NTAPI枚举指定进程中指定模块创建的线程

最新推荐文章于 2020-08-15 21:45:28 发布
最新推荐文章于 2020-08-15 21:45:28 发布
阅读量3.5w 收藏 1
点赞数 1
分类专栏: C/C++ Windows 内核驱动 文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rrrfff/article/details/43089141
版权
本文介绍了一种通过NTAPI来枚举指定进程中由特定模块创建的线程的方法,涉及到线程和模块地址的关系判断,以及在不同环境下的线程起始地址获取。代码示例中,首先调用NtQuerySystemInformation获取系统进程信息,然后遍历找到目标进程及其线程,最后使用KiOpenThread和NtQueryInformationThread等函数判断线程是否在模块范围内。
摘要由CSDN通过智能技术生成
代码示例了如何使用API枚举指定进程中指定模块创建的线程, 注意该方案存在一定局限性, 就是模块的起始地址和线程起始地址之间的关系无法保证, 可能存在漏掉的. 

static HANDLE KiOpenThread(ACCESS_MASK dwDesiredAccess, BOOL bInheritHandle, HANDLE dwThreadId)
{
	OBJECT_ATTRIBUTES ObjectAttributes;
	InitializeObjectAttributes(&ObjectAttributes, NULL, 0, NULL, NULL);
	if (bInheritHandle)
		ObjectAttributes.Attributes = OBJ_INHERIT;

	CLIENT_ID ClientId;
	ClientId.UniqueProcess = NULL;
	ClientId.UniqueThread  = dwThreadId;

	HANDLE hThread = NULL;
	NtOpenThread(&hThread, dwDesiredAccess, &ObjectAttributes, &ClientId);
	return hThread;
}

