MASM32编写TcpStatC再进阶 显示PID和对应进程说明符

已于 2023-08-06 23:48:27 修改
阅读量782 收藏
点赞数
分类专栏: 源码解析 安全资源 MASM32 文章标签: 网络 windows MASM32 进程ID 文件说明符
于 2022-08-14 14:06:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpleendurer/article/details/126330731
版权
源码解析 同时被 3 个专栏收录
138 篇文章 0 订阅
订阅专栏
安全资源
30 篇文章 0 订阅
订阅专栏
MASM32
23 篇文章 0 订阅
订阅专栏

 

上周改写的TcpStatC,使用了API函数 GetTcpTable,不能显示网络端口关联的进程ID和进程名或进程对应文件说明符。周末抽空改进了一下。

要获取和显示网络端口关联的进程ID和进程名,可以改用API函数GetExtendedTcpTable,获取MIB_TCPROW_OWNER_PID 或 MIB_TCPTABLE_OWNER_MODULE,但是MASM32中没有对这两个结构体进行预定义。需要DIY:

MIB_TCPROW_OWNER_PID 的相关定义如下:

 ; typedef struct _MIB_TCPROW_OWNER_PID {
 ;   DWORD dwState;
 ;   DWORD dwLocalAddr;
 ;   DWORD dwLocalPort;
 ;   DWORD dwRemoteAddr;
 ;   DWORD dwRemotePort;
 ;   DWORD dwOwningPid;
 ; } MIB_TCPROW_OWNER_PID, *PMIB_TCPROW_OWNER_PID;

MIB_TCPROW_OWNER_PID struct
  dwState      DWORD ?
  dwLocalAddr  DWORD ?
  dwLocalPort  DWORD ?
  dwRemoteAddr DWORD ?
  dwRemotePort DWORD ?
  dwOwningPid  DWORD ? ;进程ID
MIB_TCPROW_OWNER_PID ends
PMIB_TCPROW_OWNER_PID typedef ptr MIB_TCPROW_OWNER_PID


 ; typedef struct _MIB_TCPTABLE_OWNER_PID {
 ;   DWORD                dwNumEntries;
 ;   MIB_TCPROW_OWNER_PID table[ANY_SIZE];
 ; } MIB_TCPTABLE_OWNER_PID, *PMIB_TCPTABLE_OWNER_PID;
 ; 

MIB_TCPTABLE_OWNER_PID struct
  dwNumEntries DWORD ?
  table        MIB_TCPROW_OWNER_PID ANY_SIZE dup(<?>)
MIB_TCPTABLE_OWNER_PID ends
PMIB_TCPTABLE_OWNER_PID typedef ptr MIB_TCPTABLE_OWNER_PID

MIB_TCPROW_OWNER_PID中的成员dwOwningPid包含了端口对应的进程ID。

MIB_TCPTABLE_OWNER_MODULE 的相关定义如下: 

 ; typedef struct _MIB_TCPROW_OWNER_MODULE {
 ;   DWORD         dwState;
 ;   DWORD         dwLocalAddr;
 ;   DWORD         dwLocalPort;
 ;   DWORD         dwRemoteAddr;
 ;   DWORD         dwRemotePort;
 ;   DWORD         dwOwningPid;
 ;   LARGE_INTEGER liCreateTimestamp;
 ;   ULONGLONG     OwningModuleInfo[TCPIP_OWNING_MODULE_SIZE];
 ; } MIB_TCPROW_OWNER_MODULE, *PMIB_TCPROW_OWNER_MODULE

MIB_TCPROW_OWNER_MODULE struct
    dwState           DWORD ?
    dwLocalAddr       DWORD ?
    dwLocalPort       DWORD ?
    dwRemoteAddr      DWORD ?
    dwRemotePort      DWORD ?
    dwOwningPid       DWORD ? ;进程ID
    liCreateTimestamp LARGE_INTEGER <>
    OwningModuleInfo  ULONGLONG  TCPIP_OWNING_MODULE_SIZE dup(?)
MIB_TCPROW_OWNER_MODULE ends
PMIB_TCPROW_OWNER_MODULE  typedef ptr MIB_TCPROW_OWNER_MODULE

 ; typedef struct _MIB_TCPTABLE_OWNER_MODULE {
 ;   DWORD                   dwNumEntries;
 ;   MIB_TCPROW_OWNER_MODULE table[ANY_SIZE];
 ; } MIB_TCPTABLE_OWNER_MODULE, *PMIB_TCPTABLE_OWNER_MODULE

