C++ 获取某进程中某模块的入口地址(也是 PE文件头 地址)

最新推荐文章于 2024-05-30 19:35:23 发布
最新推荐文章于 2024-05-30 19:35:23 发布
阅读量5.3k 收藏 20
点赞数 6
分类专栏: C++功能函数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Simon798/article/details/98169324
版权 
	HMODULE GetProcessModuleHandle(DWORD pid, CONST TCHAR* moduleName){	// 根据 PID 、模块名(需要写后缀,如:".dll"),获取模块入口地址。
        MODULEENTRY32 moduleEntry;
        HANDLE handle = NULL;
        handle = ::CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, pid); //  获取进程快照中包含在th32ProcessID中指定的进程的所有的模块。
        if (!handle) {
            CloseHandle(handle); 
            return NULL;
        }
        ZeroMemory(&moduleEntry, sizeof(MODULEENTRY32));
        moduleEntry.dwSize = sizeof(MODULEENTRY32);
        if (!Module32First(handle, &moduleEntry)) {
            CloseHandle(handle); 
            return NULL;
        }
        do {
            if (_tcscmp(moduleEntry.szModule, moduleName) == 0) {return moduleEntry.hModule;}
        } while (Module32Next(handle, &moduleEntry));
        CloseHandle(handle); 
        return 0;
    }	
    
    int main(){
            HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);  // 进程快照句柄
        	PROCESSENTRY32 process = {sizeof(PROCESSENTRY32)};	// 存放进程快照的结构体
        	
        	//  遍历进程
        	while (Process32Next(hProcessSnap,&process)){ 
        		// 找到 QQMusic.exe 进程
        		string s_szExeFile = process.szExeFile; // char* 转 string
        		if(s_szExeFile == "QQMusic.exe"){
        			HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, process.th32ProcessID); // 进程句柄
        			cout << "QQMusic.dll的模块基地址:" << GetProcessModuleHandle(process.th32ProcessID,"QQMusic.dll") << endl;
        		}	
        	}
    }

