VC++枚举进程与模块

最新推荐文章于 2024-06-07 12:25:17 发布
最新推荐文章于 2024-06-07 12:25:17 发布
阅读量6.9k 收藏 3
点赞数 
//http://www.myexception.cn/cpp/913576.html
#pragma once
#define _WIN32_WINNT 0x0500 
#include"windows.h"
#include"tlhelp32.h"
#include"stdio.h"
#include"NativeApi.h"
#include"wchar.h"
#include"psapi.h"//SDK6.0
#pragma comment(lib,"psapi.lib")SDK6.0,不知道为什么vc6好像没有自带这个头文件??

int GetUserPath(WCHAR* szModPath);
BOOL GetProcessModule(DWORD dwPID)
{
    BOOL bRet    =    FALSE;
    BOOL bFound    =    FALSE;
    HANDLE hModuleSnap = NULL;
    MODULEENTRY32 me32 ={0};
	
    hModuleSnap = ::CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,dwPID);//创建进程快照
    if(hModuleSnap == INVALID_HANDLE_VALUE)
	{   
		printf("获取模块失败!\n");
		return FALSE;
	}
	
    me32.dwSize = sizeof(MODULEENTRY32);
    if(::Module32First(hModuleSnap,&me32))//获得第一个模块
	{
		do{
			printf("方法1列模块名:%s\n",me32.szExePath);
		}while(::Module32Next(hModuleSnap,&me32));
	}//递归枚举模块
	
	CloseHandle(hModuleSnap);
	return bFound;
}

bool ForceLookUpModule(DWORD dwPID)
{
	typedef DWORD( WINAPI *FunLookModule)(
		HANDLE ProcessHandle,
		DWORD BaseAddress,
		DWORD MemoryInformationClass,
		DWORD MemoryInformation,
		DWORD MemoryInformationLength,
		DWORD ReturnLength );
	HMODULE hModule = GetModuleHandle ("ntdll.dll" ) ;
	if(hModule==NULL)
	{ 
		return FALSE;
	}
    FunLookModule ZwQueryVirtualMemory=(FunLookModule)GetProcAddress(hModule,"ZwQueryVirtualMemory");
	if(ZwQueryVirtualMemory==NULL)
	{
		return FALSE;
	}
	HANDLE hProcess=OpenProcess(PROCESS_QUERY_INFORMATION,1,dwPID);
	if(hProcess==NULL)
		return FALSE;
	PMEMORY_SECTION_NAME Out_Data=(PMEMORY_SECTION_NAME)	malloc(0x200u);
	DWORD retLength;
	WCHAR Path[256]={0};
	wchar_t wstr[256]={0};
	
	for(unsigned int i=0;i<0x7fffffff;i=i+0x10000)
	{ 
		if( ZwQueryVirtualMemory(hProcess,(DWORD)i,2,(DWORD)Out_Data,512,(DWORD)&retLength)>0)
		{ 
			if(!IsBadReadPtr((BYTE*)Out_Data->SectionFileName.Buffer,1))
			{
				if(((BYTE*)Out_Data->SectionFileName.Buffer)[0]==0x5c)
				{
					if(wcscmp(wstr, Out_Data->SectionFileName.Buffer))			
					{   
						_wsetlocale(0,L"chs"); 				
						GetUserPath(Out_Data->SectionFileName.Buffer);
						wprintf(L"方法2列模块%s\n",Out_Data->SectionFileName.Buffer);
					}
					wcscpy(wstr,   Out_Data->SectionFileName.Buffer);
				}	
			}
		}
	}
	CloseHandle(hProcess);
	return TRUE;
	
