有用的Windows代码: 获取进程中加载的PE模块; 获取进程中加载的PE模块的节表

已于 2023-08-19 17:41:34 修改
阅读量160 收藏
点赞数
分类专栏: windows编程 文章标签: windows 安全 c语言 c++
于 2023-08-19 17:41:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Niatruc/article/details/132206860
版权
文章介绍了如何通过C++代码在给定进程ID的情况下,获取进程加载的PE模块的内存加载基址,并提取模块的节表信息,包括节的名称、虚拟地址、大小等。作者通过实例展示了如何在测试中查看和解读节表内容。
摘要由CSDN通过智能技术生成

获取进程中加载的PE模块

根据所给PE模块的绝对路径(libPath),获取目标进程中已加载的PE模块的内存加载基址。

HMODULE FindModuleByPath(DWORD pid, const WCHAR* libPath) {
	HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid); // 根据进程id获取进程句柄
	if (hProcess == 0) {
		return NULL;
	}

	HMODULE hModules[1024] = {};
	SIZE_T hModulesSize = sizeof(hModules);
	DWORD hModulesSizeNeeded = 0;
	DWORD moduleNameSize = 0;
	SIZE_T hModulesCount = 0;
	WCHAR rModuleName[MAX_PATH] = { 0 };
	HMODULE rModule = NULL;

	EnumProcessModules(hProcess, hModules, hModulesSize, &hModulesSizeNeeded); // 枚举进程模块, 将所有模块的内存加载地址存到hModules数组
	hModulesCount = hModulesSizeNeeded / sizeof(HMODULE);
	size_t i = 0;
	for (; i < hModulesCount; i++) {
		rModule = hModules[i]; // 这个是模块的内存加载基址
		GetModuleFileNameExW(hProcess, rModule, rModuleName, MAX_PATH); // 获取PE模块的文件路径
		if (lstrcmpi(rModuleName, libPath) == 0) { // 比较字符串(忽略大小写)
			break;
		}
	}
	if (i == hModulesCount) 
		return NULL;
	return rModule;
}

获取进程中加载的PE模块的节表

int GetPESecsInfo(HANDLE hProcess, LPCVOID ModuleBase) {
	DWORD headerBufferSize = 0x1000;
	LPVOID peHeader = HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, headerBufferSize); // 分配空间, 用于保存读取到的PE头
	if (peHeader == NULL) return -1;
	ReadProcessMemory(hProcess, ModuleBase, peHeader, headerBufferSize, NULL); // 读取dll的PE头

	PIMAGE_DOS_HEADER dosHeader = (PIMAGE_DOS_HEADER)peHeader;
	PIMAGE_NT_HEADERS ntHeader = (PIMAGE_NT_HEADERS)((DWORD_PTR)peHeader + dosHeader->e_lfanew);

	PIMAGE_SECTION_HEADER curSec = IMAGE_FIRST_SECTION(ntHeader), nextSec = NULL; // curSec为节表第一个节
	WORD secNum = ntHeader->FileHeader.NumberOfSections;
	WORD i;
	for (i = 0; i < secNum; i++) { // 遍历节表, 找到.text节
		if (curSec == NULL) return -1;
		if (i + 1 < secNum) {
			nextSec = curSec + 1; // 得到`.text`节的下一节的信息
		}
		PVOID secStart = (PBYTE)ModuleBase + (size_t)curSec->VirtualAddress; // 计算节的开始地址
		PVOID secEndDataRVA = (PBYTE)curSec->VirtualAddress + curSec->Misc.VirtualSize; // 计算节的内容的结束地址
		PVOID secDataEnd = (PBYTE)ModuleBase + (size_t)secEndDataRVA; // 计算节中数据的结束地址
		PVOID secEnd;
		if (nextSec) {
			secEnd = (PBYTE)ModuleBase + (size_t)nextSec->VirtualAddress; // 计算节的结束地址(即下一节的起始地址)
		} else {
			PVOID secEndDataRVA = (PBYTE)curSec->VirtualAddress + curSec->SizeOfRawData;
			secEnd = (PBYTE)ModuleBase + (size_t)secEndDataRVA; // 计算节的结束地址
		}
		printf("Sec: %s; VirtualAddress: 0x%x; VirtualSize: 0x%x; PointerToRawData: 0x%x; SizeOfRawData: 0x%x; secStart: 0x%p; secDataEnd: 0x%p; secEnd: 0x%p\n", curSec[i].Name, curSec->VirtualAddress, curSec->Misc.VirtualSize, curSec->PointerToRawData, curSec->SizeOfRawData, secStart, secDataEnd, secEnd);
		curSec = nextSec;
	}
	HeapFree(GetProcessHeap(), NULL, peHeader);
	return 0;
}

