用CreateToolHelp32Snapshot 查看进程及其模块列表

最新推荐文章于 2023-01-21 05:23:34 发布
最新推荐文章于 2023-01-21 05:23:34 发布
阅读量2.4k 收藏
点赞数
分类专栏: delphi & windows 文章标签: listview token button integer delphi module
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/htiscold/article/details/3962817
版权

    经常看到类似"用CreateToolHelp32Snapshot 查看进程及其模块列表"的问题,但好象还没有看到真正完美解决的,虽然主要部份有很多人给出了方法,但因为一些细节问题,很多人即使照搬了代码也不成功,下面给出用DELPHI写的解决方法.

    主要思路其实网上有很多,无非是先用 CreateToolHelp32Snapshot(TH32CS_SNAPPROCESS,0) 得到所有进程 列表,然后用 CreateToolHelp32Snapshot(TH32CS_SNAPMODULE,pid) 得到相应进程的模块列表,但一个最关键的问题是如果没有系统权限(不仅仅是属于 ADMINISTRATORS组)是不能查看其它进程的模块信息的.

    解决这个问题最重要的细节是要提升当前进程的权限.

unit Unit1;

interface

uses
  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
  Dialogs, StdCtrls,TLHelp32, ComCtrls, ExtCtrls;

type
  TForm1 = class(TForm)
    Panel1: TPanel;
    ListView1: TListView;
    Splitter1: TSplitter;
    ListView2: TListView;
    Panel2: TPanel;
    Button1: TButton;
    Button2: TButton;
    procedure Button1Click(Sender: TObject);
    procedure Button2Click(Sender: TObject);
    procedure ListView1DblClick(Sender: TObject);
    procedure FormCreate(Sender: TObject);
  private
    { Private declarations }
  public
        { Public declarations }
        procedure getmodulelist(pid:integer);
  end;

var
  Form1: TForm1;

implementation

function AdjustProcessPrivilege(Processhandle:Thandle;Token_Name:pchar):boolean;
var
    Token:cardinal;
    TokenPri:_TOKEN_PRIVILEGES;
    processDest:int64;
    i:DWORD;
begin
    Result:=false;
    if OpenProcessToken(Processhandle,TOKEN_ADJUST_PRIVILEGES,Token) then
    begin
        if LookupPrivilegeValue(nil,Token_Name,processDest) then
        begin
            TokenPri.PrivilegeCount:=1;
            TokenPri.Privileges[0].Attributes:=SE_PRIVILEGE_ENABLED;
            TokenPri.Privileges[0].Luid:=processDest;
            i:=0;
            if AdjustTokenPrivileges(Token,false,TokenPri,sizeof(TokenPri),nil,i) then
                Result:=true;
        end;
    end;
end;

{$R *.dfm}

procedure TForm1.Button1Click(Sender: TObject);
var th32handle:THandle;procstruct:TProcessEntry32;pid:string;
    finded:boolean;proname:string;mdfn:array[0..255] of char;
begin
    //列出所有进程
    th32handle:=CreateToolHelp32Snapshot(TH32CS_SNAPPROCESS,0);
    try
        procstruct.dwSize:=sizeof(procstruct);
        ListView1.Clear;
        finded:=Process32First(th32handle,procstruct);
        while finded do
        begin
            proname:=String(procstruct.szExeFile);
            pid:=inttostr(procstruct.th32ProcessID);
           
           
            with ListView1.Items.Add do
            begin
                Caption:=pid;
                SubItems.Add(proname);

                //SubItems.Add('');
            end;
            //CloseHandle(hproc);
            finded:=Process32Next(th32handle,procstruct);
        end;
    finally
        CloseHandle(th32handle);
    end;
end;

procedure TForm1.Button2Click(Sender: TObject);
begin
    getmodulelist(0); //可以先试下得到当前进程的模块列表
end;

procedure TForm1.getmodulelist(pid: integer);
var th32handle:THandle;procstruct:TModuleEntry32;
    finded:boolean;
begin
    th32handle:=CreateToolHelp32Snapshot(TH32CS_SNAPMODULE,pid);
    try
        procstruct.dwSize:=sizeof(procstruct);
        ListView2.Clear;
        finded:=Module32First(th32handle,procstruct);
        while finded do
        begin
            with ListView2.Items.Add do
            begin
                Caption:=inttostr(procstruct.th32ProcessID);
                SubItems.Add(inttostr(procstruct.th32ModuleID));
               
