获取进程完整路径探索

最新推荐文章于 2023-12-25 19:58:34 发布
最新推荐文章于 2023-12-25 19:58:34 发布
阅读量4.9k 收藏 4
点赞数
分类专栏: 编程 文章标签: tools null parameters path winapi list
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/galihoo/article/details/1698599
版权
要想获取进程的完整路径,使用PSAPI提供的函数 GetModuleFileNameEx() 就可以轻松的办到
下面是一个例子:

 /*
用户态使用 psapi 函数进程进程查询
*/

#include  " stdio.h "
#include  " windows.h "
#include  " psapi.h "
#pragma  comment(lib,"psapi.lib")

// 需要额外添加  psapi.h 以及 psapi.lib
 // 存在一定的问题,system进程不能列出来(当然这个可以根据pid来判别.system的pid是4),
 // 卡巴斯基的进程也不行,看来本身还是有缺陷


 // 提升进程权限
bool  AdjustPurview()
 {
    TOKEN_PRIVILEGES TokenPrivileges;
    BOOL bRet;
    HANDLE hToken;

    LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &TokenPrivileges.Privileges[0].Luid);   
    OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToken);

    TokenPrivileges.PrivilegeCount = 1;   
    TokenPrivileges.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

    bRet = AdjustTokenPrivileges(hToken, FALSE, &TokenPrivileges, 0, NULL, NULL);

    CloseHandle(hToken);
    return bRet == TRUE;
}


void  PrintProcessNameAndID( DWORD processID )
 {
    char szProcessName[MAX_PATH] = "........";

    AdjustPurview();
    //取得进程的句柄
    HANDLE hProcess = OpenProcess( 
        PROCESS_QUERY_INFORMATION |
        PROCESS_VM_READ,
        FALSE, 
        processID );
    //取得进程名称
    if ( hProcess )
    {
        //HMODULE hMod;
        //DWORD cbNeeded;
        //if ( EnumProcessModules( hProcess, &hMod, sizeof(hMod), &cbNeeded) )
        {
            GetModuleFileNameEx(hProcess,NULL,szProcessName,MAX_PATH);            
        }
    }

    //回显进程名称和ID
    printf( " %-20d%-20s", processID , szProcessName);

    CloseHandle( hProcess );
}



void  main( )

 {

    DWORD aProcesses[1024], cbNeeded, cProcesses;

    unsigned int i;

    //枚举系统进程ID列表

    if ( !EnumProcesses( aProcesses, sizeof(aProcesses), &cbNeeded ) )
    {
        return;
    }

    //计算进程数量

    cProcesses = cbNeeded / sizeof(DWORD);

    // 输出每个进程的名称和ID

    for ( i = 0; i < cProcesses; i++ )

        PrintProcessNameAndID( aProcesses[i] );

    return;