测试

测试中查看PING.exe进程中的PING.exe模块。首先使用LordPE查看在磁盘中的PE文件的节表(图一):
在这里插入图片描述
使用Process Hacker查看在内存中的PE文件的节表(图二):
在这里插入图片描述
Process HackerPING.exe模块在内存中的分区概况(图三):
在这里插入图片描述
Process HackerPING.exe模块的.text节内容(也即0x7ff62d0d1000起始处的内存区)(图四):
在这里插入图片描述
前述代码打印的.text节的信息(图五):
在这里插入图片描述
借此测试,复习一下节表涉及到地址的各字段的含义:

  • VOffset:对应IMAGE_SECTION_HEADER::VirtualAddress字段。该值加上模块的内存基址,得到节的内存基址。
  • VSize:对应IMAGE_SECTION_HEADER::Misc.VirtualSize字段。以内存中节表的该值加上节的内存基址,得到节的内容的结束地址。图五中打印.text节的VirtualSize0x2c60,而在图四中可看到,.text节的数据正好在偏移0x2c60前结束。
  • ROffset:对应IMAGE_SECTION_HEADER::PointerToRawData字段。这个是节在磁盘文件中的偏移位置。
  • RSize:对应IMAGE_SECTION_HEADER::SizeOfRawData字段。看起来这个值在磁盘和内存中各不相同(0x2a000x2e00),但比较有用的是其在磁盘中的值。比如,.text节的磁盘偏移0x400加上其RSize0x2a00),得到下一个节.data节的磁盘偏移0x2e00。在内存中,要以内存页的大小0x1000对齐,所以0x1000+0x2e00得到0x3e00,对齐后得到下一节的地址是0x4000
Niatruc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WinDBG技巧:列出当前进程所有装载的模块(DLL/EXE)
IE浏览器开发
02-12 1万+
调试的时候想要知道当前进程装载了哪些模块,每个模块被装载的代码地址段是在哪个范围,可以使用lm命令。 拿notepad为例,输入lm命令可以发现: 0:001> lmstart    end        module name00830000 00858000   notepad    (pdb symbols)          c:/debuggers/externalsymbols
枚举windows进程模块的几种方法—PEB内核结构详解
阔野的专栏
11-18 5002
1. 引言 在诸多的场景(例如软件测试,软件安全研究等领域)经常需要分析在目标进程具体加载了哪些模块(DLL),以及所加载模块的信息(如模块基地址,映射文件大小等)。获取windows进程加载模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程进程加载模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h heade...
Windows进程模块查看器-支持32位和64位进程
05-06
本工具通过读取进程PEB数据遍历进程加载模块信息,包括模块名,模块路径,模块基地址等信息,支持64位和32位进程
ProcessExplorer 可以查看和分析windows下的进程,也可以管理,可以看到PID,DLL等的进程加载的任何资源
08-11
ProcessExplorer 可以查看和分析windows下的进程,也可以管理,可以看到PID,DLL等的进程加载的任何资源
查看进程、线程、DLL模块等信息
12-28
一个系统安全类工具,可查看进程、线程、DLL模块等信息,可挂起恢复进程、查看进程文件,结束进程等。 功能: 1.查看进程信息 进程信息:名称、PID、用户、线程数、句柄数、命令行等。 模块信息:模块名称、公司、路径,非微软公司模块用红色标识。 线程信息:当前进程所执行的所有线程。 2.创建进程 创建进程用于启动一个进程,只能启动可执行文件。 3.禁止进程创建 防止一个EXE程序自动运行。 4.结束和挂起进程 结束进程或结束任务用于停止一个程序的运行,两者差不多一样,所不同的是只有有窗口的程序才能被结束任务,支持多选(使用Ctrl和Shift键)。 挂起进程即暂停进程的运行。 5.系统启动项 这里的程序可以在系统启动时加载运行,根据情况该删则删。 6.内核模块 当前系统加载的内核模块,一般为驱动程序,红色表示非微软的。 7.SSDT 当前的系统服务函数,红色表示被修改过,多为杀软所为,不必在意。 8.搜索模块 看一个模块被哪些进程所调用。 9.卸载模块 删除一个进程模块。 10.增加了输出进程DLL信息的功能,顺便把运行库也加里面了。
枚举当前系统进程以及进程加载模块
热门推荐
C++ 永无止境
04-03 1万+
枚举当前系统进程的方法大致分一下几个步骤:一、 提升应用程序的进程权限///////////////自定义函数实现///////////////// BOOL PromotePrivilege(BOOL bEnable) { // 附给本进程特权,以便访问系统进程 HANDLE hToken; // 打开一个进程的访问令牌 if(::OpenProcessToken(::GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToken))
