Win32汇编实现枚举进程(PSAPI.DLL)

最新推荐文章于 2024-07-19 08:51:45 发布
最新推荐文章于 2024-07-19 08:51:45 发布
阅读量2k 收藏
点赞数
分类专栏: Win32汇编(MASM) 文章标签: 汇编 path website byte query blog
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Modest/article/details/2077455
版权

EnumProcesses是PSAPI提供的导出函数,利用该函数可以在无须快照的情况下枚举进程,甚至可以枚举出一些简单的隐藏进程。本例中的枚举用到了回调过程,在回调过程中用户可以随时决定是否中断枚举,从而有效的控制枚举过程。另外,进程隐藏与否的状态也可以在回调过程的参数中取得。如果结合笔者的一篇《Win32汇编实现提升进程Debug权限的两种方法 》文章,则可以进一步扩大枚举范围。本例在XP(SP2)和Vista下测试通过。 
(声明:魏滔序原创,转贴请注明出处。)

;::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
; Win32汇编实现枚举进程(PSAPI.DLL)
; Programmed by 魏滔序                  
; WebSite: http: // www.chenoe.com        
; Blog: http: // blog.csdn.net / Modest         
;:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
    . 486                                    ;   create    32    bit   code 
    .model   flat,   stdcall               ;    32    bit   memory   model 
     option    casemap   :none               ;    case    sensitive 
        
    include    windows.inc 
    include    psapi.inc
    include    kernel32.inc 
    includelib psapi.lib
    includelib kernel32.lib     
    
    include    user32.inc 
    includelib user32.lib
    
    EnumProcs proto :DWORD
    CallProc Proto :DWORD,:DWORD,:DWORD,:DWORD
.data 
    szPSAPI          db  ' psapi.dll',0
    szGetProcessImageFileNameA db  ' GetProcessImageFileNameA',0
    text db  ' %d',0
.code 
Start:

invoke    EnumProcs,addr CallProc
invoke    ExitProcess, 0

EnumProcs    Proc dwCallProc
    LOCAL    dwProcs[ 1023 ], dwProcCount 
    LOCAL    cbNeeded, dwPID
    LOCAL    hProcess, hModule, szName[MAX_PATH]: BYTE
    LOCAL    i, dwHide,dwCancel

    Invoke    EnumProcesses,addr dwProcs, SIZEOF dwProcs,ADDR cbNeeded
        .If    EAX ! =   0

        MOV    EAX,cbNeeded
        CDQ
        MOV    ECX,  4
        IDIV    ECX 
            MOV    dwProcCount ,EAX

        MOV    dwPID,0CH
        .While     TRUE  
                Invoke    OpenProcess,PROCESS_QUERY_INFORMATION  Or  PROCESS_VM_READ,  FALSE , dwPID
                MOV    hProcess,EAX
                   .If    hProcess ! =   0

                        MOV    dwHide, TRUE
                MOV    i, 0
                        .While     TRUE
                    LEA    EAX,dwProcs
                    MOV    ECX,i
                    IMUL    ECX, 4
                    ADD    EAX,ECX
                    MOV    EAX,[EAX]
                    
                    .IF dwPID  ==  EAX
                                MOV    dwHide, FALSE
                                .Break .If  TRUE
                            .EndIf
                            
                            INC    i
                            MOV    EAX,dwProcCount 
                            .Break  .IF i  ==  EAX
                        .EndW
                        
                        Invoke    EnumProcessModules,hProcess, ADDR hModule,  4 , ADDR cbNeeded
                        .If    EAX ! =   0
                            Invoke    GetModuleFileNameEx,hProcess, hModule, addr szName, MAX_PATH
                            
                            MOV    dwCancel, FALSE
                            LEA    EAX,dwCancel
                            PUSH    EAX
                            PUSH    dwHide
                            LEA    EAX,szName
                            PUSH    EAX
                            PUSH    dwPID
                             CALL     dwCallProc
                            
                            .If    dwCancel == TRUE
                                Invoke    CloseHandle,hProcess
                                MOV    EAX, FALSE
                                RET
                            .EndIf
                            
                        .Else
                                PUSH    MAX_PATH
                                LEA    EAX,szName
                                PUSH    EAX
                                PUSH    hProcess
                                Invoke    LoadLibrary,addr szPSAPI
                                Invoke    GetProcAddress,EAX, addr szGetProcessImageFileNameA
                                 CALL     EAX
                                