}

 呵呵,方便快捷的实现了进程完整路径的获取,其中比较关键的一句就是 GetModuleFileNameEx(),那么GetModuleFileNameEx()又是如何实现的呢?逆向分析了一下这个函数,发现它就是从进程的PEB中进行检索找出进程完整路径的.
首先来分析一下PEB(进程环境块),其中包含了大量的信息,有多少的信息呢?我们使用内核调试器直接欣赏一下
kd> !peb
PEB at 7ffd9000
InheritedAddressSpace:    No
ReadImageFileExecOptions: No
BeingDebugged:            No
ImageBaseAddress:         01000000
        Ldr                       00181e90
        Ldr.Initialized:          Yes
        Ldr.InInitializationOrderModuleList: 00181f28 . 001824e0
        Ldr.InLoadOrderModuleList:           00181ec0 . 001824d0
        Ldr.InMemoryOrderModuleList:         00181ec8 . 001824d8
        Base TimeStamp                     Module
        1000000 44b01112 Jul 09 04:09:54 2006 D:/Program Files/Debugging Tools
        for Windows/kd.exe
         7c920000 4121457c Aug 17 07:38:36 2004 C:/WINDOWS/system32/ntdll.dll
         7c800000 4121457d Aug 17 07:38:37 2004 C:/WINDOWS/system32/kernel32.dll
         77be0000 412145fe Aug 17 07:40:46 2004 C:/WINDOWS/system32/msvcrt.dll
         2000000 44b011b8 Jul 09 04:12:40 2006 D:/Program Files/Debugging Tools
         for Windows/dbgeng.dll
          3000000 44b01174 Jul 09 04:11:32 2006 D:/Program Files/Debugging Tools
          for Windows/dbghelp.dll
           77da0000 4121454d Aug 17 07:37:49 2004 C:/WINDOWS/system32/ADVAPI32.dll
           77e50000 41214569 Aug 17 07:38:17 2004 C:/WINDOWS/system32/RPCRT4.dll
           77bd0000 41214577 Aug 17 07:38:31 2004 C:/WINDOWS/system32/VERSION.dll
           1d00000 44b011d1 Jul 09 04:13:05 2006 D:/Program Files/Debugging Tools
           for Windows/symsrv.dll
SubSystemData:     00000000
ProcessHeap:       00080000
ProcessParameters: 00020000
WindowTitle:  '"D:/Program Files/Debugging Tools for Windows/livekd.exe"'
ImageFile:    'D:/Program Files/Debugging Tools for Windows/kd.exe'
CommandLine:  'kd.exe      -z C:/WINDOWS/system32/livekd.dmp'
DllPath:      'D:/Program Files/Debugging Tools for Windows;C:/WINDOWS/syste
     m32;C:/WINDOWS/system;C:/WINDOWS;.;d:/perl/bin;C:/WINDOWS/system32;C:/WINDOWS;C:
/WINDOWS/System32/Wbem;D:/Program Files/MySQL/MySQL Server 4.1/bin;C:/Program Fi
les/Microsoft SQL Server/80/Tools/BINN;D:/Program Files/Microsoft Visual Studio/
Common/Tools/WinNT;D:/Program Files/Microsoft Visual Studio/Common/MSDev98/Bin;D
:/Program Files/Microsoft Visual Studio/Common/Tools;D:/Program Files/Microsoft
Visual Studio/VC98/bin'
Environment:  00010000
     =C:=C:/Documents and Settings/galihoo
     ALLUSERSPROFILE=C:/Documents and Settings/All Users
     APPDATA=C:/Documents and Settings/galihoo/Application Data
     CLIENTNAME=Console
     CommonProgramFiles=C:/Program Files/Common Files
     COMPUTERNAME=PERSON-GALIHOO
     ComSpec=C:/WINDOWS/system32/cmd.exe
     DDKROOT=D:/WINDDK/2600
     DRIVERNETWORKS=D:/PROGRA~1/COMPUW~1/SOFTIC~1/DRIVER~2
     DRIVERWORKS=D:/PROGRA~1/COMPUW~1/SOFTIC~1/DRIVER~1
     FP_NO_HOST_CHECK=NO
     HOMEDRIVE=C:
HOMEPATH=/Documents and Settings/galihoo
include=D:/Program Files/Microsoft Visual Studio/VC98/atl/include;D:/Pro
gram Files/Microsoft Visual Studio/VC98/mfc/include;D:/Program Files/Microsoft V
isual Studio/VC98/include
lib=D:/Program Files/Microsoft Visual Studio/VC98/mfc/lib;D:/Program Fil
es/Microsoft Visual Studio/VC98/lib
LOGONSERVER=//PERSON-GALIHOO
MSDevDir=D:/Program Files/Microsoft Visual Studio/Common/MSDev98
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=D:/Program Files/Debugging Tools for Windows/winext/arcade;d:/perl/
bin;C:/WINDOWS/system32;C:/WINDOWS;C:/WINDOWS/System32/Wbem;D:/Program Files/MyS
QL/MySQL Server 4.1/bin;C:/Program Files/Microsoft SQL Server/80/Tools/BINN;D:/P
rogram Files/Microsoft Visual Studio/Common/Tools/WinNT;D:/Program Files/Microso
ft Visual Studio/Common/MSDev98/Bin;D:/Program Files/Microsoft Visual Studio/Com
mon/Tools;D:/Program Files/Microsoft Visual Studio/VC98/bin
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
perl=D:/perl/bin/
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 8 Stepping 1, AuthenticAMD
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0801
ProgramFiles=C:/Program Files
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:/WINDOWS
TEMP=C:/DOCUME~1/galihoo/LOCALS~1/Temp
TMP=C:/DOCUME~1/galihoo/LOCALS~1/Temp
USERDOMAIN=PERSON-GALIHOO
USERNAME=galihoo
USERPROFILE=C:/Documents and Settings/galihoo
VS71COMNTOOLS=E:/Program Files/Microsoft Visual Studio 7/Common7/Tools/
VTOOLSD=D:/PROGRA~1/COMPUW~1/SOFTIC~1/VtoolsD
windir=C:/WINDOWS
WORKPATH=D:/WINDDK/MyDrivers
_NT_SYMBOL_PATH=H:/XP_SP2_Symbols

看到了吧,进程映象的基地址,进程中加载的所有的映象,以及各种环境变量都可以从PEB顺藤摸瓜找到

 