MIB_TCPTABLE_OWNER_MODULE struct
    dwNumEntries DWORD ?
    table        MIB_TCPROW_OWNER_MODULE ANY_SIZE dup(<?>)
MIB_TCPTABLE_OWNER_MODULE ends

PMIB_TCPTABLE_OWNER_MODULE typedef ptr MIB_TCPTABLE_OWNER_MODULE

MIB_TCPROW_OWNER_MODULE 中的成员dwOwningPid包含了端口对应的进程ID。

先试试MIB_TCPROW_OWNER_PID。

        invoke GetExtendedTcpTable, g_pTcpTable, addr dwSize, TRUE, AF_INET, TCP_TABLE_OWNER_PID_ALL, 0

取得PID后,通过依次调用API函数 OpenProcess、EnumProcessModules、GetModuleBaseName来获取进程名。

如果要取得进程对应的文件说明符,可以将GetModuleBaseName改为另外一个API函数GetModuleFileNameEx。

我是先尝试GetModuleFileNameEx,如果不成功,再使用GetModuleBaseName。代码如下:

;=================================================
;Function: Get process name with process id
; Input:  dwPid: process id
; Output: if eax = 0 then fail
; else eax = the length of the string copied to the buffer
;==================================================
getProcNameById proc dwPid:DWORD
    local hMod, hProc: HANDLE
    local dwNeeded: DWORD

    invoke OpenProcess, PROCESS_QUERY_INFORMATION or PROCESS_VM_READ, FALSE, dwPid
    .if eax!=NULL
        mov    hProc, eax
        invoke GetModuleFileNameEx, hProc, NULL, offset g_szProcFileSpec, sizeof g_szProcFileSpec
        .IF eax==0
            invoke EnumProcessModules, hProc, addr hMod, sizeof hMod, addr dwNeeded
            .if eax!=0
                invoke GetModuleBaseName, hProc, hMod, offset g_szProcFileSpec,  sizeof g_szProcFileSpec;
            .endif
        .ENDIF
        push   eax
        invoke CloseHandle, hProc
        pop    eax
    .endif

    ret
getProcNameById endp

在Windows 10上运行时,会发现有不少进程不能获取文件说明符,解决的办法是一要以具有管理员权限的帐号来运行程序,二要提升程序的特权,我尝试了获取SeDebugPrivilege,代码如下:

;=================================================
;Function: Let current process get the privilege
; Input: (none)
; Output: eax = 0 Success
; eax = 1 , fail to OpenProcessToken
; eax = 2 , fail to LookupPrivilegeValue
;==================================================
EnableDebugPriv proc
    LOCAL hToken: HANDLE
    ;LOCAL sedebugnameValue: LUID ;An LUID is a 64-bit value
    LOCAL sedebugnameValue[2]: DWORD
    LOCAL tkp: TOKEN_PRIVILEGES

    invoke GetCurrentProcess
    mov ebx, eax

    invoke OpenProcessToken, ebx, TOKEN_ADJUST_PRIVILEGES or TOKEN_QUERY, addr hToken
    .if (eax == 0)
        mov eax, 1
        ret
    .endif

    invoke LookupPrivilegeValue, NULL, offset g_szSE_DEBUG_NAME, addr sedebugnameValue
    .if (eax == 0)
        invoke CloseHandle, hToken
        mov eax, 2
        ret
    .endif

    mov tkp.PrivilegeCount, 1
    lea eax, tkp.Privileges
    m_m2m [eax], sedebugnameValue
    m_m2m [eax+4], [sedebugnameValue+1]

    mov ( LUID_AND_ATTRIBUTES ptr [eax]).Attributes, SE_PRIVILEGE_ENABLED

    invoke AdjustTokenPrivileges, hToken, FALSE, addr tkp, sizeof tkp, NULL, NULL
    .if (eax == 0)
        invoke CloseHandle, hToken
    .endif

    xor eax, eax
    ret
EnableDebugPriv endp

生成的EXE文件信息如下:


文件说明符 : K:\TcpStatC.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2022-8-14 22:13:51
修改时间 : 2022-8-14 22:18:8
大小 : 5120 字节 5.0 KB
MD5 : a17a53ab06707808ba456ba90374a9ee
SHA1: 156A74E1E5BB56D00383E926F9983D8DBE480753
CRC32: 901593e7

下载地址:http://endurer.ys168.com/  tools工具/网络工具 下

程序运行效果如下:

  netstat 命令显示如下:

参考:

