还原GetModuleFileNameExW

最新推荐文章于 2019-06-21 17:15:38 发布
最新推荐文章于 2019-06-21 17:15:38 发布
阅读量2.7k 收藏
点赞数
分类专栏: PureCode Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Vizee/article/details/8579175
版权
本文介绍了如何使用Windbg及相关API来实现GetModuleFileNameExW功能,通过遍历进程的内存模块列表获取模块的完整路径。代码中包含FindModule函数,用于查找指定进程中的模块,并在成功后通过GetModuleFileNameExW函数复制模块名到缓冲区。
摘要由CSDN通过智能技术生成 
//thanks for powerful windbg~

BOOL FindModule(HANDLE hProcess, HMODULE hModule, PLDR_DATA_TABLE_ENTRY pLdrData)
{
	DWORD i;
	PLIST_ENTRY pListEntry;
	PPEB_LDR_DATA pPebLdr;
	PROCESS_BASIC_INFORMATION pbi;
	NTSTATUS Status;

	Status = NtQueryInformationProcess(hProcess, ProcessBasicInformation, &pbi, sizeof(PROCESS_BASIC_INFORMATION), NULL);

	if(!NT_SUCCESS(Status)) {
		SetLastError(RtlNtStatusToDosError(Status));
		return FALSE;
	}
	
	if(hModule == NULL) {
		if(!ReadProcessMemory(hProcess, &(pbi.PebBaseAddress->ImageBaseAddress), &hModule, sizeof(hModule), NULL))
			return FALSE;
	}

	if(!ReadProcessMemory(hProcess, &(pbi.PebBaseAddress->Ldr), &pPebLdr, sizeof(pPebLdr), NULL))
		return 0;

	if(pPebLdr) {

		if(!ReadProcessMemory(hProcess, &(pPebLdr->InMemoryOrderModuleList), &pListEntry, sizeof(pListEntry), NULL))
			return FALSE;

