ETW(Event Tracing for Windows)
记录系统调用事件:
logman start "proc_trace" -p Microsoft-Windows-Kernel-Process -o proc_trace.etl -ets
:: ...运行你的程序...
logman stop "proc_trace" -ets
然后用 WPA/WinDBG分析 .etl。
如何判断是否成功?
| API返回值 | GetLastError() | 含义 |
|---|---|---|
| TRUE | N/A | 成功 |
| FALSE | ERROR_FILE_NOT_FOUND (2) | EXE不存在 |
| FALSE | ERROR_ACCESS_DENIED (5) | 权限不足 |
总结推荐方案
| 场景 | 推荐方法 |
|---|---|
| 开发调试 | API Hook / WinDbg |
| 实时监控 | ProcMon |
| 长期日志分析 | ETW |
如果你需要更具体的实现细节,可以告诉我你的需求!
内容由零声教学AI助手提供,问题来源于学员提问
