我要实现的是通过hook CreateProcessW阻止特定进程比如：abc.exe的创建。其中下面的代码是要替换CreateProcessW的自定义函数。
问题出在判断指定进程那里：LPCWSTR lpApplicationName：指向一个NULL结尾的、用来指定可执行模块的字符串，我通过改写MessageBoxW( NULL, lpApplicationName, L"拦截成功!W", MB_OK )发现输出的lpApplicationName是带路径的，如： E:\360\360Safe\360Safe.exe,这明显和我指定的360safe.exe不能比较。 
于是我想把lpApplicationName截取最后几个有用字符，可是那个LPCWSTR的类型const unsigned short *又让我没法下手。

所以求高手指点：如何进行lpApplicationName和我指定abc.exe的比较？

BOOL Replace_CreateProcessW(
  LPCWSTR lpApplicationName,                 // name of executable module
  LPWSTR lpCommandLine,                      // command line string
  LPSECURITY_ATTRIBUTES lpProcessAttributes, // SD
  LPSECURITY_ATTRIBUTES lpThreadAttributes,  // SD
  BOOL bInheritHandles,                      // handle inheritance option
  DWORD dwCreationFlags,                     // creation flags
  LPVOID lpEnvironment,                      // new environment block
  LPCWSTR lpCurrentDirectory,                // current directory name
  LPSTARTUPINFO lpStartupInfo,               // startup information
  LPPROCESS_INFORMATION lpProcessInformation // process information
)
{
  BOOL ret;
 //在此进行判断，是不是指定的进程。
  if(wcscmp(lpApplicationName,L"abc.exe")==0)
  {
//直接返回false让CreateProcess失败，这样就打不开abc.exe这个进程
    return FALSE;
  }
 //如果不是目标进程。让它正常创建，也就是调用在程序开始时保存好的原始CreateProcess指针指向的函数。
  ret=Real_CreateProcessW  (lpApplicationName,lpCommandLine,lpProcessAttributes,lpThreadAttributes,bInheritHandles,
 dwCreationFlags,lpEnvironment,lpCurrentDirectory,lpStartupInfo,lpProcessInformation);
//把创建结果返回
  return ret;
}

9 个解决方案

#1

---

#2

---

#3

---

#4

---

#5

---

#6

---

#7

---

#8

---

#9

---