LyShark®

进程状态的判断包括验证进程是否存在，实现方法是通过枚举系统内的所有进程信息，并将该进程名通过`CharLowerBuff`转换为小写，当转换为小写模式后则就可以通过使用`strcmp`函数对比，如果发现继承存在则返回该进程的PID信息，否则返回-1。

首先实现枚举当前系统中所有进程信息，枚举该进程的核心点在于使用`CreateToolhelp32Snapshot()`函数，该函数用于创建系统进程和线程快照，它可以捕获当前系统中进程和线程相关的信息（如PID、线程数量、线程ID等），在对这些信息进行处理后，可以获得很多有用的数据，如当前系统中所有正在执行的进程的信息列表，以及每个进程各自的详细信息（如CPU、内存占用量等）。

首先为什么要实行分块传输字符串，一般而言`Socket`套接字最长发送的字节数为`8192`字节，如果发送的字节超出了此范围则后续部分会被自动截断，此时将字符串进行分块传输将显得格外重要，分块传输的关键在于封装实现一个字符串切割函数，将特定缓冲区内的字串动态切割成一个个小的子块，当切割结束后会得到该数据块的个数，此时通过套接字将个数发送至服务端此时服务端在依次循环接收数据包直到接收完所有数据包之后在组合并显示即可。

WSASocket无管道反向`CMD`，与无管道正向`CMD`相反，这种方式是在远程主机上创建一个`TCP`套接字，并绑定到一个本地地址和端口上。然后在本地主机上，使用`WSASocket`函数连接到远程主机的套接字，并将标准输入、输出和错误输出重定向到套接字的句柄上。这样，本地主机就可以通过网络连接到远程主机的套接字，发送`CMD`命令并获取命令输出结果。这种方式称为无管道反向`CMD`，因为`CMD`进程的输入输出是通过套接字而非管道进行的。

C/C++语言是一种通用的编程语言，具有高效、灵活和可移植等特点。C语言主要用于系统编程，如操作系统、编译器、数据库等；C语言是C语言的扩展，增加了面向对象编程的特性，适用于大型软件系统、图形用户界面、嵌入式系统等。C/C++语言具有很高的效率和控制能力，但也需要开发人员自行管理内存等底层资源，对于初学者来说可能会有一定的难度。

C/C++语言是一种通用的编程语言，具有高效、灵活和可移植等特点。C语言主要用于系统编程，如操作系统、编译器、数据库等；C语言是C语言的扩展，增加了面向对象编程的特性，适用于大型软件系统、图形用户界面、嵌入式系统等。C/C++语言具有很高的效率和控制能力，但也需要开发人员自行管理内存等底层资源，对于初学者来说可能会有一定的难度。

C/C++语言是一种通用的编程语言，具有高效、灵活和可移植等特点。C语言主要用于系统编程，如操作系统、编译器、数据库等；C语言是C语言的扩展，增加了面向对象编程的特性，适用于大型软件系统、图形用户界面、嵌入式系统等。C/C++语言具有很高的效率和控制能力，但也需要开发人员自行管理内存等底层资源，对于初学者来说可能会有一定的难度。

函数是python程序中的基本模块化单位，它是一段可重用的代码，可以被多次调用执行。函数接受一些输入参数，并且在执行时可能会产生一些输出结果。函数定义了一个功能的封装，使得代码能够模块化和组织结构化，更容易理解和维护。在python中，函数可以返回一个值或者不返回任何值，而且函数的参数可以是任何python对象，包括数字、字符串、列表、元组等。python内置了许多函数，同时也支持用户自定义函数。

原生套接字抓包的实现原理依赖于`Windows`系统中提供的`ioctlsocket`函数，该函数可将指定的网卡设置为混杂模式，网卡混杂模式（`Promiscuous Mode`）是常用于计算机网络抓包的一种模式，也称为监听模式。在混杂模式下，网卡可以收到经过主机的所有数据包，而非只接收它所对应的`MAC`地址的数据包。一般情况下，网卡会根据`MAC`地址过滤数据包，只有`MAC`地址与网卡所对应的设备的通信数据包才会被接收和处理，其他数据包则会被忽略。但在混杂模式下，网卡会接收经过它所连接的网络中所有的数据包，这些数据包可以是面向其他设备的通信数据包、广播数据包或多播数据包等。

本章内容涉及使用`Socket API`和`CMD`命令行工具实现本地`CMD`命令执行、无管道正向`CMD`和无管道反向`CMD`三种功能。执行本地`CMD`实现使用`CreateProcess`函数创建一个新的`CMD`进程，并将标准输入、输出和错误输出重定向到当前进程的标准输入、输出和错误输出。无管道正向`CMD`和无管道反向`CMD`使用`WSASocket`函数创建`TCP`套接字，并将`CMD`进程的标准输入、输出和错误输出重定向到套接字的句柄上，通过网络连接实现远程命令执行功能。