PEB的结构
typedef  struct  _PEB  {

    BOOLEAN                 InheritedAddressSpace;
    BOOLEAN                 ReadImageFileExecOptions;
    BOOLEAN                 BeingDebugged;
    BOOLEAN                 Spare;
    HANDLE                  Mutant;
    PVOID                   ImageBaseAddress;
    PPEB_LDR_DATA           LoaderData;
    PRTL_USER_PROCESS_PARAMETERS ProcessParameters;
    PVOID                   SubSystemData;
    PVOID                   ProcessHeap;
    PVOID                   FastPebLock;
    PPEBLOCKROUTINE         FastPebLockRoutine;
    PPEBLOCKROUTINE         FastPebUnlockRoutine;
    ULONG                   EnvironmentUpdateCount;
    PPVOID                  KernelCallbackTable;
    PVOID                   EventLogSection;
    PVOID                   EventLog;
    PPEB_FREE_BLOCK         FreeList;
    ULONG                   TlsExpansionCounter;
    PVOID                   TlsBitmap;
    ULONG                   TlsBitmapBits[0x2];
    PVOID                   ReadOnlySharedMemoryBase;
    PVOID                   ReadOnlySharedMemoryHeap;
    PPVOID                  ReadOnlyStaticServerData;
    PVOID                   AnsiCodePageData;
    PVOID                   OemCodePageData;
    PVOID                   UnicodeCaseTableData;
    ULONG                   NumberOfProcessors;
    ULONG                   NtGlobalFlag;
    BYTE                    Spare2[0x4];
    LARGE_INTEGER           CriticalSectionTimeout;
    ULONG                   HeapSegmentReserve;
    ULONG                   HeapSegmentCommit;
    ULONG                   HeapDeCommitTotalFreeThreshold;
    ULONG                   HeapDeCommitFreeBlockThreshold;
    ULONG                   NumberOfHeaps;
    ULONG                   MaximumNumberOfHeaps;
    PPVOID                  *ProcessHeaps;
    PVOID                   GdiSharedHandleTable;
    PVOID                   ProcessStarterHelper;
    PVOID                   GdiDCAttributeList;
    PVOID                   LoaderLock;
    ULONG                   OSMajorVersion;
    ULONG                   OSMinorVersion;
    ULONG                   OSBuildNumber;
    ULONG                   OSPlatformId;
    ULONG                   ImageSubSystem;
    ULONG                   ImageSubSystemMajorVersion;
    ULONG                   ImageSubSystemMinorVersion;
    ULONG                   GdiHandleBuffer[0x22];
    ULONG                   PostProcessInitRoutine;
    ULONG                   TlsExpansionBitmap;
    BYTE                    TlsExpansionBitmapBits[0x80];
    ULONG                   SessionId;

}  PEB,  * PPEB;


PPEB_LDR_DATA 对我们来说比较重要,看看里面都有什么东西

typedef  struct  _PEB_LDR_DATA  {
    ULONG                   Length;
    BOOLEAN                 Initialized;
    PVOID                   SsHandle;
    LIST_ENTRY              InLoadOrderModuleList;
    LIST_ENTRY              InMemoryOrderModuleList;
    LIST_ENTRY              InInitializationOrderModuleList;
}  PEB_LDR_DATA,  * PPEB_LDR_DATA;

后面三个字段都是双向环形链表,链表上的节点由进程中所有的模块的信息组成,遍历这三个链表就可以得到所有的模块,只不过他们在链表中排列的位置不一样, 链表节点指向的实体内容是如下的结构
typedef  struct  _LDR_MODULE  {
    LIST_ENTRY InLoadOrderModuleList;
    LIST_ENTRY InMemoryOrderModuleList;
    LIST_ENTRY InInitializationOrderModuleList;
    PVOID BaseAddress;
    PVOID EntryPoint;
    ULONG SizeOfImage;
    UNICODE_STRING FullDllName;
    UNICODE_STRING BaseDllName;
    ULONG Flags;
    SHORT LoadCount;
    SHORT TlsIndex;
    LIST_ENTRY HashTableEntry;
    ULONG TimeDateStamp;
}  LDR_MODULE,  * PLDR_MODULE;

看看 FullDllName ,它就是我们要找得东西
实现的步骤: 
 1 . 获得 peb,(可以使用 native api NtQueryInformationProcess 进行获取)
 2 . 获得LoaderData (peb + 0xc )
 3 . 获得InMemoryOrderModuleList 
(LoaderData  +   0x14 ,选择第二个链表,不知道为什么,GetModuleFileNameEx就是这么实现的)
 4 . 获得FullDllName 
(InMemoryOrderModuleList是双向链表的一个节点,它刚好指向进程的实体映象,因此可以使用 InMemoryOrderModuleList  +   0x1c  就可以得到FullDllName)
 5 . 获得真正的完整路径,
kd >  dt UNICODE_STRING
 + 0x000  Length           : Uint2B
 + 0x002  MaximumLength    : Uint2B
 + 0x004  Buffer           : Ptr32 Uint2B


