枚举进程模块

最新推荐文章于 2024-06-07 12:25:17 发布
最新推荐文章于 2024-06-07 12:25:17 发布
阅读量2k 收藏
点赞数
分类专栏: 我的心情 文章标签: listview query path null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/trojanth/article/details/537519
版权

 typedef BOOL (_stdcall *ENUMPROCESSES)(DWORD* pProcessIds,DWORD cb,DWORD* pBytesReturned);
 typedef BOOL (_stdcall *ENUMPROCESSMODULES)(HANDLE hProcess,HMODULE* lphModule,DWORD cb,LPDWORD lpcbNeeded);
 typedef DWORD (_stdcall *GETMODULEFILENAMEEX)(HANDLE hProcess,HMODULE hModule,LPTSTR lpFilename,DWORD nSize );

 HMODULE hModule = LoadLibrary("psapi.dll");
 if(hModule == NULL)
  return;
 ENUMPROCESSES pEnumProcesses  = (ENUMPROCESSES)GetProcAddress(hModule, "EnumProcesses");
 ENUMPROCESSMODULES pEnumProcessModules  = (ENUMPROCESSMODULES)GetProcAddress(hModule, "EnumProcessModules");
 GETMODULEFILENAMEEX pGetModuleFileNameEx  = (GETMODULEFILENAMEEX)GetProcAddress(hModule, "GetModuleFileNameExA");

 ListView_DeleteAllItems(hProcessList1);
 HMODULE hMods[1024];
    HANDLE hProcess;
    DWORD cbNeeded;
    unsigned int i;
 char szModName[MAX_PATH];
 DWORD pids= 388;
 int k=0;
    hProcess = OpenProcess(PROCESS_QUERY_INFORMATION |PROCESS_VM_READ,FALSE,atoi(pid));
    if( hProcess &&  pEnumProcessModules(hProcess, hMods, sizeof(hMods), &cbNeeded))
    {
        for ( i = 0; i <=(cbNeeded / sizeof(HMODULE)); i++ )
        {           
            if(pGetModuleFileNameEx( hProcess, hMods[i], szModName,sizeof(szModName)))
            {
    char name[1024]={0},addr[32]={0};
    strcpy(name,szModName);
    wsprintf(addr,"0x%08x",hMods[i]);
            }
        }
    }
 else 
 {
  CloseHandle(hProcess);
  FreeLibrary(hModule);
  return;
    }
 CloseHandle(hProcess);
 FreeLibrary(hModule);
 return;

