R3下枚举进程DLL的几种方法

于 2019-10-31 00:07:54 发布
阅读量886 收藏 3
点赞数 1
分类专栏: Windows编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aqtata/article/details/102829623
版权

一、Module32FirstModule32Next

void Enum1()
{
	HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, GetCurrentProcessId());
	if (hSnapshot == INVALID_HANDLE_VALUE)
		return;

	MODULEENTRY32W module{ 0 };
	module.dwSize = sizeof(module);
	BOOL bFound = Module32FirstW(hSnapshot, &module);
	while (bFound)
	{
		std::wcout << module.szExePath << std::endl;
		bFound = Module32Next(hSnapshot, &module);
	}

	CloseHandle(hSnapshot);
}

函数底层是通过搜索PEB.Ldr.InLoadOrderModuleList链来找到模块信息的。

二、EnumProcessModules

void Enum2()
{
	HANDLE hProcess = GetCurrentProcess();
	HMODULE hModules[1024];
	DWORD cbNeeded = 0;
	if (EnumProcessModules(hProcess, hModules, sizeof(hModules), &cbNeeded))
	{
		for (auto i = 0u; i < (cbNeeded / sizeof(HMODULE)); i++)
		{
			WCHAR szFileName[MAX_PATH];
			if (GetModuleFileNameExW(hProcess, hModules[i], szFileName, _countof(szFileName)))
			{
				std::wcout << szFileName << std::endl;
			}
		}
	}
}

函数底层是通过搜索PEB.Ldr.InMemoryOrderModuleList链来找到模块信息的。

三、VirtualQuery

void Enum3()
{
	SYSTEM_INFO SystemInfo;
	GetSystemInfo(&SystemInfo);
	ULONG_PTR ulStart = (ULONG_PTR)SystemInfo.lpMinimumApplicationAddress;
	ULONG_PTR ulEnd = (ULONG_PTR)SystemInfo.lpMaximumApplicationAddress;

	ULONG_PTR ulBaseAddress = ulStart;
	MEMORY_BASIC_INFORMATION info{ 0 };
	while (ulBaseAddress <= ulEnd)
	{
		if (VirtualQuery((PVOID)ulBaseAddress, &info, sizeof(info)) == sizeof(info))
		{
			if ((info.Type == MEM_IMAGE) && (info.AllocationBase == info.BaseAddress))
			{
				WCHAR szFileName[MAX_PATH];
				if (GetModuleFileNameW((HMODULE)info.BaseAddress, szFileName, _countof(szFileName)) > 0)
				{
					std::wcout << szFileName << std::endl;
				}
			}
		}
		ulBaseAddress += 0x10000;
	}
}

这个就是使用暴力搜索内存页的方法来定位模块信息,不依赖LDR链,VirtualQuery内部又会调用NtQueryVirtualMemory来取得内存页信息。这个方法效率低下,特别是在64位进程中,由于内存地址范围太大,需要很长时间去遍历完整个内存,所以一般情况下不使用这个方法。