枚举所有进程 - Win32 apps | Microsoft Docs

GetModuleFileNameExA function (psapi.h) - Win32 apps | Microsoft Docs

EnumProcessModules function (psapi.h) - Win32 apps | Microsoft Docs

GetModuleBaseNameA function (psapi.h) - Win32 apps | Microsoft Docs

紫郢剑侠
关注
专栏目录
获取系统TCP、UDP端口使用信息,并判断端口是否被占用(附源码)
热门推荐
dvlinker的技术专栏
03-24 1万+
如何判断端口被占用,封装了专用的函数,可供直接使用。
进程-端口-IP地址关联演示2
chenhui530的专栏
08-03 5170
声明:        此份代码参考了“Hook 系统服务隐藏端口”和http://topic.csdn.net/t/20050105/17/3701810.html#|的一些代码片断和内容,以及对iphlpapi的反汇编才有了这份代码。并且是在原文章"进程-端口-IP地址关联演示"补充和扩展。在"进程-端口-IP地址关联演示"中是没法获取远程IP地址和端口的,现在这份代码已经算比较完美的解决了
win32 masm32 汇编学习 及 远程线程实例
零点起步
03-23 1027
"门“ 指向某个优先级高的程序所规定的入口点,所有优先级低的程序调用优先级高的程序只能通过门重定向 门:中断门,自陷门,任务门。 masm32.zip copy D:\Program Files\Microsoft Visual Studio\VC98\Bin\nmake.exe to  ***\masm32\bin 相应cmd设置临时环境变量 @echo off se
进程网络TCP) GetExtendedTcpTable
Reverser的专栏
05-23 2353
// TcpPid.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include #include #include #include #include using namespace std;#pragma comment(lib, "iphlpapi.lib")#pragma co
WindowsAPI|每天了解几个winAPI接口之Iphlpapi.h网络配置相关文档详细分析三
最新发布
奇树谦的博客
10-13 808
WindowsAPI|每天了解几个winAPI接口之Iphlpapi.h网络配置相关文档详细分析三
获取TCP,UDP服务端口号.rar
01-11
TCP,UDP服务端口,HMODULE hIpDLL = LoadLibrary( "iphlpapi.dll"); if ( !hIpDLL) return; PMIB_TCPTABLE_OWNER_PID pTcpTable(NULL); DWORD dwSize(0); PGet_Extended_TcpTable pGetExtendedTcpTable = NULL; pGetExtendedTcpTable = (PGet_Extended_TcpTable) GetProcAddress(hIpDLL, "GetExtendedTcpTable"); if(pGetExtendedTcpTable==NULL) { FreeLibrary(hIpDLL); return; } if(pGetExtendedTcpTable(pTcpTable, &dwSize, TRUE, AF_INET, TCP_TABLE_OWNER_PID_ALL, 0) == ERROR_INSUFFICIENT_BUFFER) pTcpTable = (MIB_TCPTABLE_OWNER_PID *)new char[dwSize];//重新分配缓冲区 if (pGetExtendedTcpTable(pTcpTable, &dwSize, TRUE, AF_INET, TCP_TABLE_OWNER_PID_ALL, 0) != NO_ERROR) { delete pTcpTable; return; } CString sTemp; m_PortList.DeleteAllItems(); int nNum = (int)pTcpTable->dwNumEntries; //TCP连接的数目 // nNum = 0; for (int i = 0; itable[i].dwLocalAddr))); sTemp.Format("%u",htons((WORD)pTcpTable->table[i].dwLocalPort)); m_PortList.SetItemText(i,4,sTemp); m_PortList.SetItemBgColor(i,4,RGB(210,0,0)); m_PortList.SetItemText(i,5,FormatNumToIpv4(htonl(pTcpTable->table[i].dwRemoteAddr))); sTemp.Format("%u",htons((WORD) pTcpTable->table[i].dwRemotePort)); m_PortList.SetItemText(i,6,sTemp); sTemp.Format("%u",pTcpTable->table[i].dwOwningPid); m_PortList.SetItemText(i,8,sTemp); //ProcessPidToName(pTcpTable->table[i].dwOwningPid,i); ProcessPidToNameX(pTcpTable->table[i].dwOwningPid,i); switch (pTcpTable->table[i].dwState) { case MIB_TCP_STATE_CLOSED: m_PortList.SetItemText(i,2,"CLOSED"); break; case MIB_TCP_STATE_LISTEN: m_PortList.SetItemText(i,2,"LISTEN"); break; case MIB_TCP_STATE_SYN_SENT: m_PortList.SetItemText(i,2,"SYN
