使用ZwQueryVirtualMemory枚举进程模块支持x64

最新推荐文章于 2022-07-12 21:33:51 发布
最新推荐文章于 2022-07-12 21:33:51 发布
阅读量7.9k 收藏 5
点赞数 1
分类专栏: R3 文章标签: 枚举模块
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/51292601
版权
本文介绍了如何在x64架构下利用ZwQueryVirtualMemory函数来枚举进程的模块信息,包括在内核层和应用层的实现细节。
摘要由CSDN通过智能技术生成

最新代码(内核) 应用层简单改下即可

typedef struct _MEMORY_SECTION_NAME {
        UNICODE_STRING Name;
        WCHAR     Buffer[260];
    }MEMORY_SECTION_NAME, *PMEMORY_SECTION_NAME;
    
		ULONG_PTR dqCurrentBase = 0;
        PEPROCESS Process = nullptr;

        MEMORY_BASIC_INFORMATION baseinfo;
        MEMORY_SECTION_NAME sec;

        do
        {
            auto status = PsLookupProcessByProcessId(pid, &Process);

            if (!NT_SUCCESS(status))
                break;

            RtlZeroMemory(&baseinfo, sizeof(baseinfo));

            SIZE_T ret = 0;

            KeAttachProcess(Process);

            for (dqCurrentBase = 0; 
                NT_SUCCESS(ZwQueryVirtualMemory(NtCurrentProcess(), (PVOID)dqCurrentBase, MemoryBasicInformation, &baseinfo, sizeof(MEMORY_BASIC_INFORMATION), &ret));
                dqCurrentBase = (ULONG_PTR)baseinfo.BaseAddress + baseinfo.RegionSize)
            {
                if (baseinfo.Type == MEM_IMAGE && (ULONG_PTR)baseinfo.AllocationBase == dqCurrentBase)
                {
                    // MemorySectionName
                    if (NT_SUCCESS(ZwQueryVirtualMemory(NtCurrentProcess(), (PVOID)dqCurrentBase, (MEMORY_INFORMATION_CLASS)2, &sec, sizeof(MEMORY_SECTION_NAME), &ret)))
                    {
                        base = (PVOID)dqCurrentBase;

                        DPRINT("0x%llx, %wZ
最低0.47元/天 解锁文章
zhuhuibeishadiao
关注
专栏目录
用EnumProcesses()枚举进程
晴天的专栏
04-25 8503
参照msdn的例子,用EnumProcesses()枚举进程并输入进程名和句柄。以下代码在vs2008中测试通过: #include "stdafx.h" #include #include "psapi.h" #pragma comment (lib, "psapi.lib ") void MyEnumProcess() { // Get the list of proce
准确在64位系统下枚举进程模块
04-08
在32位进程使用WMI枚举其他进程模块支持32位系统和64位系统。
ZwQueryVirtualMemory枚举进程模块
推理小孩的博客
02-20 731
ZwQueryVirtualMemory枚举进程模块   ZwQueryVirtualMemory算是枚举进程方法中的黑科技吧,主要是该方法可以检测出隐藏的模块(类似IceSword)。   代码VS2015测试通过   再次奉上源码链接:https://github.com/Arsense/WindowsCode/tree/master/ZwQu...
枚举进程模块
qq_41490873的博客
08-25 323
在winternl.h中定义了PEB 和TEB typedef struct _PEB_LDR_DATA { BYTE Reserved1[8]; PVOID Reserved2[3]; LIST_ENTRY InMemoryOrderModuleList; } PEB_LDR_DATA, *PPEB_LDR_DATA; typedef struct _LDR_DATA_TABLE_ENTRY { PVOID Reserved1[2]; LIST_ENTRY InM
32位进程枚举64位进程模块信息
06-02
' WOW64的32位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等....' 因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程,只是自己以为是32...
易语言-32位进程枚举64位进程模块信息
06-29
' WOW64的32位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等.... ' 因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程,只是自己以为是32...
易语言API枚举进程模块源码
06-06
3. **循环枚举**:`EnumProcessModules`函数会返回模块的数量,我们可以使用循环遍历这个数组,调用`GetModuleBaseName`和`GetModuleFileNameEx`获取每个模块的名称和路径。 4. **错误处理**:在调用API时,需要...
枚举64位进程模块+询64位进程的线程所属模块文件路径-易语言
06-12
该源码是 eWOW64Ext v1.21 的一个演示例子,完全使用了 eWOW64Ext 的方法 来枚举64位进程模块; 提供了两种方法来cha询64位进程的线程所属模块文件路径,该功能还没有易语言 方面的开源资料,本次为首次开源。
e语言-32位进程枚举64位进程模块信息
08-23
资源介绍:' WOW64的32位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等....' 因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程,只是自己以为是32位程序而已. 所以Wow64进程 里面' 既有 64位环境结构,又有32位环境结构, 使用api  NtWow64QueryInformationProcess64 可以获取 进程的64位PEB结构地址,' 使用api  NtWow64ReadVirtualMemory64 可以读取进程的64位内存地址的数据. 通过PEB64结构进行遍历进程的64位模块!资源作者:
E语言枚举64位进程模块源码
09-10
E语言枚举64位进程模块,纯API调用.来枚举32和64位进程进程模块.
枚举进程 模块 堆栈
x
10-22 340
void walkProcess() { HANDLE hSnap = CreateToolhelp32Snapshot( TH32CS_SNAPPROCESS, 0 ); if(hSnap == INVALID_HANDLE_VALUE) return; PROCESSENTRY32 p32; p32.dwSize = sizeof(PROCES...
使用ZwQueryVirtualMemory枚举进程模块
chenhui530的专栏
11-15 5915
 Public Sub PrintProcessModules(ByVal dwProcessId As Long)    Dim ntStatus As Long    Dim objCid As CLIENT_ID    Dim objOa As OBJECT_ATTRIBUTES    Dim hProcess As Long    Dim dwVirtualAddr As Long   
枚举进程的所有模块
qiuxue110的专栏
02-27 827
若要确定哪些进程加载了特定 DLL,必须枚举每个进程模块。 下面的示例代码使用EnumProcessModules函数枚举系统中当前进程模块。 #include <windows.h> #include <tchar.h> #include <stdio.h> #include <psapi.h> // To ensure correct resolution of symbols, add Psapi.lib to TARGETLIBS // a..
VC32位程序通过NtWow64ReadVirtualMemory64 PEB枚举32-64位程序进程模块基址
wh445306
08-07 3564
//#include "pch.h" #include <stdio.h> #include "windows.h" #define NT_SUCCESS(x) ((x) >= 0) #define ProcessBasicInformation 0 typedef NTSTATUS(NTAPI *pfnNtWow64QueryInformationProcess64)( IN HANDLE ProcessHandle, IN ULONG ProcessInf...
枚举进程加载模块
UruseiBest 的技术专栏
07-12 983
在教程 vb.net 教程 6-3 进程加载的模块 中详细讲解了使用 Process类的modules属性,该属性可以获取进程加载的所有Dll文件,详细使用可以参看上述博文。但是在实际使用中存在一个问题:对于有些程序,不能获得其进程全部的加载模块。例如,获得QQExternal的加载模块,如果使用.Net只能获得5个dll。但是通过其它工具,可以看到实际包含了很多dll: 通过调用系统api可以很好地解决这个问题。.........
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值