}
int GetUserPath(WCHAR* szModPath)
{    //\Device\HarddiskVolume1, 
	WCHAR Path[256]={0};
	WCHAR* Temp3=new WCHAR[3];	
	Temp3[2]='\0';	
	Temp3[1]=':';
	THead* phead=new THead;
	phead->Next=NULL;
	phead->Num=szModPath[22];
	for(int i='C';i<='Z';i++)
	{Temp3[0]=i;
	if(QueryDosDeviceW(Temp3,Path,30))
		if(phead->Num==Path[22])
		{  
			phead->Disk=(WCHAR)i;
			break;
		}
	}
	   
   szModPath[0]=phead->Disk;
   szModPath[1]=':';
   szModPath[2]='\0';
   wcscpy(Path,szModPath+23);
   wcscat(szModPath,Path);
   
   delete phead;
   delete Temp3; 
   
   return 0;
}
BOOL EnableDebugPrivilege(BOOL fEnable)//这个用于提权的
{  
	BOOL fOk = FALSE;   
	HANDLE hToken;
	
	if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES,&hToken))
	{   
		TOKEN_PRIVILEGES tp;
		tp.PrivilegeCount = 1;
		LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &tp.Privileges[0].Luid);
		tp.Privileges[0].Attributes = fEnable ? SE_PRIVILEGE_ENABLED : 0;
		AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(tp), NULL, NULL);
		fOk = (GetLastError() == ERROR_SUCCESS);
		CloseHandle(hToken);
	}
	else
	{
		return 0;
	}
	return(fOk);
}

void EnumModlueAll(DWORD dwPID)
{   
	HANDLE hProcess=OpenProcess(PROCESS_ALL_ACCESS,false,dwPID);
	if(hProcess==INVALID_HANDLE_VALUE)
	{ printf(" open process failed!\n");
	return;
	}
	DWORD size=0,ret=0;
	EnumProcessModules(hProcess,NULL,size,&ret);
	HMODULE *parry=(HMODULE*)malloc(ret+4);
	memset(parry,0,ret+4);
	if(EnumProcessModules(hProcess,parry,ret+4,&ret))
	{
		char* path=new char[MAX_PATH];
		memset(path,0,MAX_PATH);
		UINT i=0;
		
		while(GetModuleFileNameEx(hProcess,parry[i],path,MAX_PATH))
		{
			printf("方法3模块:%s\n",path);
			memset(path,0,MAX_PATH);
			i++;
		}
		delete path;
		
	}
	free(parry);
	
	CloseHandle(hProcess);
}

void EnumModuleEx(DWORD dwPID)
{   
	DWORD status;
	HMODULE hMod=GetModuleHandle("ntdll.dll");
	RTLCREATEQUERYDEBUGBUFFER RtlCreateQueryDebugBuffer=(RTLCREATEQUERYDEBUGBUFFER )GetProcAddress(hMod,"RtlCreateQueryDebugBuffer");
	RTLQUERYPROCESSDEBUGINFORMATION RtlQueryProcessDebugInformation=(RTLQUERYPROCESSDEBUGINFORMATION)GetProcAddress(hMod,"RtlQueryProcessDebugInformation");
	RTLDESTROYDEBUGBUFFER RtlDestroyQueryDebugBuffer =(RTLDESTROYDEBUGBUFFER )GetProcAddress(hMod,"RtlDestroyQueryDebugBuffer");
	if((hMod==NULL)||(RtlDestroyQueryDebugBuffer==NULL)||(RtlQueryProcessDebugInformation==NULL)||(RtlCreateQueryDebugBuffer==NULL))
	{
		printf("函数定位失败!\n");
		return ;
	}	
	
	PDEBUG_BUFFER Buffer=RtlCreateQueryDebugBuffer(0,FALSE);
	status=RtlQueryProcessDebugInformation(dwPID,PDI_MODULES ,Buffer);
	if(status<0)
	{ 
		printf("RtlQueryProcessDebugInformation函数调用失败,进程开了保护\n");
		return ;
	}
	ULONG count=*(PULONG)(Buffer->ModuleInformation);
	ULONG hModule=NULL;
	PDEBUG_MODULE_INFORMATION ModuleInfo=(PDEBUG_MODULE_INFORMATION)((ULONG)Buffer->ModuleInformation+4);
	for(ULONG i=0;i<count;i++)
	{
		printf("方法4列出的模块:%s\n",ModuleInfo->ImageName);
		ModuleInfo++;
	}
	