//-------------------------------------------------------------------------

/// <summary>
/// NTAPI枚举指定进程中指定模块创建的线程
/// </summary>
/// <param name="HANDLE dwProcessId"></param>
/// <param name="LPBYTE lpStart">模块开始地址, 可用 GetModuleInformation 等取得</param>
/// <param
最低0.47元/天 解锁文章
RLib
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
枚举某一进程线程
charge_release的博客
08-11 848
#include "stdafx.h" #include <windows.h> #include <TlHelp32.h> void ListThread(DWORD dwPid) { HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0); THREADENTRY32 te = {sizeof(
C++ 枚举进程线程
LYSM
09-01 1024
CreateToolhelp32Snapshot HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); if(hProcessSnap == INVALID_HANDLE_VALUE){ cout << "创建进程快照失败" << endl; return FALSE; } PROCESSENTRY32 process = {sizeof(PROCESSENTRY32)}; for(Proc
枚举系统进程线程
phoebeyufish的专栏
04-11 925
#include "stdafx.h"#include #include #include BOOL GetProcessList( );BOOL ListProcessModules( DWORD dwPID );BOOL ListProcessThreads( DWORD dwOwnerPID );BOOL GetProcessList( ){  HANDLE hProcessSnap; 
NtQuerySystemInformation 枚举进程
10-08 722
函数原型:NTSTATUS WINAPI NtQuerySystemInformation( _In_ SYSTEM_INFORMATION_CLASS SystemInformationClass, _Inout_ PVOID SystemInformation, _In_ ULONG...
枚举特定进程的所有线程列表
08-13 625
#include &lt;stdlib.h&gt; #include &lt;stdio.h&gt; #include &lt;windows.h&gt; #include &lt;tlhelp32.h&gt; BOOL RefreshThreadList(DWORD dwOwnerPID) { HANDLE hThreadSnap = NULL; BOOL ...
易语言枚举句柄关闭进程DLL模块
08-16
易语言枚举句柄关闭进程DLL模块源码 系统结构:GetProcessIdByProcessHandle,TerminateProcessByJob,OpenProcessByFuckHandle, ======程序集1 | | | |------ _启动子程序 | | | |------ _临时子程序 | | | |------ ...
API枚举进程模块.rar
04-04
1. **CreateToolhelp32Snapshot**: 这个函数创建一个进程快照,可以用来枚举进程线程。我们需要指定TH32CS_SNAPMODULE标志,以便捕获进程模块信息。 2. **Module32First** 和 **Module32Next**: 这两个函数配合...
准确在64位系统下枚举进程模块
04-08
本节将详细介绍如何在64位系统,包括32位和64位进程,使用Windows Management Instrumentation(WMI)来枚举其他进程模块。 首先,我们需要理解WMI是什么。WMI是Windows操作系统内置的一种管理系统资源和收集...
从系统进程列表根据进程名称查找指定进程及其模块
04-19
本文将深入探讨如何根据进程名称在系统进程找到指定进程及其模块,主要涉及的知识点包括“进程名称”、“进程id”以及“进程模块”。 首先,我们要了解什么是进程。在操作系统进程是程序的执行实例,它包含...
易语言API枚举进程模块源码
06-06
枚举进程模块是编程一个常见的任务,它允许程序员获取正在运行的进程所加载的所有动态链接库(DLL)或其他模块的信息。在Windows操作系统,这个功能通常通过API调用来实现。 "易语言"是国本土开发的一款...
易语言源码NT进程枚举.rar
03-30
易语言源码NT进程枚举.rar 易语言源码NT进程枚举.rar 易语言源码NT进程枚举.rar 易语言源码NT进程枚举.rar 易语言源码NT进程枚举.rar 易语言源码NT进程枚举.rar
ZwQuerySystemInformation枚举进程线程的软件源码
04-10
ZwQuerySystemInformation枚举进程线程VB很实用的源码,精心挑选的精品源码
枚举进程 线程 模块 句柄 取CPU信息 缓存 页文件信息等等
01-18
枚举进程 线程 模块 句柄 取CPU信息 缓存 页文件信息等等
32位进程枚举64位进程模块信息
06-02
' WOW64的32位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等....' 因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程,只是自己以为是32...
易语言API枚举进程模块
07-22
易语言API枚举进程模块源码,API枚举进程模块,Enum,Unicode转Ansi,ZwQueryVirtualMemory_mbi,ZwQueryVirtualMemory_msn,ReadProcessMemory_idh,ReadProcessMemory_inh,CopyMemory_msn,WideCharToMultiByte,...
x64 PspCidTable 枚举进程/ 线程
liushujie1的博客
08-15 809
x64 PspCidTable 枚举进程/ 线程![win10 测试效果图](https://img-blog.csdnimg.cn/2020081521295066.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xpdXNodWppZTE=,size_16,color_FFFFFF,t_70#pic_cent...
枚举进程,线程,进程模块
吾无法无天的博客
02-19 1015
#include <ntifs.h> #include <ntddk.h> #include <windef.h> typedef struct _PEB_LDR_DATA { BYTE Reserved1[8]; PVOID Reserved2[3]; LIST_ENTRY InMemoryOrderModuleList; } PEB_LDR_DAT...
NT内核函数枚举系统所有进程.
tangjian001的专栏
02-22 1173
//头文件部分.h #define NT_SUCCESS(status)          ((NTSTATUS)(status)>=0) #define STATUS_INFO_LENGTH_MISMATCH ((NTSTATUS)0xC0000004L) #define STATUS_ACCESS_DENIED        ((NTSTATUS)0xC0000022L) #def
##API(一)————枚举
weixin_30950887的博客
06-26 207
枚举 ##一,定义:   从java SE 5.0开始,java程序设计语言引入了一个新的类型--枚举(Enum). ##二,概念:   枚举是指由一组固定的常量组成的类型,使用关键字enum定义。 ##三,语法:   [Modifier] enum enumName{     enumContantName1,[enumContantName2]   }   Modifier ...
C语言如何指定枚举类型位宽
最新发布
04-16
你可以使用关键字"enum"来定义枚举类型,如下所示: enum Colors { RED, ORANGE, YELLOW, GREEN, BLUE }; 其,RED的值为0,ORANGE的值为1,以此类推。默认情况下,枚举类型的位宽为int类型的大小,通常为32位。如果需要改变位宽,可以通过指定枚举类型的基础类型来实现,例如: enum Colors: short { RED, ORANGE, YELLOW, GREEN, BLUE }; 这将把枚举类型的位宽设置为short类型的大小,通常为16位。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值