Discussion :

[smyley]

Je voudrais, à partir d'un processus que je lance moi même, récupérer tous les processus que ce dernier lancerai et ainsi de suite. Par exemple :
toto.exe
-> tata.exe
----> explorer.exe
-> titi.exe

(chaque flèche signifie que le processus lance un autre).
Je veux donc avoir la liste toto, tata, explorer, titi, quelque soit l'ordre ça je ne m'en soucie pas.

Est-ce possible ? et si oui, comment ?

[sloshy]

Bonsoir,
Je ne sais pas si une API existe pour réaliser ce genre de chose.
Néanmoins si je devais réaliser ce que tu demande ma première idée serait de listée tous les processus et de récuperer pour chacun d'entre eux une structure PROCESSENTRY32.
Dans cette structure ce retrouve le PID du processus ainsi que le PPID (Parent Process ID).

Une fois que tu as le PID et le PPID de chaque processus, le reste n'est plus qu'un tris.

[smyley]

On ne peut pas intercepter la création d'un nouveau process ?

[sloshy]

'soir,
Si bien entendu un hook est possible (je pensais que tu voulais l'information à un moment donné et pas directement lors de la création du processus excuse moi ).
Néanmoins il existe différent hook possible (et beaucoup de documentation à ce sujet), tu pourrais détaillé ce dont tu as besoins? (si tu souhaites connaitre toutes les créations de processus, ou uniquement les processus enfant à un processus donné)

EDIT://
Tu peux en effet réaliser un hook de la SSDT (qui fonctionne au niveau du kernel) et qui interceptera tout les appels à l'API que tu souhaites ou bien faire un hook de l'IAT (fonctionne en userland) qui interceptera tous les appels à de l'api de ton choix pour un processus donné.

Si on prend l'exemple de l'API CreateFile, le hook de la SSDT te préviendra à chaque appel de cet API (peut importe quel processus l'a appelé) alors que le hook de l'IAT te permettra d'agir à chaque fois que notepad fait appel à cette API.

[smyley]

Bon, il semblerai que je puisse à peut près reconstituer un arbre à partir de la liste de process (c'est fou comme wininit.exe lance des choses).

En fait, mon programme en lance un autre (toto.exe) qui a son tour lance plein d'autres programmes. Ce que je veux savoir c'est à quel moment toto.exe a fini de s'exécuter mais tout ce qu'il a lui même lancé par la suite (il peut s'arreter avant un de ses enfants par exemples).
Donc pour celà j'aurai bien aimé pouvoir, à partir de mon toto.exe, intercepter tous les lancements de programmes faits par ce dernier avant d'avoir une liste exhaustive des processus enfants en cours d'exécution et savoir quand tout l'arbre s'est arrété.

Autre petite chose juste pour la curiosité, quand je construit mon arbre à partir des processus, explorer.exe a pour parent un processus qui ne semble pas faire partie de l'énumération faite par Process32Next ... est-ce normal ? pareil pour conime.exe, winlogon.exe, etc ...

[smyley]

On dirait que ça le fait quand le processus parent n'est plus en cours d'exécution ...
Mais ça a l'air chaud les hook (surtout que je suis en C# moi )

[sloshy]

'jour,
J'ai edité mon poste (je ne sais pas si tu as eu le temps de voir ou pas).

Donc pour celà j'aurai bien aimé pouvoir, à partir de mon toto.exe, intercepter tous les lancements de programmes faits par ce dernier

Si tu as accès à la source de toto.exe (et que tu peux la modifier), c'est au niveau de la source que tu devrais effectuer cette opération.
Néanmoins partant du principe que tu n'as pas la source, c'est bien un hook de l'IAT qu'il est utile de mettre en place. (cf plus bas)

Autre petite chose juste pour la curiosité, quand je construit mon arbre à partir des processus, explorer.exe a pour parent un processus qui ne semble pas faire partie de l'énumération faite par Process32Next ... est-ce normal ? pareil pour conime.exe, winlogon.exe, etc ...

En réalité winlogon.exe a pour parent csrss.exe qui à lui même comme parent smss.exe qui a comme parent system et qui a comme parent System IDLE Process.
Si l'API utilisé ne liste pas tous les processus actifs c'est du au fait qu'elle ne liste que les processus actif en ring3 (userland) (je suppose, à vérifier).

Principe de l'IAT:
(oui je voulais te refilé un lien vers le Wikipédia mais la page ne semble pas exister)

Lorsqu'une application utilise une fonction situé dans un autre fichier, elle doit importer l'adresse de cette fonction et cela ce fait généralement via une table d'importation.
Donc quand tu fais appel à une API Windows, l'exécutable effectue un call sur l'IAT à l'endroit ou inscrit l'adresse de l'API et de là un jmp est effectué jusque l'API en question.
Le but du jeu est de modifier l'IAT pour donner l'adresse d'une fonction que tu aura préalablement crée au lieu de celle de l'API.
Donc, quand app.exe fera appel à l'API, c'est ta fonction qui sera executé.
Mais pour que l'API soit quand même executé, il faut qu'à la fin de ta fonction il y ai un jmp vers l'API.

tutorial + demo + source (En)

Voilà, j'espère pas trop avoir répondu à coté
Amicalement, sloshy

[smyley]

J'avais pas encore eu le courage de regarder depuis hier
ça m'a l'air vraiment monstrueux. Faudrait que j'essaye un jour où je serai vraiment tranquille (un jour pas comme aujourd'hui quoi, où je viens de déménager )
En tout cas je te dit déjà merci, même si je suis pas encore arrivé à ma solution