关键函数代码如下:

 // 通过进程ID,然后读取此进程的PEB,得到进程的模块
int  GetFullPathByID(DWORD dwID)
 {
    // 打开进程    
    HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION|PROCESS_VM_READ,
        FALSE,dwID);
    if (hProcess == NULL) {
        int k = GetLastError();
        return 0;
    }

    PROCESS_BASIC_INFORMATION pi;
    ZeroMemory( &pi, sizeof(pi) );

    DWORD LoaderData = 0;
    DWORD InMemoryOrderModuleList = 0;
    UNICODE_STRING usImagePath;
    WCHAR ImagePath[MAX_PATH] = {0};
    usImagePath.MaximumLength = MAX_PATH;

    // 定义函数指针
    LONG (WINAPI *PNtQueryInformationProcess)(HANDLE,PROCESSINFOCLASS,PVOID,ULONG,PULONG);

    // 获取函数地址
    PNtQueryInformationProcess = (LONG(WINAPI*)(HANDLE,PROCESSINFOCLASS,PVOID,ULONG,PULONG))
        GetProcAddress( GetModuleHandle( "ntdll.dll" ),"NtQueryInformationProcess" );

    // 获取 peb
    if (PNtQueryInformationProcess( hProcess, 
        ProcessBasicInformation, 
        &pi, 
        sizeof(pi), 
        NULL) == 0 
        )
    {
        // 读取 LoaderData
        if (!ReadProcessMemory(hProcess,
            (PVOID *)((DWORD)pi.PebBaseAddress+0xc),
            &LoaderData,
            sizeof(DWORD),
            NULL)
            )
        {
            printf("LoaderData Failed ");
            return 0;
        }

        // 读取 InMemoryOrderModuleList
        if (!ReadProcessMemory(hProcess,
            (PVOID *)((DWORD)LoaderData+0x14),
            &InMemoryOrderModuleList,
            sizeof(DWORD),
            NULL)
            )
        {
            printf("InMemoryOrderModuleList Failed ");
            return 0;
        }

        // 读取 FullDllName
        if (!ReadProcessMemory(hProcess,
            (PVOID *)((DWORD)InMemoryOrderModuleList+0x1c),
            &usImagePath,
            sizeof(UNICODE_STRING),
            NULL)
            )
        {
            printf("usImagePath Failed ");
            return 0;
        }

        // 读取 真正的路径
        if (!ReadProcessMemory(hProcess,
            usImagePath.Buffer,
            &ImagePath,
            MAX_PATH,
            NULL)
            )
        {
            printf("ImagePath Failed ");
            return 0;
        }        

    }

    char chImagePath[MAX_PATH] = {0};

    //转换成ANSI
    WideCharToMultiByte(CP_ACP,0,ImagePath,-1,chImagePath,MAX_PATH,NULL,NULL);

    printf("%-10d%s ",dwID,chImagePath);

    return 0;
}

其实另外还可以通过PEB结构中的ProcessParameters来进行路径的获取,其结构定义如下

typedef  struct  _RTL_USER_PROCESS_PARAMETERS  {
    ULONG MaximumLength;
    ULONG Length;
    ULONG Flags;
    ULONG DebugFlags;
    PVOID ConsoleHandle;
    ULONG ConsoleFlags;
    HANDLE StdInputHandle;
    HANDLE StdOutputHandle;
    HANDLE StdErrorHandle;
    UNICODE_STRING CurrentDirectoryPath;
    HANDLE CurrentDirectoryHandle;
    UNICODE_STRING DllPath;
    UNICODE_STRING ImagePathName;
    UNICODE_STRING CommandLine;
    PVOID Environment;
    ULONG StartingPositionLeft;
    ULONG StartingPositionTop;
    ULONG Width;
    ULONG Height;
    ULONG CharWidth;
    ULONG CharHeight;
    ULONG ConsoleTextAttributes;
    ULONG WindowFlags;
    ULONG ShowWindowFlags;
    UNICODE_STRING WindowTitle;
    UNICODE_STRING DesktopName;
    UNICODE_STRING ShellInfo;
    UNICODE_STRING RuntimeData;
    RTL_DRIVE_LETTER_CURDIR DLCurrentDirectory[0x20];
}  RTL_USER_PROCESS_PARAMETERS,  * PRTL_USER_PROCESS_PARAMETERS;