	RtlDestroyQueryDebugBuffer(Buffer);
}

void EnumSelfModule()
{
	void *PEB         = NULL,
		*Ldr         = NULL,
		*Flink       = NULL,
		*p           = NULL,
		*BaseAddress = NULL,
		*FullDllName = NULL;
	printf("列举自身模块!\n");
	__asm
	{
		mov     eax,fs:[0x30]
			mov     PEB,eax
	}
	printf( "PEB   = 0x%08X\n", PEB );
	Ldr   = *( ( void ** )( ( unsigned char * )PEB + 0x0c ) );
	printf( "Ldr   = 0x%08X\n", Ldr );
	Flink = *( ( void ** )( ( unsigned char * )Ldr + 0x0c ) );
	printf( "Flink = 0x%08X\n", Flink );
	p     = Flink;
	do
	{
		BaseAddress = *( ( void ** )( ( unsigned char * )p + 0x18 ) );
		FullDllName = *( ( void ** )( ( unsigned char * )p + 0x28 ) );
		printf( "p     = 0x%08X 0x%08X ", p, BaseAddress );
		wprintf( L"%s\n", FullDllName );
		p = *( ( void ** )p );
	}
	while ( Flink != p );
	return;
	
}

#define PAGE_SIZE 0x1000
void  Search();
bool IsValidModule(ULONG i);
bool PrintModule();
void main();
bool IsValidModule(byte* i)
{   
	if(IsBadReadPtr((void*)i,sizeof(IMAGE_DOS_HEADER)))
		return false;
	IMAGE_DOS_HEADER *BasePoint=(IMAGE_DOS_HEADER *)i;
	PIMAGE_NT_HEADERS32 NtHead=(PIMAGE_NT_HEADERS32)(i+BasePoint->e_lfanew);
	if(IsBadReadPtr((void*)NtHead,PAGE_SIZE))
		return false;
	if((NtHead->FileHeader.Characteristics&IMAGE_FILE_DLL)==0)//过滤掉。exe文件
		return false;
	if(NtHead->OptionalHeader.Subsystem==0x2)
		return true;
	if(NtHead->OptionalHeader.Subsystem==0x3)
		return true;
	return false;
}

void Search()
{   
	printf("暴力搜索列举模块!\n");
	UCHAR* i=(PUCHAR)0x10000000;
	int Num=0;
	for(;i<(PUCHAR)0x7ffeffff;i+=PAGE_SIZE)
	{   
		if(IsValidModule(i))
		{
			printf("\t\t find a module at %08x\n",i);
			Num++;
		}	
		
	}
	printf("\t\t total find module :%03d\n",Num);
}

void main()
{
	EnableDebugPrivilege(true);
	EnumModlueAll(4228);
	ForceLookUpModule(4228);
	getchar();
	GetProcessModule(4228);
	EnumModuleEx(4228);
	getchar();
	EnumSelfModule();
	getchar();
	Search();
	printf("按任意键退出........");
	getchar();
}