一如当初
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
R3 DLL重载
08-26
R3 DLL重载。相当有用的重载技术,对于DLL
R3暴力枚举驱动 易语言源码
04-21
R3暴力枚举驱动 易语言源码 R3的权限,可以枚举全部的加载的驱动
r3进程保护dll
08-16
r3进程保护 MsgBox HOOK
R3暴力枚举驱动
03-31
易语言ring3下暴力枚举驱动的例子。任何驱动都可枚举出来。
枚举进程DLL
07-11
使用 CreateToolhelp32Snapshot 创建进程快照,第一个参数为 TH32CS_SNAPMODULE 时创建进程 DLL 快照,类似枚举进程时使用的 Process32First、Process32Next,枚举进程 DLL 时使用 Module32First、Module32Next 枚举进程 DLL
获取进程列表和模块信息
enjoy5512的博客
06-02 8914
获取本地进程列表与进程模块信息
枚举进程使用的DLL
weixin_30263073的博客
02-17 178
// tt2.cpp : 定义控制台应用程序的入口点. #include "stdafx.h" #include <windows.h> #include <iostream.h> #include "Shlwapi.h" #include "Psapi.h" #pragma comment(lib,"Psapi.lib") bool DebugP...
两种方法枚举进程加载的DLL
l460602540的专栏
10-24 2543
两种方法枚举进程加载的DLL 枚举进程加载的模块 (1)控制台实现方法   命令:tasklist -m >d:\\1.txt   这样就会把系统当前运行的程序所加载的DLL全部打印到1.txt中。   也可以 #include void main() {  system("tasklist -m >d:12343.txt"); } 另外也可以通过 CreateProces
枚举进程中的模块
Masimaro的专栏
05-16 3884
在Windows中枚举进程中的模块主要是其中加载的dll,在VC上主要有2种方式,一种是解析PE文件中导入表,从导入表中获取它将要静态加载的dll,一种是利用查询进程地址空间中的模块,根据模块的句柄来得到对应的dll,最后再补充一种利用Windows中的NATIVE API获取进程内核空间中的模块,下面根据给出这些方式的具体的代码片段:解析PE文件来获取其中的dll在之前介绍PE文件时说过PE文件中
vb.net Process32First和Module32First
weixin_34292287的博客
12-12 745
Friend Const PROCESS_ALL_ACCESS = &H1F0FFF = 2035711 Friend Const PROCESS_VM_READ = &H10 Friend Const PROCESS_VM_WRITE = &H20 Friend Const PAGE_READONLY = &H2 Friend Const PAGE_READWRI...
ring3 下隐藏进程
04-10
Ring3 下隐藏进程.txt
通过VAD树枚举进程DLL(通过processID)
03-20
通过VAD树枚举进程DLL,VAD(Virtual address descriptor) 是一棵平衡二叉搜索树。管理着一个进程的虚拟内存。当然其中也包含着一个进程dll模块信息
WindowsPE 第五章 导出表编程-1(枚举导出表)
天使也掉毛
12-06 816
导出表编程 枚举导出表
枚举所有未被使用的 SharedDlls
FrontGoggle
10-02 2208
首先,查找这些文件是否可用的原理在于注册表。注册表中的 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/SharedDlls 键是用来储存系统中所有 SharedDlls 的使用情况的,其中每一项的值代表着这个 SharedDll 被多少个应用程序所引用,如果某项的值为0,那么就说明这个 SharedDll 已经变成无用的了
用VB 关闭其他应用程序
weixin_34133829的博客
03-08 220
1 PrivateDeclareFunctionCreateToolhelp32SnapshotLib"kernel32"(ByValdwFlagsAsLong,ByValth32ProcessIDAsLong)AsLongPrivateDeclareFunctionProcess32FirstLib"ker...
CreateToolhelp32Snapshot 进程快照函数的应用实例
小关的专栏
01-16 3566
 CreateToolhelp32Snapshot  CreateToolhelp32Snapshot函数为指定的进程进程使用的堆[HEAP]、模块[MODULE]、线程[THREAD])建立一个快照[snapshot]。  HANDLE WINAPI CreateToolhelp32Snapshot(  DWORD dwFlags,  DWORD th32ProcessID
Windows窗口中的各种图标尺寸
热门推荐
一如当初
05-02 1万+
在Windows系统中,几乎所有窗口都是ListView,其中的图标都按照指定的尺寸排列。 在程序开发中,为了使得你的程序图标在各种尺寸下都能有适合的效果,就需要为各个尺寸制作对应的ico图标文件 那么在Windows视图窗口中,到底存在哪些尺寸呢?下面是我的分析过程 首先我把QQ的图标抠下来,然后在各个尺寸上做个记号,最后的图标效果 图1 然后随便用你熟悉的语言
c++r3强杀r0保护进程思路
最新发布
07-10
以下是一种可能的思路: 1. 首先,你需要获取目标进程进程ID(PID)。你可以使用操作系统提供的函数或API来获取进程ID。 2. 接下来,你可以使用操作系统提供的函数或API来打开目标进程。你可以使用进程ID作为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值