效果图:
在这里插入图片描述

(-: LYSM :-)
关注
  • 6
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++程序如何获取当前dll或exe模块所在路径?
dvlinker的技术专栏
07-26 218
C++程序如何获取当前dll或exe模块所在路径?
C/C++学习路线总结与分享
热门推荐
dvlinker的技术专栏
10-07 8万+
C/C++学习路线总结与分享
C++实现获取模块进程地址
06-04
C++实现获取模块进程地址C++实现获取模块进程地址C++实现获取模块进程地址C++实现获取模块进程地址C++实现获取模块进程地址C++实现获取模块进程地址
C/C++ 学习日记5:获取进程里的指定模块地址 源码
二狗子的Blog
09-03 2795
直接上源码,对应什么库以及函数的作用,自己查MSDN 在此感谢群里的三位大佬 //取指定进程PID里DLL的地址 HMODULE GetProcessModuleHandle(DWORD pid, CONST TCHAR* moduleName) { MODULEENTRY32 moduleEntry; HANDLE handle = NULL; handle = ::...
使用 C++ 在当前进程获取指定模块的基址
最新发布
qq_62989250的博客
05-30 630
使用 C++ 在当前进程获取指定模块的基址
C/C++ 获取线程入口地址模块
CSDN
07-16 8403
今天检测的特征是向 YY语音 里插入了一段自己的代码(创建了新的线程),而这个新的线程不在原有的模块内,所以思路就是遍历 YY.exe 这个进程的所有线程,如果这个线程没有对应的模块,那么就说明这个线程是可疑的。大多数恶意代码为了隐藏自己的行踪都会附加到某个进程,在这个进程内申请一块内存区域来存放它的代码,毕竟隐藏的再好,代码也要有的,不然你让 CPU 运行什么 …
C++找到进程所加载的某一模块的基地址
qq_35320456的博客
02-27 1092
C++找到进程所加载的某一模块的基地址
获取模块路径——C++
xiaopei_yan的博客
06-08 1273
有时候,我们想获取模块或本动态库的路径,而不是运行路径,下面这个函数就可满足: #include<Windows.h> #include<string> using namespace std; const string& GetModulePath(const HMODULE hMod) { static string st_strModulePath; if(st_strModulePath.size()<1) {
RunPE-In-Memory:在内存运行Exe文件PE模块)(如Application Loader)
02-06
6. **设置EP(Entry Point)**:找到PE文件入口点(EP),通常是PE的IMAGE_NT_HEADERS.OptionalHeader.AddressOfEntryPoint字段指定的位置。 7. **执行EP**:最后,通过CreateRemoteThread或类似的API,启动...
PE文件比较小工具源码
06-03
标题的“PE文件比较小工具源码”指的是一个用于分析和比较Windows可执行文件(Portable Executable, PE部信息的程序的源代码。在Windows操作系统,几乎所有的.exe和.dll文件都是PE格式,其文件包含了...
RunPE 内存直接运行PE文件
02-04
2. **解析PE信息**:解析PE文件的COFF(Common Object File Format)PE获取文件的基本信息,如入口地址、节表等。 3. **分配内存空间**:使用`VirtualAlloc` API为PE文件的各个节分配内存,确保内存...
C++获取当前模块的路径(dll/exe)
Oh~Why not!
02-05 1万+
最近整理了一些获取当前模块路径的代码,都是通过调用 GetModuleFileName() 来获取 DWORD WINAPI GetModuleFileName( _In_opt_ HMODULE hModule, _Out_ LPTSTR lpFilename, _In_ DWORD nSize ); hModule [i
vc 获取当前模块地址(HMODULE)
OrangeIceWater的专栏
01-30 7380
调用GetModuleHandle可以得到当前进程(exe)的模块加载到内存的基地址,但在DLL调用这个函数依然得到是exe的基地址,因此需要编程实现获取当前调用源地模块地址。 /*函数:GetCurrentModule 功能:获取模块自身的基地址,如果在DLL内使用,就是那个dll的模块地址,如果在exe内调用, 则是这个exe的基地址(实际上可以说GetMo
c++ 获取进程加载的模块列表,基地址,大小
从事厨房信息化行业,万能对接所有点餐系统,kds,智能控菜,酒店协调软件
10-20 3478
Toolhelp.h #pragma once // 尝试 将 delphi 翻译成 c++ #include<Windows.h> #include<Tlhelp32.h> class TToolhelp { public: TToolhelp(DWORD dwFlags = 0, DWORD dwProcessID = 0); ~TToolhelp(); BOOL CreateSnapshot(DWORD dwFlags, DWORD dwProcessID = .
C++ 找到进程所加载的某一模块的基地址
白话机器学习
05-06 3082
MEMORY_BASIC_INFORMATION typedef struct _MEMORY_BASIC_INFORMATION {    PVOID BaseAddress;    PVOID AllocationBase;    DWORD AllocationProtect;    DWORD RegionSize;    DWORD State;    DWORD Prot
Linux内核笔记006 - 交换分区
北观止的博客
10-13 758
1. 交换分区概念 一个cpu,同一时刻只能执行一条指令,执行某个进程时,其它进程一定是停止状态。那么,当cpu切换到进程B运行时,如果系统已经没有空闲的物理内存页面了,内核就会选择一个其它进程占用的物理内存页面,将其内容备份到磁盘上,这样就可以先腾出来给当前正在运行的进程B使用了,这个过程叫做"页面换出",当切换到进程A运行时,再重新分配一个物理内存页面(如果也没有空闲物理内存页面,同样执行换出操作),并且从磁盘上恢复换出的内容,这个过程叫做"页面换入"。用于备份内存数据的磁盘空间,就是"交换..
C++ 获取当前进程加载模块的完整路径读取配置文件
小众的博客
09-05 1700
C++ 获取当前进程已加载模块文件的完整路径操作配置文件: char buf[MAX_PATH]; ZeroMemory(buf, MAX_PATH); GetModuleFileName(NULL, buf, MAX_PATH); for(int i = lstrlen(buf); i > 0; i--) {
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值