tiandyoin
关注
VC++ 枚举进程模块信息
09-14
总结来说,VC++枚举进程模块信息是系统分析和调试的重要手段,它涉及到了Windows API的使用、进程管理和模块分析等多个知识点。通过学习和实践这一技术,开发者可以更好地理解和控制系统的运行状态,提高问题排查的...
EnumProcessModules 使用 获取进程的路径
07-08 8182
EnumProcessModules Function获得指定进程中所有模块的句柄。语法BOOL WINAPI EnumProcessModules(in   HANDLE hProcess,out  HMODULE *lphModule,in   DWORD cb,out  L
枚举进程加载模块
UruseiBest 的技术专栏
07-12 983
在教程 vb.net 教程 6-3 进程加载的模块 中详细讲解了使用 Process类的modules属性,该属性可以获取进程加载的所有Dll文件,详细使用可以参看上述博文。但是在实际使用中存在一个问题:对于有些程序,不能获得其进程全部的加载模块。例如,获得QQExternal的加载模块,如果使用.Net只能获得5个dll。但是通过其它工具,可以看到实际包含了很多dll: 通过调用系统api可以很好地解决这个问题。.........
VC++实现枚举进程模块
weixin_30547797的博客
10-24 230
#pragma once #define _WIN32_WINNT 0x0500 #include"windows.h" #include"tlhelp32.h" #include"stdio.h" #include"NativeApi.h" #include"wchar.h" #include"psapi.h"//SDK6.0 #pragma comment(lib,"psapi.lib"...
完美的线程注入和卸载
山寨3D的专栏
01-30 881
unit Unit1;interfaceuses  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,  Dialogs, StdCtrls;type  TForm1 = class(TForm)    Button1: TButton;    Button2: TButton;   
进程遍历-EnumProcesses枚举
最新发布
hide_in_darkness的博客
06-07 967
​ lpFilename 指向接收模块的完全限定路径的缓冲区的指针。​ hModule 模块的句柄, 如果此参数为 NULL, 则 GetModuleFileNameEx 返回 hProcess 中指定的进程的可执行文件的路径。​ hProcess 包含模块进程句柄,句柄必须具有 PROCESS_QUERY_INFORMATION 和 PROCESS_VM_READ 访问权限。​ lpidProcess 指向接收进程标识符列表的数组的指针。​ dwProcessId 打开的本地进程的标识符。
VC++ 枚举所有进程信息
03-15
接着,`EnumProcessModules`函数用于枚举进程中的模块,而`GetModuleBaseName`则用于获取模块的基本名称,也就是进程的可执行文件名。 请注意,为了获取更详细的进程信息,如CPU使用率、内存占用等,可能还需要使用...
vc++进程与端口的映射 源代码
03-28
6. **EnumProcessModules()** 和 **GetModuleFileNameEx()**:这些API用于枚举进程中的模块,并获取模块文件名,从而了解进程可能使用的库,如Winsock库。 7. **代码实践**:在"vc++进程与端口的映射 源代码"的场景...
VC进程模块枚举及查看管理器
03-17
内容索引:VC/C++源码,系统相关,进程,枚举,远程卸载 VC++编写的进程模块查看器,用于枚举系统的所有进程及其所挂接的所有模块,并实现了枚举进程、远程卸载指定进程模块、搜索指定进程的功能。上边的截图。此外,这...
VC如何枚举系统当前进程listprocess
04-02
此外,为了使程序更具可读性和可维护性,可以将枚举进程的功能封装到一个类或单独的模块中,这样在其他地方也可以复用这段代码。同时,根据实际需求,还可以扩展功能,例如收集进程的其他信息,如CPU占用率、内存...
四种方法实现VC枚举系统当前进程
weixin_33912445的博客
08-30 290
    在Windows 2000以上的MS操作系统,通过Windows的任务管理器可以列出当前系统的所有活动进程(如图1所示),在Windows XP中,更是在控制台下增加了一条Tasklist命令,让系统下的所有进程无所遁行(如图2所示)。这一切是怎么实现的呢?  图 1  图 2 引用侯捷大师在《深入浅出MFC》的一句话,“知其然而不知其所以然,真不是个好办法”。既然如此,我们干脆自己...
EnumProcesses
linux_wolfelite的专栏
02-20 4585
