获取其他进程加载模块的详细信息

最新推荐文章于 2023-02-03 15:23:46 发布
原创 最新推荐文章于 2023-02-03 15:23:46 发布 · 3.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

通过调用ntdll.dll的NtQueryInformationProcess函数获取PROCESS_BASIC_INFORMATION结构,再利用PEB_LDR_DATA中的链表头遍历LDR_DATA_TABLE_ENTRY结构,从而得到进程模块的基地址、入口点、大小等详细信息。

CreateToolhelp32Snapshot传TH32CS_SNAPMODULE也可枚举模块信息,得到MODULEENTRY32 结构,但是MODULEENTRY32 比较简单,只有基地址和大小等信息,EntryPoint、LoadCount等信息都没有,这些信息在另一个结构LDR_DATA_TABLE_ENTRY中,wrk中多次引用了这个结构,并且用这种方法调试时也能手动遍历模块列表。

基本思路:用ntdll.dll的导出函数NtQueryInformationProcess查询进程的ProcessBasicInformation,获取PROCESS_BASIC_INFORMATION结构,

typedef struct _PROCESS_BASIC_INFORMATION {
NTSTATUS ExitStatus;
PPEB PebBaseAddress;//peb地址
ULONG_PTR AffinityMask;
KPRIORITY BasePriority;
U