                SubItems.Add(inttostr(procstruct.hModule));
                SubItems.Add(procstruct.szModule);
                SubItems.Add(procstruct.szExePath);
            end;
           
            finded:=Module32Next(th32handle,procstruct);
        end;
    finally
        CloseHandle(th32handle);
    end;
end;

procedure TForm1.ListView1DblClick(Sender: TObject);
begin
    getmodulelist(strtoint(ListView1.Selected.Caption));
end;

procedure TForm1.FormCreate(Sender: TObject);
begin
    AdjustProcessPrivilege(GetCurrentProcess,'SeDebugPrivilege');//要先提升至系统权限才能查看其它进程的信息
end;

end.

htiscold
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
枚举进程(CreateToolhelp32Snapshot函数剖析)
KOOKNUT的博客
03-13 770
之前写过一些枚举进程的代码,这两天正在回顾之前学习的代码,看到了CreateToolhelp32Snapshot函数,就顺便来看看它的具体实现吧。 实现枚举进程信息的这个过程看起来是比较easy的,只不过是一些Windows的API函数罢了: CreateToolhelp32Snapshot Process32First Process32Next 就利用这三个函数,便可实现当前系统进程的枚举...
Windows进程模块查看器-支持32位和64位进程
05-06
本工具通过读取进程PEB数据遍历进程所加载的模块信息,包括模块名,模块路径,模块基地址等信息,支持64位和32进程
Windbg Preview调试分析CreateToolhelp32Snapshot
笔记本
06-03 3193
进程隐藏的时候并没有对CreateToolhelp32Snapshot进行Hook,而是Hook了ZwQuerySystemInformation,写了一个调用CreateToolhelp32Snapshot显示进程的小程序,分析一下,顺便了解下Windbg Preview怎么用. 1. 应用商店搜索Windbg Preview下载,界面比原来的版本好看很多,而且也有更多地功能区,各种方便,推...
四种方法实现VC枚举系统当前进程
weixin_33912445的博客
08-30 273
    在Windows 2000以上的MS操作系统,通过Windows的任务管理器可以列出当前系统的所有活动进程(如图1所示),在Windows XP中,更是在控制台下增加了一条Tasklist命令,让系统下的所有进程无所遁行(如图2所示)。这一切是怎么实现的呢?  图 1  图 2 引用侯捷大师在《深入浅出MFC》的一句话,“知其然而不知其所以然,真不是个好办法”。既然如此,我们干脆自己...
windows下取得系统常用信息方法
clovejava的专栏
09-07 941
 Windows2000/XP内含的任务管理器(Taskmgr)相信大家都熟悉吧,相比之下XP里的要比2000功能更加强大,返回的信息也更加的详细,不过您是否觉得还有很多希望获得的消息没有包含在里面吗?您是否觉得Windows的系统管理工具箱里的东西太分散了吗?下面就让我们看看它们的开发原理,并动手实现一个真正的任务管理器。现在我们是调用Win32API来实现这些功能的,但是大家都说MS隐藏了
CreateToolhelp32Snapshot
xrzh8989的专栏
01-06 1798
 ToolHelp32 库函数在 KERNEL32.dll 中,它们都是标准的 API 函数。但是 Windows NT 4.0 不提供这些函。 ToolHelp32 库中有各种各样的函数可以用来枚举系统中的进程、线程以及获取内存和模块信息。 其中枚举进程 只需用如下三个的函数:CreateToolhelp32Snapshot()、Process32First()和 Process32Ne
CreateToolhelp32Snapshot详解
热门推荐
baidu_25539425的博客
09-17 1万+
HANDLE WINAPI CreateToolhelp32Snapshot( DWORD dwFlags, DWORD th32ProcessID ); dwFlags: TH32CS_INHERIT :使用这个标志表示,这个快照句柄是可继承的TH32CS_SNAPALL :表示使用了以下的全部标志,总共四个TH32CS_SNAPHEAPLIST, TH32CS_SNAPMODU
WindowsAPI ——CreateToolhelp32Snapshot
qq_38933606的博客
08-23 1212
CreateToolhelp32Snapshot 获取指定文件大小,in byte。 函数原型 DWORD GetFileSize(__kernel_entry NTSTATUS NtQueryInformationProcess( HANDLE ProcessHandle, PROCESSINFOCLASS ProcessInformationClass, PVOID ProcessInformation, ULONG ProcessInformationLength, PULONG ReturnLe