  EnumProcessesBOOL EnumProcesses( DWORD *lpidProcess, DWORD cb, DWORD *cbNeeded );EnumProcesses()带三个参数,DWORD 类型的数组指针 lpidProcess;该数组的大小尺寸 cb;以及一个指向 DWORD 的指针 cbNeeded,它接收返回数据的长度。DWORD 数组用于保存当前运行的
VC判断64位和32位模块进程枚举进程
weixin_33709364的博客
06-13 636
首先通过判断是否是64位系统,然后IsWow64Process函数判断是否是64位程序的进程。 主要代码:(判断否是64位系统不明的参考我另外一篇文章): //打开进程并返回句柄 hProcess = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, FALSE, pe32.th3...
遍历进程名的几种方法
snjdju的专栏
05-06 982
方法一:使用EnumProcessModule<img id="Code_Closed_Image_110151" style="display: none;" onclick="function onclick(){this.style.display=none; Code_Closed_Text_110151.style.display=none; Code_Open_Im
C/C++遍历某进程模块
热门推荐
CSDN
07-16 1万+
这段代码的目的是通过遍历进程模块快照,查找到QQ音乐进程,并打印出其模块名。这段代码使用了Windows的Toolhelp32Snapshot API,遍历给定进程模块快照并打印模块信息。这段代码的目的是获取指定进程模块信息,并打印出模块的文件名。这段代码使用了Windows API来获取指定进程模块信息,并打印出模块名。函数,将分配的内存空间作为模块句柄数组传入,并传入先前获取的字节数。函数获取第一个模块的信息,返回一个布尔值表示是否成功。表示进程的ID,将获取该进程模块信息。
EnumProcessModules失败的问题
Wing的博客
12-16 7411
当我们为了列出所有的进程而使用EnumProcessModules时,有可能发现很多进程获取不到进程名等信息。 根据官方文档说明:当我们在64位系统上,运行32位的程序来获取进程列表的时候,只能获取到32位的进程,获取不到64位的进程。如果真的有这个需要,请采用64位编译程序,另外如果要单独列出32位或者64位的进程,可以使用EnumProcessModulesEx方法。
vc++ 枚举所有串口
07-28
vc 是 Visual C++ 编程语言的简称,可以用于开发 Windows 系统的应用程序。 在 Visual C++ 中,要枚举所有串口,可以使用 Win32 API 来完成。以下是一种实现方法: 首先,需要引入 Windows.h 头文件,该头文件包含了访问串口的相关函数和结构体。 然后,使用 CreateFile 函数打开串口,通过遍历端口号来获取每个串口的句柄。例如,端口号 COM1 对应的句柄为"\\\\.\\COM1"。 接着,使用 GetCommState 函数获取当前串口的配置信息,可以得到波特率、数据位、奇偶校验等参数。 随后,将获取到的串口信息存储到一个数组中,即可完成所有串口的枚举。 最后,使用 CloseHandle 函数关闭串口句柄,释放资源。 下面是示例代码: ```cpp #include <Windows.h> #include <iostream> int main() { for (int i = 1; i <= 255; i++) { std::string portName = "\\\\.\\COM" + std::to_string(i); HANDLE hPort = CreateFile( portName.c_str(), GENERIC_READ | GENERIC_WRITE, 0, NULL, OPEN_EXISTING, 0, NULL ); if (hPort != INVALID_HANDLE_VALUE) { DCB dcb; if (GetCommState(hPort, &dcb)) { std::cout << "串口号: COM" << i << std::endl; std::cout << "波特率: " << dcb.BaudRate << std::endl; std::cout << "数据位: " << dcb.ByteSize << std::endl; std::cout << "奇偶校验: " << dcb.Parity << std::endl; std::cout << std::endl; } CloseHandle(hPort); } } return 0; } ``` 上述代码通过遍历从 COM1 到 COM255 的端口号,打开每个串口并获取其配置信息,并将其输出到控制台。 总结:以上就是使用 Visual C++ 枚举所有串口的方法及示例代码。通过遍历端口号、使用相应的 Win32 API 函数可以实现串口的枚举
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值