最低0.47元/天 解锁文章
darthas
关注
cc2530期末试卷_Zigbee试卷B答案
weixin_29191081的博客
12-29 1234
2015--2016学年第一学期期末考试《Zigbee无线传感网络技术》试卷B(闭卷)答案一、填空题(每空格2分,共30分)1.单点寻址、广播寻址2.2.4GHz、163.物理层、MAC层4.近距离、低复杂度、低功耗、低成本5.2.4G直接序列扩频6.物理层、MAC层、网络层、应用层二、选择题(每题2分,共20分)1-5BDACD6-10CABDC三、判断题(每题1分,共10分)1、√2、×3、×...
c++跨进程获取模块基地址_虚拟化(5):地址翻译
weixin_35688303的博客
01-16 919
首先先回顾了下cpu的LDE模式的思路,主要就是在大多数时间让程序直接在硬件上运行,但是在一些关键功能上,比如硬件访问,进程调度上能够让os得到控制,从而实现了高效运行的同时也能保证对系统的控制。这一章要说的内存控制也是一样的思路,我们需要一些基本的硬件的支持,在这之上让os能够高效的实现vm.并且我们实现的vm也是需要有很好的扩展性,因为对程序来说,内存的变化是非常频繁的。为了实现vm,我们会使...
获取其他进程
azraelxuemo的博客
01-20 483
在一般实战中,我们都需要去控制已有的正常程序的运行流程,那么首先要获取其他进程的句柄 文章目录获取系统里正在运行的进程CreateToolhelp32Snapshot 获取系统里正在运行的进程 CreateToolhelp32Snapshot #include<stdio.h> #include<windows.h> #include<tlhelp32.h> int main() { WCHAR ProcessName[] = L"1.exe"; HANDLE hSn
查看指定进程加载模块
06-11
WIN7下测试成功。在其他系统上出现任何问题 与作者无关 谢谢
显示进程和指定进程加载模块
07-05
展示了如何显示当前系统进程(32位进程) 并显示指定名称进程加载了哪些模块(包括dll、ocx或者其他模块、被注入的模块等等) 关键函数: CreateToolhelp32Snapshot,EnumProcessModules,OpenProcess,Process32First 编译环境: vc2015 参考代码用法后可以移植到其他版本的vc开发环境
windows C++ 遍历进程线程以及进程加载模块
qq_43179054的博客
02-03 2833
本文是基于Win32 API函数实现遍历进程、遍历线程和遍历进程加载模块获取系统信息的操作。
getprocessinfo 获取进程模块信息.rar_getprocessin_优化算法_获取_获取 进程_进程信息
09-23
但它可能是指通过其他方式获取进程信息的一系列方法的统称,例如使用`CreateToolhelp32Snapshot`, `Process32First`, `Process32Next`,或者使用`OpenProcess`, `QueryInformationProcess`等函数来获取进程的详细...
c++获取进程信息列表和进程所调用的dll列表
09-04
`GetProcessName`方法是核心功能实现,它会遍历所有进程,并使用`EnumProcesses`获取进程ID,然后对每个进程ID调用`EnumProcessModules`来获取加载模块列表。为了获取DLL的名称,还需要使用`GetModuleBaseName`...
C#获取进程或线程相关信息的方法
09-03
9. **模块数量**(`Modules.Count`):进程加载模块(如动态链接库DLLs)的数量。 10. **基本优先级**(`BasePriority`):进程的基础优先级,影响CPU调度。 11. **提升优先级**(`PriorityBoostEnabled`):是否...
C++编程实现获取指定进程模块信息的方法
获取进程模块信息,就是要获取这些模块的名称、路径、基址等信息。 在C++中,可以使用Windows API(应用程序编程接口)来访问和操作系统资源。为了获取特定进程模块信息,我们需要调用特定的API函数,例如`...
基于visual c++之windows核心编程代码分析(19)枚举进程以及进程加载模块信息
flyingleo1981的专栏
12-08 1294
我们进行Windows安全编程的时候,经常需要检测进程,我们来实践一下枚举进程进程加载模块。请见代码实现与注释分析。     [cpp] view plain copy /* 头文件 */   #include    #include    #include    #include    /* 预处理声明 */   #pragm
通过导出表和函数名 获取特定进程模块的导出函数地址
吾无法无天的博客
04-24 2319
需要的头文件: #include<windows.h> #include<iostream> #include<Psapi.h> using namespace std; 获取进程下的模块基址: PVOID GetProcessMoudleBase(HANDLE hProcess, char* moduleName) { // 遍历进程模块, HM...
获取系统当前的进程模块信息
Matrix_Designer的专栏
09-12 1030
1:BOOL EnumProcesses( <br /> DWORD * lpidProcess, <br /> DWORD cb, <br /> DWORD * cbNeeded <br /> ); <br /> 获取当前系统的进程ID列表。lpidProcess为保存进程ID的数组,cb为数组大小,cbNeeded为实际的系统进程数 <br /><br /> 2:HANDLE OpenProcess( <br /> DWORD dwD
macos上获得程序文件所在的路径
mounter625的专栏
01-23 873
<br />#include <limits.h> /* PATH_MAX */<br />#include <stdio.h><br />#include <stdlib.h><br />#include <libgen.h><br />int main(int argc, char **argv) {<br /> char buf[PATH_MAX + 1]; /* not sure about the "+ 1" */<br /> char *res = realpath(argv[0],
c++操作进程程序
u014133104的博客
04-23 1433
#include &lt;Windows.h&gt; #include &lt;winternl.h&gt; #include &lt;iostream&gt; using namespace std; typedef NTSTATUS(NTAPI* QEURYINFORMATIONPROCESS)( IN HANDLE ProcessHandle, IN PROCESSINF...
windows下shellcode编写入门
热门推荐
x_nirvana的博客
03-31 1万+
本文简要介绍shellcode开发技术及其特点。理解这些概念可以有助于我们编写自己的shellcode。更进一步讲,你可以修改现有的漏洞利用代码来执行自己所需要的定制功能。
x64驱动 遍历驱动模块
LYSM
07-02 2711
_LDR_DATA_TABLE_ENTRY(未导出) 以下是win10 1803(x64) 上的 _LDR_DATA_TABLE_ENTRY: lkd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY +0x000 InLoadOrderLinks : _LIST_ENTRY // 指向下一个 _LDR_DATA_TABLE_ENTRY 的 InLoadOrderLinks 成员 +0x010 InMemoryOrderL
结构体 WIN7_LDR_DATA_TABLE_ENTRY结构(x86 x64)
07-29 3296
typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY InMemoryOrderLinks; LIST_ENTRY InInitializationOrderLinks; PVOID      DllBase; PVOID      EntryPoint; ULONG32    SizeOfIm...
_LDR_DATA_TABLE_ENTRY结构体
weixin_41693985的博客
12-22 1519
_LDR_DATA_TABLE_ENTRY结构体
使用Delphi获取Windows系统进程模块信息
Process32First和Process32Next函数用于遍历快照中的进程信息,它们与Module32First和Module32Next类似,分别用于获取和遍历进程加载模块信息。这些函数返回的数据结构TMODULEENTRY32和TPROCESSENTRY32包含了详细...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值