获取其他进程加载模块的详细信息

最新推荐文章于 2024-02-07 11:42:06 发布
最新推荐文章于 2024-02-07 11:42:06 发布
阅读量3.1k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/darthas/article/details/12569443
版权
通过调用ntdll.dll的NtQueryInformationProcess函数获取PROCESS_BASIC_INFORMATION结构,再利用PEB_LDR_DATA中的链表头遍历LDR_DATA_TABLE_ENTRY结构,从而得到进程模块的基地址、入口点、大小等详细信息。
摘要由CSDN通过智能技术生成

CreateToolhelp32Snapshot传TH32CS_SNAPMODULE也可枚举模块信息,得到MODULEENTRY32 结构,但是MODULEENTRY32 比较简单,只有基地址和大小等信息,EntryPoint、LoadCount等信息都没有,这些信息在另一个结构LDR_DATA_TABLE_ENTRY中,wrk中多次引用了这个结构,并且用这种方法调试时也能手动遍历模块列表。

基本思路:用ntdll.dll的导出函数NtQueryInformationProcess查询进程的ProcessBasicInformation,获取PROCESS_BASIC_INFORMATION结构,

typedef struct _PROCESS_BASIC_INFORMATION {
NTSTATUS ExitStatus;
PPEB PebBaseAddress;//peb地址
ULONG_PTR AffinityMask;

最低0.47元/天 解锁文章
darthas
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cc2530期末试卷_Zigbee试卷B答案
weixin_29191081的博客
12-29 1100
2015--2016学年第一学期期末考试《Zigbee无线传感网络技术》试卷B(闭卷)答案一、填空题(每空格2分,共30分)1.单点寻址、广播寻址2.2.4GHz、163.物理层、MAC层4.近距离、低复杂度、低功耗、低成本5.2.4G直接序列扩频6.物理层、MAC层、网络层、应用层二、选择题(每题2分,共20分)1-5BDACD6-10CABDC三、判断题(每题1分,共10分)1、√2、×3、×...
c++跨进程获取模块基地址_虚拟化(5):地址翻译
weixin_35688303的博客
01-16 835
首先先回顾了下cpu的LDE模式的思路,主要就是在大多数时间让程序直接在硬件上运行,但是在一些关键功能上,比如硬件访问,进程调度上能够让os得到控制,从而实现了高效运行的同时也能保证对系统的控制。这一章要说的内存控制也是一样的思路,我们需要一些基本的硬件的支持,在这之上让os能够高效的实现vm.并且我们实现的vm也是需要有很好的扩展性,因为对程序来说,内存的变化是非常频繁的。为了实现vm,我们会使...
查看指定进程加载模块
06-11
WIN7下测试成功。在其他系统上出现任何问题 与作者无关 谢谢
显示进程和指定进程加载模块
07-05
展示了如何显示当前系统进程(32位进程) 并显示指定名称进程加载了哪些模块(包括dll、ocx或者其他模块、被注入的模块等等) 关键函数: CreateToolhelp32Snapshot,EnumProcessModules,OpenProcess,Process32First 编译环境: vc2015 参考代码用法后可以移植到其他版本的vc开发环境
windows C++ 遍历进程线程以及进程加载模块
qq_43179054的博客
02-03 2175
本文是基于Win32 API函数实现遍历进程、遍历线程和遍历进程加载模块获取系统信息的操作。
根据进程获取加载的所有可执行模块
xiaoguanglgc的专栏
04-03 800
下面的一个方法,用于实现这样一个功能:获取指定进程的所有加载模块,指定进程的方式是传入进程名。   #include #include #include #include /** * @brief : 枚举指定进程名的所有模块全路径 * @remark : 由于进程有多实例,所以注意第三个参数 bGetAllInstances 的用法 * @param[i
getprocessinfo 获取进程模块信息.rar_getprocessin_优化算法_获取_获取 进程_进程信息
09-23
但它可能是指通过其他方式获取进程信息的一系列方法的统称,例如使用`CreateToolhelp32Snapshot`, `Process32First`, `Process32Next`,或者使用`OpenProcess`, `QueryInformationProcess`等函数来获取进程的详细...
c++获取进程信息列表和进程所调用的dll列表
09-04
`GetProcessName`方法是核心功能实现,它会遍历所有进程,并使用`EnumProcesses`获取进程ID,然后对每个进程ID调用`EnumProcessModules`来获取加载模块列表。为了获取DLL的名称,还需要使用`GetModuleBaseName`...
C#获取进程或线程相关信息的方法
09-03
9. **模块数量**(`Modules.Count`):进程加载模块(如动态链接库DLLs)的数量。 10. **基本优先级**(`BasePriority`):进程的基础优先级,影响CPU调度。 11. **提升优先级**(`PriorityBoostEnabled`):是否...
精选_编程实现遍历进程遍历线程遍历进程加载模块_源码打包
03-06
在IT领域,编程实现遍历进程、遍历线程以及遍历进程加载模块是一项重要的技能,尤其是在系统管理和性能监控方面。这些操作通常涉及到操作系统的核心层面,对于理解和调试应用程序的运行行为至关重要。本压缩包文件...
基于visual c++之windows核心编程代码分析(19)枚举进程以及进程加载模块信息
flyingleo1981的专栏
12-08 1216
我们进行Windows安全编程的时候,经常需要检测进程,我们来实践一下枚举进程进程加载模块。请见代码实现与注释分析。     [cpp] view plain copy /* 头文件 */   #include    #include    #include    #include    /* 预处理声明 */   #pragm
通过导出表和函数名 获取特定进程模块的导出函数地址
吾无法无天的博客
04-24 2040
需要的头文件: #include<windows.h> #include<iostream> #include<Psapi.h> using namespace std; 获取进程下的模块基址: PVOID GetProcessMoudleBase(HANDLE hProcess, char* moduleName) { // 遍历进程模块, HM...
macos上获得程序文件所在的路径
mounter625的专栏
01-23 783
<br />#include <limits.h> /* PATH_MAX */<br />#include <stdio.h><br />#include <stdlib.h><br />#include <libgen.h><br />int main(int argc, char **argv) {<br /> char buf[PATH_MAX + 1]; /* not sure about the "+ 1" */<br /> char *res = realpath(argv[0],
使用 NtQuerySystemInformation 遍历进程信息
最新发布
溡漪幽博客
02-07 1301
通过遍历系统进程信息,我们可以了解系统中运行的各种进程详细信息,从而更好地进行系统管理和性能优化。本文介绍了一种通过调用 Windows 系统API来获取并遍历系统进程信息的技术,并提供了一段示例代码以帮助读者理解该技术的实现方法。
获取自身驱动的模块地址和大小长度
追逐光芒,追随内心
10-28 575
//功能:模块基址,模块大小 VOID GetKernelModuleBase(PULONG64 KrnlBase, PULONG64 KrnlSize) { NTSTATUS status; ULONG size; char* pDrvName; PSYSTEM_MODULE_INFORMATION moduleinfo; PSYSTEM_MODULE_INFORMATION_ENTRY moduleinfoentry; status = NtQuerySystemInformation(.
C++ 获取进程中某模块的入口地址(也是 PE文件头 地址)
LYSM
08-02 5325
HMODULE GetProcessModuleHandle(DWORD pid, CONST TCHAR* moduleName){ // 根据 PID 、模块名(需要写后缀,如:".dll"),获取模块入口地址。 MODULEENTRY32 moduleEntry; HANDLE handle = NULL; handle = ::CreateToolhelp32Sna...
获取进程列表和模块信息
enjoy5512的博客
06-02 8961
获取本地进程列表与进程模块信息
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值