PE加载模块.rar
04-05
PE加载模块Windows系统加载这些PE格式文件的关键部分,负责将程序代码从磁盘读取到内存,并准备好执行环境。本篇将深入探讨PE加载模块的基本概念、工作原理以及易语言PE加载模块源码的相关知识。 **一、PE文件...
易语言-易语言PE加载模块
07-02
4. **函数调用**:加载PE文件后,可能需要调用其的函数。这通常通过`GetProcAddress`获取函数地址,然后通过指针调用实现。 5. **错误处理**:在调用API函数时,应考虑可能出现的错误情况,并进行适当的错误处理...
RunPE-In-Memory:在内存运行Exe文件(PE模块)(如Application Loader)
02-06
RunPE技术的核心在于模拟PE文件的正常加载过程,即创建一个新的进程,然后将目标PE文件的内容映射到这个进程,执行其入口点。Windows API函数,如CreateProcess、VirtualAlloc和WriteProcessMemory等,通常被用来...
windows内存加载PE.rar
08-17
这个压缩包“windows内存加载PE.rar”似乎包含了如何在内存加载PE文件的详细步骤和源码,这对于理解和实现系统级编程或者逆向工程来说是非常重要的知识。下面,我们将深入探讨这一主题。 首先,我们要理解PE文件...
PE输出表模块.rar
04-05
总结起来,PE输出表模块Windows编程的关键概念,它涉及到程序的动态链接和函数调用。通过易语言的PE输出表模块源码,我们可以深入了解这一机制,并运用到实际项目,提升我们的编程技能和解决问题的能力。
windbg技巧:列出当前进程所有装载的模块(dll/exe)
董盼山的专栏
07-16 3064
调试的时候想要知道当前进程装载了哪些模块,每个模块被装载的代码地址段是在哪个范围,可以使用lm命令。 拿notepad为例,输入lm命令可以发现: 0:001> lm start end module name 00830000 00858000 notepad (pdb symbols) c:\debuggers\externalsymbols\notepad.pdb\
【夏虫语冰】Windows查看文件占用情况、查看程序的dll依赖项
爱看书的小沐
01-09 9295
曾经想知道哪个程序打开了特定的文件或目录? 现在,你可以了解一下。 Handle 是一个实用工具,它显示有关系统任何进程的打开句柄的信息。 可以使用它查看打开文件的程序,或查看程序的所有句柄的对象类型和名称。还可以从 Sysinternals 获取此程序的基于 GUI 的版本,即进程资源管理器。...
SpringBoot源码(1)ApplicationContext和BeanFactory
weixin_43823462的博客
07-21 799
SpringBoot源码之ApplicationContext和BeanFactory
百日筑基第二十七天-Java8 stream流常用操作
qq_45477639的博客
07-21 802
除了使用Collectors提供了toMap,toList等方法之外,我们还可以自定义Collection的数据结构收集//用LinkedList收集//用TreeSet收集。
c++的递归拷贝(Recursive Copy)和递归反转链表(Recursive Reverse Linked List)
最新发布
2401_84159494的博客
07-24 840
hello大家好啊,这里是文宇,不是文字,是文宇哦。今日二更结束,睡觉。
深入理解Spring Boot的Fastjson
fudaihb的博客
07-22 993
Fastjson是阿里巴巴开源的一个高性能的JSON处理库,因其速度快、功能强大且易用性高而被广泛使用。Spring Boot作为目前流行的微服务框架,也提供了与Fastjson的无缝集成。本文将深入探讨如何在Spring Boot使用Fastjson,涵盖安装配置、基本用法、进阶技巧以及一些实际应用场景。
python的fire和Linux shell的参数传递
Richardlygo的博客
07-20 835
Hi, John!
Java给定一些元素随机从选择一个
write less , do more
07-24 895
这种方法会将列表的元素顺序打乱,然后返回第一个元素,由于shuffle操作是随机的,所以第一个元素实际上就是随机选择的。需要注意的是,Collections.shuffle方法会改变原列表的顺序,如果不想修改原始列表,可以在shuffle之前创建一个新列表的副本。这个实现看起来优雅展示了如何使用Stream API,但是应该注意,对于简单的随机选择操作,直接使用Random类生成索引并访问列表可能更为直接和高效。
windows如何用于获取进程模块的信息
03-21
Windows可以使用Task Manager或者Process Explorer来获取进程模块的信息。另外,也可以使用Windows API函数来获取这些信息,比如EnumProcesses、EnumProcessModules等函数。如果需要更详细的信息,可以使用Windows Performance Toolkit来进行性能分析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值