		i = 0;
		while(pListEntry != &(pPebLdr->InMemoryOrderMod
最低0.47元/天 解锁文章
vizee
关注
专栏目录
C++ Windows 下获取进程名、可执行文件路径
biangechengxu的博客
11-18 3256
GetModuleFileNameEx: DWORD GetModuleFileNameEx(HANDLE hProcess,HMODULE hModule,LPTSTR lpFilename,DWORD nSize) hProcess是目标进程的句柄、hModule是目标模块的句柄(当此参数为NULL时函数返回的是进程可执行文件的路径)、lpFilename是存放路径的字符串缓冲区、nSize表示缓冲区的大小。函数调用失败将返回0。注:进程的句柄须有PROCESS_QUERY_INFORMATIO
零度还原v1.2.6.1294-一款免费的重启还原软件,类似冰点还原
最新发布
04-08
希沃零度是一款免费的系统还原软件,类似冰点还原,安全性也不错,可以自定义冻结磁盘,免费无广告 桌面的快捷方式有效,开始菜单的那个只是摆设 使用方法:勾选需要冻结的磁盘,然后点击冻结,重启即可
GetModuleFileNameEx
weixin_33974433的博客
05-06 2169
HANDLE hProcess =::OpenProcess(PROCESS_ALL_ACCESS,false,5196);  char bufFullName[500]={0};  ::GetModuleFileNameEx((HMODULE)hProcess,NULL,bufFullName,sizeof(bufFullName));
GetModuleFileName
x-2010的笔记
09-13 1838
获取当前进程已加载模块的文件的完整路径。可使用函数GetModuleFileNameEx获取另一个已加载模块的文件路径。 函数声明: DWORD WINAPI GetModuleFileName( _In_opt_ HMODULE hModule, _Out_ LPTSTR lpFilename, _In_ DWORD nSize ); 返
[WIN32]GetModuleFileNameEx获取当前窗口的可执行文件路径
liuyukuan的专栏
12-30 4744
DWORD GetModuleFileNameEx(HANDLE hProcess,HMODULE hModule,LPTSTR lpFilename,DWORD nSize) 参数: hProcess是目标进程的句柄、 hModule是目标模块的句柄(当此参数为NULL时函数返回的是进程可执行文件的路径)、 lpFilename是存放路径的字符串缓冲区、 nSize表示缓冲区的大小。
c#调用GetModuleFileNameEx获取进程路径
weixin_30371469的博客
11-23 507
原文最早发表于百度空间2009-09-04 [DllImport("Kernel32.dll", EntryPoint = "OpenProcess")]public static extern int OpenProcess(uint DesiredAccess, bool bInheritHandle, uint pid);[DllImport("Psapi.dll", EntryPoint...
AcronisTrueImage2019备份异机还原
09-27
实测完美,可以对系统进行克隆,并进行异机还原,所谓异机还原,就比如老电脑的win7备份后,还原至新电脑上,完美解决驱动不一致的问题,让你无忧换电脑,文档内为网盘链接。如不会操作,另有图文教程在其他链接,本...
穿透还原卡和还原软件的代码.rar_还原卡_还原软件
09-19
在IT行业中,还原卡和还原软件是用于保护计算机系统免受未经授权更改的重要工具。它们主要用于网吧、公共计算机中心等环境,确保每次重启后系统都能恢复到初始状态,提供了一个安全、干净的操作环境。下面我们将详细...
AcronisTrueImage2019备份异机还原图文教程
09-27
所谓异机还原,就比如老电脑的win7备份后,还原至新电脑上,完美驱动不一致的问题,让你无忧换电脑,里面有图文教程,一步一步教你使用ATI进行操作
使用GetModuleFileName函数获取当前程序所在目录
younibugudano的博客
05-05 590
GetModuleFileName() 函数返回当前进程已加载可执行或DLL文件的完整路径名(以'\0'终止),该模块必须由当前进程地址空间加载。 如果想要获取另一个已加载模块的文件路径,可以使用GetModuleFileNameEx()函数。     函数原型: DWORD WINAPI GetModuleFileName( _In_opt_  HMODULE hModule,
psapi头文件及静态库
03-05
GetModuleFileNameEx所需的psapi头文件及静态库
无法定位程序输入点K32Get Module File Name Ex于动态链接库KERNEL32.dll上 的错误解析
小米的修行之路
03-13 3万+
这里我要讨论的是在 WinSDK v7.0中的一些不友好的错误。如果你是一名开发者,并且当前使用的是VS2010编译器自带的 WinSDK v7.0,那么个别时候当你执行程序时,可能遇到这样的错误提示:The procedure entry point K32*** could not be located in the dynamic link library KERNEL32.dll中文版本的...
获得进程可执行文件的路径: GetModuleFileNameEx, GetProcessImageFileName, QueryFullProcessImageName
David的专栏
11-05 2万+
  想获得进程可执行文件的路径通常有三个方法:一: 调用GetModuleFileNameEx函数获得可执行文件的模块路径这个函数从Windows NT 4.0开始到现在的Vista系统都能使用,向后兼容性比较好。 二:调用GetProcessImageFileName函数,这个函数在Windows XP及其以后的系统中都能使用。 三:调用Windows Vista新增
GetModuleBaseName()与GetModuleFileNameEx()函数用法
Alan_Program的博客
06-21 2233
MSDN上面原文: GetModuleBaseName() The GetModuleBaseName function retrieves the base name of the specified module. //GetModuleBaseName函数检索指定模块的基本名称。 DWORD GetModuleBaseName( HANDLE hProcess, // handle...
根据进程句柄获得可执行文件路径的几种方法
热门推荐
while(1) { smile(); }
11-28 13万+
转载自: http://blog.csdn.net/hellokandy/article/details/52160077 通过进程句柄,获得可执行文件的路径,主要有以下几种方法: 第一种方法:也是最常用的方法,是通过GetModuleFileNameEx函数获得可执行文件的模块路径,这个函数从Windows NT 4.0开始到现在的Vista系统都能使用,向后兼容性比较好。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值