1

Windbg またはその他のデバッガーを使用して、親プロセスによって作成された子プロセスの PID を取得する方法を知りたいです。

例 :

任意の実行中の「プロセス A」に付属するデバッガ。

デバッガーがプロセス A (親) にアタッチされると、プロセス A は、kernel32!CreateProcess* または kernel32!CreateProcessInternal を使用して別の子プロセス (プロセス B) を作成します。

プロセスAからプロセスBのPIDを取得するにはどうすればよいですか??

主にpydbgを使用してやりたいのですが、windbgを使用して手動でこれを達成する方法がわかれば、pydbgを使用して同じことができると思います。

前もって感謝します、

4

2 に答える 2

2

windbg の handle コマンドを使用してフラグ 0xf の Process を検索し、子プロセスの pid を取得できます。

cl /Zi /nologo /W4 /analyze %1% /link /RELEASEでコンパイルされたコード

C:\>type codesnips\childdbg\childdbg.cpp
#include <stdio.h>
#include <windows.h>
int main (void)
{
    STARTUPINFO si;
    PROCESS_INFORMATION pi;
    ZeroMemory( &si, sizeof(si) );
    si.cb = sizeof(si);
    ZeroMemory( &pi, sizeof(pi) );
    if( !CreateProcess( "c:\\windows\\system32\\calc.exe",NULL,NULL, NULL, FALSE
,0,NULL,NULL,&si,&pi ) )
    {
        printf( "CreateProcess failed (%d).\n", GetLastError() );
        return 0;
    }
    printf("waiting and watching when calc.exe will be no more\n");
    WaitForSingleObject( pi.hProcess, INFINITE );
    printf("calc.exe no more i am free to quit watching\n");
    CloseHandle( pi.hProcess );
    CloseHandle( pi.hThread );
    return 0;
}
    C:\> childdbg.exe
waiting and watching when calc.exe will be no more

上記で開始されたプロセスは次のように実行されます(pidまたは親と子に注意してください)

tlist -t はツリー ビューを表示します** 

C:\>tlist -t | grep -A 1 child
  opera.exe (1164) windows - How Internet Explorer(IE11)Creates low Integrity child process without CreateProcess Call - Stack Overflow - Opera
  childdbg.exe (6992) C:\codesnips\childdbg\childdbg.exe
    calc.exe (7040) Calculator

windbg または cdb プロンプトを開く 親プロセスにアタッチ タイプ Process のすべてのハンドルを取得し、親から .detach (tlist および cdb を介してフェッチされた pid を比較)

C:>cdb -c "!handle 0 f Process;.detach;q" -pn childdbg.exe

0:001> cdb: Reading initial command '!handle 0 f Process;.detach;q'
Handle 28
  Type          Process
  Attributes    0
  GrantedAccess 0x1f0fff:
         Delete,ReadControl,WriteDac,WriteOwner,Synch
         Terminate,CreateThread,,VMOp,VMRead,VMWrite,DupHandle,CreateProcess,Set
Quota,SetInfo,QueryInfo,SetPort
  HandleCount   4
  PointerCount  18
  Name          <none>
  Object Specific Information
    Process Id  7040
    Parent Process  6992
    Base Priority 8
1 handles of type Process
Detached
quit:

C:\>
于 2014-06-22T17:36:13.923 に答える