                                MOV    dwCancel, FALSE
                            LEA    EAX,dwCancel
                            PUSH    EAX
                                PUSH     - 1
                            LEA    EAX,szName
                            PUSH    EAX
                            PUSH    dwPID
                             CALL     dwCallProc
                            
                            .If    dwCancel == TRUE
                                Invoke    CloseHandle,hProcess
                                MOV    EAX, FALSE
                                RET
                            .EndIf
                            
                        .EndIf
                        Invoke    CloseHandle,hProcess
                   
                   .EndIf
;                    
                    ADD    dwPID, 4
                    .Break  .IF dwPID  >  0FFFFH
            .EndW
    .EndIf
    MOV    EAX, TRUE
    RET
EnumProcs    EndP

CallProc Proc dwPID,szName,dwHide,dwCancel
    LOCAL szBuffer[ 10 ]: byte

    Invoke wsprintf,addr szBuffer,addr text,dwPID
    Invoke MessageBox, NULL, szName,addr szBuffer,MB_OK    
    
    ;以下5行用来决定是否继续枚举
    mov ecx,dwCancel 
    assume ecx:ptr 
    push  TRUE    ;←-如果为FALSE则继续枚举,TRUE则停止,所以在本例中仅枚举出第一个进程。
    pop [ecx]
    assume    ecx: nothing
    