CreateToolhelp32Snapshot函数
haiou327’blog
08-12 3259
DELPHI - CreateToolhelp32Snapshot函数 一、函数介绍 在Windows系统中动态链接库kernel32.dll提供了获取和处理系统进程的许多接口函数,Delphi语言把这些函数接口封装到Tlhelp32.pas中,供Delphi用户开发过程调用
C/C++遍历某进程模块
CSDN
07-16 6039
这段代码的目的是通过遍历进程模块快照,查找到QQ音乐进程,并打印出其模块名。这段代码使用了Windows的Toolhelp32Snapshot API,遍历给定进程模块快照并打印模块信息。这段代码的目的是获取指定进程模块信息,并打印出模块的文件名。这段代码使用了Windows API来获取指定进程模块信息,并打印出模块名。函数,将分配的内存空间作为模块句柄数组传入,并传入先前获取的字节数。函数获取第一个模块的信息,返回一个布尔值表示是否成功。表示进程的ID,将获取进程模块信息。
进程管理 使用CreateToolhelp32Snapshot获取系统进程
10-28
提升权限,进程结束,键盘钩子,鼠标钩子 使用CreateToolhelp32Snapshot获取系统进程 //提高权限.可结束太部分进程 BOOL CProcesskillDlg::UpdateProcessPrivilege(HANDLE hprocess,LPCTSTR lpName) { HANDLE hToken; HANDLE hProcess; LUID destLuid; int iResult; if(hprocess == NULL) hProcess = GetCurrentProcess(); else hProcess = hprocess; if ( ::OpenProcessToken( hProcess, TOKEN_ALL_ACCESS, &hToken ) ) { if ( ::LookupPrivilegeValue( NULL, lpName/*SE_DEBUG_NAME*/, &destLuid ) )
C++基于CreateToolhelp32Snapshot获取系统进程实例
01-20
本文实例讲述了C++基于CreateToolhelp32Snapshot获取系统进程的实现方法。分享给大家供大家参考。具体方法如下: // GetWinProcess.cpp : 定义控制台应用程序的入口点。 // #include stdafx.h #include #include ...
CreateToolhelp32SnapshotForModule.zip_进程模块
09-22
CreateToolhelp32SnapshotForModule 输入您要获取模块进程ID号 得到模块路径/名称
WOW64通过PEB获取32/64位进程以及模块信息(附带DEMO)
06-23
对于32进程,通过 CreateToolhelp32Snapshot,Process32First,Process32Next,Module32First,Module32Next进行进程模块的遍历。 特别说明:由于对于WINDOWS系统权限掌握尚不深入,对于WINDOWS系统进程,仅能...
WinCE下开发程序常见问题
aristolto的专栏
04-23 3039
WinCE下开发程序常见问题 一. wince中,如何根据进程名称获得该进程ID DWORD GetProcessID(CString name) {     HANDLE procSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);    if(procSnap == INVALID_HANDLE_VALUE)    {
导出windows密码技巧总结
渗透测试研究中心
12-16 6149
一、使用RPC控制lsass加载SSP,实现DUMP LSASS绕过杀软 1.已编译好的ssp.dll(建议自己编译) spp.dll 需要修改为完整的绝对路径,测试环境是win2012 管理员权限,提取的文件在C:\Windows\Temp\temp.bin,在windows 10 可能需要system权限。 编译成功的spp.dll文件以及loader注入器: https://github.com/Mr-xn/Penetration_Testing_POC/blob/master/tools/l
CreateToolhelp32Snapshot函数的头文件
苍苍尘渺天的专栏
05-30 1万+
CreateToolhelp32Snapshot函数的头文件是---  #include "tlhelp32.h"
C++` 调用 CreateToolhelp32Snapshot 进程快照 取进程PID
wangyunhe5120的博客
01-21 458
C++ 写外挂 进程快照 取进程id 调用CreateToolhelp32Snapshot API
在python中使用CreateToolhelp32Snapshot
最新发布
07-13
在Python中使用`CreateToolhelp32Snapshot`函数,你需要使用`ctypes`模块来调用Windows API。这个函数是用来获取进程列表的快照,并可以对这些进程进行遍历。 下面是一个使用`CreateToolhelp32Snapshot`函数的示例...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值