trojanth
关注
专栏目录
利用WMI枚举进程
10-09
利用WMI枚举进程,可支持32位程序在64下运行
EnumProcessModules 使用 获取进程的路径
07-08 8182
EnumProcessModules Function获得指定进程中所有模块的句柄。语法BOOL WINAPI EnumProcessModules(in   HANDLE hProcess,out  HMODULE *lphModule,in   DWORD cb,out  L
枚举进程加载模块
UruseiBest 的技术专栏
07-12 983
在教程 vb.net 教程 6-3 进程加载的模块 中详细讲解了使用 Process类的modules属性,该属性可以获取进程加载的所有Dll文件,详细使用可以参看上述博文。但是在实际使用中存在一个问题:对于有些程序,不能获得其进程全部的加载模块。例如,获得QQExternal的加载模块,如果使用.Net只能获得5个dll。但是通过其它工具,可以看到实际包含了很多dll: 通过调用系统api可以很好地解决这个问题。.........
c语言枚举当前所有进程,c语言进程枚举代码
weixin_34653945的博客
05-21 207
#include #include void usage( int );void PrintModules( DWORD );//Define Command parametersbool a=FALSE;bool m=FALSE;bool s=FALSE;bool f=FALSE;char * FindString;void main(int argc, char **argv){DWORD a...
易语言-32位进程枚举64位进程模块信息
06-29
' WOW64的32位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等.... ' 因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程,只是自己以为是32位程序而已. 所以Wow64进程 里面 ' 既有 64位环境结构,又有32位环境结构, 使用api  NtWow64QueryInformationProcess64 可以获取 进程的64位PEB结构地址, ' 使用api  NtWow64ReadVirtualMemory64 可以读取进程的64位内存地址的数据. 通过PEB64结构进行遍历进程的64位模块!
准确在64位系统下枚举进程模块
04-08
然而,枚举进程模块的部分没有在代码中直接实现,这部分需要通过查询Win32_Module类来完成,但这涉及到更复杂的WMI查询和对象实例的操作,这超出了当前示例的范围。 为了枚举进程模块,你需要进一步查询Win32_...
易语言API枚举进程模块源码
06-06
理解以上知识点后,开发者就能编写出易语言API枚举进程模块的源码,实现对目标进程模块的查询和分析。这个功能在系统监控、安全分析、调试工具等多个场景下都有应用。通过实践,可以进一步提升对Windows API、...
【易语言】枚举进程模块源码
07-28
【易语言】枚举进程模块源码。
易语言EnumerateLoadedModules枚举进程模块
07-20
`EnumerateLoadedModules枚举进程模块`这个源码可能包含了以上步骤的实现,通过对源码的学习,开发者可以理解如何在易语言中与Windows API进行交互,获取和处理进程模块信息。这种能力对于开发系统工具、安全软件...
进程遍历-EnumProcesses枚举
最新发布
hide_in_darkness的博客
06-07 965
​ lpFilename 指向接收模块的完全限定路径的缓冲区的指针。​ hModule 模块的句柄, 如果此参数为 NULL, 则 GetModuleFileNameEx 返回 hProcess 中指定的进程的可执行文件的路径。​ hProcess 包含模块进程句柄,句柄必须具有 PROCESS_QUERY_INFORMATION 和 PROCESS_VM_READ 访问权限。​ lpidProcess 指向接收进程标识符列表的数组的指针。​ dwProcessId 打开的本地进程的标识符。
枚举进程的内存块
zzz3265的专栏
11-10 3682
#include "ProcMemInfo.h" #include "../NSimple.h" #include CProcMemInfo::CProcMemInfo() { Init(); } CProcMemInfo::~CProcMemInfo() { } BOOL CProcMemInfo::Init() { m_pMinAddr = NSys::GetSystemInfo()->lpMinimumApplicationAddress;
遍历进程名的几种方法
snjdju的专栏
05-06 982
方法一:使用EnumProcessModule<img id="Code_Closed_Image_110151" style="display: none;" onclick="function onclick(){this.style.display=none; Code_Closed_Text_110151.style.display=none; Code_Open_Im
VC++实现枚举进程模块
weixin_30547797的博客
10-24 230
#pragma once #define _WIN32_WINNT 0x0500 #include"windows.h" #include"tlhelp32.h" #include"stdio.h" #include"NativeApi.h" #include"wchar.h" #include"psapi.h"//SDK6.0 #pragma comment(lib,"psapi.lib"...
枚举进程的所有模块
qiuxue110的专栏
02-27 824
若要确定哪些进程加载了特定 DLL,必须枚举每个进程模块。 下面的示例代码使用EnumProcessModules函数枚举系统中当前进程模块。 #include <windows.h> #include <tchar.h> #include <stdio.h> #include <psapi.h> // To ensure correct resolution of symbols, add Psapi.lib to TARGETLIBS // a..
静态分析EnumProcessModules
dalixux的专栏
10-28 6003
分析这个函数最初是因为 代码注入远程进程时 需要确定远程进程模块基址RING3下 通过调用EnumProcessModules来实现 仔细分析了下  实际上不需要调用函数通过PEB结构直接就可以知道IMAGEBASE.text:687E1981 ; BOOL __stdcall EnumProcessModules(HANDLE hProcess, HMODULE *lphModule, DWO
使用 ToolHelp32 库枚举进程(转)
gxj1680的专栏
07-01 847
ToolHelp32 库函数在 KERNEL32.dll 中,它们都是标准的 API 函数。但是 Windows NT 4.0 不提供这些函。  ToolHelp32 库中有各种各样的函数可以用来枚举系统中的进程、线程以及获取内存和模块信息。其中枚举进程 只需用如下三个的函数:CreateToolhelp32Snapshot()、Process32First()和 Process32Next()。
VC32位程序通过NtWow64ReadVirtualMemory64 PEB枚举32-64位程序进程模块及基址
wh445306
08-07 3559
//#include "pch.h" #include <stdio.h> #include "windows.h" #define NT_SUCCESS(x) ((x) >= 0) #define ProcessBasicInformation 0 typedef NTSTATUS(NTAPI *pfnNtWow64QueryInformationProcess64)( IN HANDLE ProcessHandle, IN ULONG ProcessInf...
VC枚举系统进程的四种编程方法
本文档详细介绍了在Visual C++ (VC)环境中通过四种方法实现枚举系统当前进程的功能。首先,我们了解到在Windows 2000以上版本的系统中,任务管理器和控制台下的Tasklist命令能够显示所有活动进程。作者引用侯捷大师...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值