    ret
CallProc endp

 End     Start
迈克揉索芙特
关注
专栏目录
DLL注入学习总结
bcbobo21cn的专栏
04-23 2806
dll注入 所谓DLL[1]  注入就是将一个DLL放进某个进程的地址空间里,让它成为那个进程的一部分。要实现DLL注入,首先需要打开目标进程。 中文名 dll注入 外文名 hRemoteProcess 意    义 将一个DLL放进进程的地址空间里 方    法 打开目标进程 例: hRemoteProcess = OpenProcess( PROCESS_CREATE_THREAD |
psapi.h,paspi.dll
10-30
这是做多媒体的很有用的东东啊,其中包括头文件,动态库和lib文件,很适用!
枚举进程汇编
lwglucky的专栏
06-08 1494
;----------------;编译模式="CON";----------------.386.model flat, stdcalloption casemap :noneinclude windows.incinclude user32.incinclude kernel32.incinclude masm32.incinclude Psapi.incincludelib user
无法定位程序psapi.dll?修复psapi.dll缺失或损坏的方法
最新发布
Cathy_919的博客
07-19 496
如果上述步骤未能解决问题,可以从另一台相同版本的Windows系统中拷贝psapi.dll文件,或从官方渠道下载。依然在管理员权限的命令提示符中,输入以下命令来扫描并修复系统文件,包括可能缺失或损坏的psapi.dll:sfc /scannow此过程可能需要一段时间,请耐心等待直至完成。如果以上方法都不能解决问题,您可以考虑使用第三方系统修复工具,如DirectX修复工具,它们能自动检测并修复缺失或损坏的DLL文件。让DirectX修复工具扫描你的系统错误,这个工具会自动检测你系统中所有的错误,并列出来。
使用Psapi接口查看进程状态
weixin_33725807的博客
11-24 190
2019独角兽企业重金招聘Python工程师标准>>> ...
枚举进程——PspCidTable zz
摸爬滚打
05-05 1019
http://blog.csdn.net/strongxu/article/details/4959757 看Windows内核情景分析的时候看到讲PspCidTable中会保存每个进程和线程的CID,就在想可以通过这个表来获取到每个进程的PID及相关信息,然后网上一搜,已经有N多人通过这种方法来获取进程列表了,Iceword也是有这种方法来枚举进程的。Anyway,还是自己实现一遍吧。
Windows API一日一练(88)EnumProcesses函数
yuanjinxiu
12-12 79
当你开发的软件在用户那里运行出错了,想怎么办呢?当然是希望把出错时候的运行环境信息生成报表,然后再Email回来查看了。这里就介绍一个函数可以把当时运行环境的进程全部找到,然后可以输出每个进程的信息。当然,这个函数也可以使用到杀病毒软件里,用来查看可疑的进程信息。 函数EnumProcesses声明如下: BOOL WINAPI EnumProcesses ( DWOR...
枚举windows进程模块的几种方法—PEB内核结构详解
阔野的专栏
11-18 5112
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载的模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载的模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程进程加载的模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h heade...
W32dsm8.93.rar
03-26
3. **Psapi.dll**: 进程和服务API库,它提供了查询和操作进程信息的功能,如获取进程内存使用情况、枚举进程模块等。这在系统监控、性能分析和调试中非常有用。 4. **W32dsm8.93+.exe**: 这看起来像是W32dsm的一个...
wdasm中文版 反汇编工具
09-26
【Psapi.dll】是另一个Windows系统组件,主要负责进程和服务的相关操作,如获取进程和线程的信息,以及枚举进程中的模块。在逆向工程中,这个库常被用来获取目标程序加载的动态链接库信息,从而更好地理解程序的依赖...
网络上流传的 进程手术刀1.0版及源代码
09-07
进程技术用到了PSAPI(枚举进程),TOOLHELP32(枚举线程),远线程(释放模块)。本人比较满意的一点是用了远线程,一开始仿照原先作的远线程例子写了很麻烦需要动态调用的线程函数,结果弄了半天不行,后来又用IDA反汇编...
Windows系统进程状态支持模块psapi.dll
09-24
Windows系统进程状态支持模块psapi.dll
汇编语言 枚举列出所有网卡.zip
01-29
汇编语言 枚举列出所有网卡.zip
动态连接库psapi.dll
10-14
win7 无法定位到程序输入点 getprocessimagefilenamew 于动态连接库psapi.dll
Psapi.h psapi.lib psapi.dll 全套文件下载
03-15
内容索引:VC/C++源码,界面编程,psapi  今天无意编译了一个VC++程序,提示找不到Psapi.h头文件,在网上搜了一把,竟然没几个网站能下载,于是在CSDN花高分总算下下来了,这里免费奉献给各位VC高手们,压缩包内含Psapi.h psapi.lib psapi.dll 全套文件,编程常备类库。简要说明一下:   psapi.lib复制到vc++6.0的lib目录下(如:C:Program FilesMicrosoft Visual StudioVC98Lib),psapi.h复制到Include目录下(如:C:Program FilesMicrosoft Visual Studi
Delphi 使用PSAPI.dll枚举Window7 进程及页面内存信息.rar
07-10
Delphi 在Windows NT/2000 环境下使用PSAPI获取进程的信息演示,其实在Window7环境下同样也可枚举进程及页面内存信息,可以列举所有正在运行的进程,正在运行的所有进程,鼠标双击有进程的详细信息,可以得到某一进程模块、页面等信息,以及内存映射的文件名。   如果列举进程出错,请确认是否安装了PSAPI.DLL。   本程序除了列举进程外,还可列举设备信息。运行效果请参见截图所示。
枚举的书写,超级无敌重点(枚举的作用)
Richard_666的博客
03-31 450
package com.mmall.common; import com.google.common.collect.Sets; import java.util.Set; /** */ public class Const { public static final String CURRENT_USER = "currentUser"; public static...
c# 利用 psapi.dll 下的函数 EmptyWorkingSet 整理内存
hatch gavin的专栏
12-16 2769
c# 利用 psapi.dll 下的函数 EmptyWorkingSet 整理内存,类似360加速球的功能。
未分类--Windows API--EnumProcesses
Coperator
03-11 957
原文来自MSDN Library for Visual Studio 2008 SP1,翻译部分仅为个人观点,想要看更多信息请看MSDN,如有版权问题请联系QQ 643166601,邮件643166601@qq.com   EnumProcesses Function Retrieves the process identifier for each process object in th
没有psapi.lib有psapi.h文件
01-20
没有psapi.lib文件是因为psapi.lib文件是用于链接器的库文件,主要用于程序调用和链接psapi.h文件中定义的函数。在没有psapi.lib文件的情况下,程序无法正确链接到psapi.h文件中的函数,导致编译错误。解决这个问题的方法是在编译时手动指定psapi.lib文件的路径,或者从其他可靠的来源获取psapi.lib文件并将其添加到编译环境中。另外,如果只需要使用psapi.h文件中定义的函数,而无需链接对应的psapi.lib文件,则可以将相应的函数声明为外部函数,并手动加载psapi.dll文件进行调用。总之,没有psapi.lib文件并不影响psapi.h文件的使用,只是需要额外进行配置和处理。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值