TcpStatC-增加显示PID对应进程文件说明符
08-14
MASM32编写,可以显示当前电脑Windows系统下的 TCP 连接数量,以及每个连接的本地IP地址:端口、远程IP地址:端口、状态、相关联进程ID对应进程文件说明符文件说明符 : K:\TcpStatC.exe 属性 : A--- 数字...
MASM32v11版本中kernel32.inc和Kernel32.lib修正版。
07-30
MASM32 V11版本中的kernel32.inc和Kernel32.lib中的Module32First / Module32Next and Process32First / Process32Next这两对函数信息存在bug。按照Microsoft MSDN,这两对函数的ANSI版本不是Module32FirstA / ...
MASM32.rar_masm_masm win32_masm32_masm32 text.r_masm32编程指南
09-21
MASM32编程指南》是一份专注于Win32汇编语言编程的资源包,它包含了一套完整的MASM32开发环境,旨在帮助开发者深入理解和掌握汇编语言在Windows平台上的应用。MASM(Microsoft Macro Assembler)是微软公司提供的...
masm32安装缺少的lib库文件
11-04
在给出的压缩包文件名列表中,除了kernel32.Lib和User32.Lib,还有其他一些重要的库文件,如AdvAPI32.Lib(提供高级Windows API功能,如注册表操作)、masm32.lib(可能是MASM32自己的库,包含汇编语言相关的帮助...
vs2022中Win32汇编(MASM32)环境配置和测试源码
03-14
vs2022中Win32汇编(MASM32)环境配置和测试源码的vs2022项目工程
易语言断开进程网络连接
07-16
易语言断开进程网络连接源码,断开进程网络连接,取进程连接,GetAscIP,取进程名,API_GetExtendedTcpTable,API_CopyMemory,API_inet_ntoa,API_lstrlen,API_ntohs,API_SetTcpEntry
易语言断开进程网络模块
07-21
易语言断开进程网络模块源码,断开进程网络模块,刷新,切断程序网络链接,取端口号,获取IP地址,获取进程路径,CloseHandle,OpenProcess,GetModuleFileNameExA,EnumProcessModules,htons,GetExtendedTcpTablelong,GetExtendedTcpTable,CopyMemorylong,CopyMemoryMI
Intel x86 MASM32冒泡排序算法程序(亲测可运行)+如何使用MASM32教程
RuanFun的博客
06-01 1361
目前网络上似乎还没有比较令人满意的MASM32的冒泡排序实现代码,曾经的我也为此而感到头痛,经过一年的学习我又回过头来,着手编写了这段MASM32的可执行冒泡排序代码,供广大同学学习。
易语言连接发信服务器多久断开,易语言断开进程网络连接源码
weixin_30558777的博客
08-01 918
易语言断开进程网络连接源码系统结构:取进程连接,GetAscIP,取进程名,API_GetExtendedTcpTable,API_CopyMemory,API_inet_ntoa,API_lstrlen,API_ntohs,API_SetTcpEntry, ======程序集1 || ||------_启动子程序 || || ======窗口程序集1 || ||------_窗口1_创建完毕 |...
检测TCP端口占用状态的函数
yupei881027的专栏
10-22 721
bool CheckPortState( IN unsigned num) {     PMIB_TCPTABLE_OWNER_PID pTcpTable;     pTcpTable = new MIB_TCPTABLE_OWNER_PID;           //获取所需要的内存大小     DWORD tmpSize = siz
得到TCP列表代码
river
12-28 465
#include <winsock2.h> #include <ws2tcpip.h> #include <iphlpapi.h> #include <stdio.h> #include "windows.h" #include "tchar.h" #include "stdio.h" #include "psapi.h" #pragma comment(lib, "
第四节 获取当前TCP连接情况 GetTcpTable
UruseiBest 的技术专栏
03-20 1617
版权声明:本文为博主原创文章,转载请在显著位置标明本文出处以及作者网名,未经作者允许不得用于商业目的。 第四节 获取当前TCP连接情况 GetTcpTable Imports System.Runtime.InteropServices Public Class Form5 'typedef struct _MIB_TCPTABLE { ' DWORD dwNumEntries; ' MIB_TCPROW table[ANY_SIZE]; '} MIB_TCP
Masm32入门:建立与编写首个控制台程序
Masm32使用指南深入介绍了32位汇编环境在Windows平台上的应用和开发。该指南首先从控制台编程入手,因为控制台程序相对易于理解,适合初学者入门。章节1.1通过编写一个简单的Windows汇编语言程序来展示编程基础,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值