ImagePathName 就是完整路径,呵呵,其实这个ImagePathName和上面InMemoryOrderModuleList的FullDllName,他们所指向的缓冲区是一个地方,可以自己玩玩..


ps:这个东西比较老,也没有多大的意义,微软都提供了 GetModuleFileNameEx 这个api,用它就够简单了,呵呵,搞到耍


by:galihoo
galihoo
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java面试宝典 之 物流配送路径优化问题分析与算法解读
张晨光老师的播客
07-21 8031
物流配送路径优化问题分析与算法解读(一)       去年五一跳蚤以后,一直在一家公司参与物流配送软件开发的相关工作,负责的工作内容包括物流配送路径优化这一块。关于物流配送这一专业领域,自己以前也是门外汉,对这一领域也没有接触过,更谈不上理解。所以,一直在学习,一直在探索。在这个过程中因为工作需要学习了很多大牛的博客(太多了,记不住,所以大家别指望了,还是踏实看我的帖子吧),也研究了在开发过程中客
获取进程所在目录
MagicFuzzX的专栏
06-05 3099
获取进程所在目录,简单的可以直接使用GetCurrentDirectory函数获取进程所在的目录(确切的说是工作目录),但是在很多特殊情况下取到目录可能是被修改过的,比如在debug模式这个函数取到并不是真正的当前目录而是.vcproj文件所在文件夹下。 方法1:直接使用系统的API,注意这里面的GetLongPathName函数只是为了将路径转成长路径,因为如果在很多特殊文件
获取应用程序自身路径
动性忍心
04-20 1585
Application.StartupPath——获取启动了应用程序的可执行文件的路径,不包括可执行文件的名称。Environment.CurrentDirectory——获取和设置当前目录(即该进程从中启动的目录)的完全限定路径。Application.ExecutablePath——获取启动了应用程序的可执行文件的路径,包括可执行文件的名称。//可获得当前执行的exe的文件名。textBox1
c++获取进程路径的几种方法(32位/64位程序的坑)
04-12 3081
这两天在做一个网络程序时,遇到了通过进程pid获取进程路径的需求,之前是用CreateToolhelp32Snapshot获取指定pid的模块,然后通过Module32First获取到其中的路径信息。不过因为本身程序是32位的,在获取64位程序时,却返回了299错误。经过网上查询,找到了另外的方法:OpenProcess打开指定pid进程,获得其句柄,该进程要有PROCESS_QUERY_INFO...
C++ 获取进程所在目录(全路径
热门推荐
CSDN
07-16 1万+
需要注意的是,这段代码使用了Windows特定的API函数和数据类型,并且使用了C++的输入输出流操作。这段代码使用了Windows API来获取系统中每个进程进程名和进程的全路径,并输出到标准输出。需要注意的是,这段代码使用了Windows特定的API函数和数据类型,并且使用了C++的输入输出流操作。这段代码的目的是获取指定进程的可执行文件的路径,并输出该路径。函数获取进程快照中的第一个进程信息,并将返回值存储在。函数获取进程的可执行文件路径,并将结果输出。函数获取进程的全路径,传入进程句柄。
Google Chrome 默认安装路径探索
最新发布
yudiandian2014的专栏
12-25 1076
Google Chrome 默认安装路径
MacOS开发-获取正在运行的所有进程名及pid
JarlenJohn
07-15 8241
参考资料 Retrieve names of running processes Get name from PID? 获取进程方法总结 方法一: 用applescript获取 tell application "System Events" set listOfProcesses to every process set allProcess to {} repeat with pro...
使用虚拟机自省技术在R0层监控获取进程调用的dll库和dll版本
安徽小亚哥哥的博客
09-02 1267
一、问题提出 在Windows操作系统中,dll属性查看的版本信息是在R3层获取的,如下图所示,在项目中经常要保证监控获取的透明性,能否在R0层直接获取这些信息? 二、libvmi简介 libvmi是Google的一个开源项目,利用Memory introspection技术在Dom0中监视DomU的情况。由于项目的某些需求,需要透明地监控Windows进程的列表,进程调用的dll库和版...
获取 COM 服务器进程 ID 的 3 种方法
q6771020的博客
06-03 2086
要创造新产品,拥有标准化和可靠的组件非常重要。例如,房屋建筑商使用标准尺寸的砖建造房屋。在编程方面,我们有开发标准。这些标准之一是由 Microsoft 创建的组件对象模型 (COM)。 COM 有效地解决了代码重用问题,但其部分功能的实现尚不明确。例如,在开发数据泄漏保护系统时,您可能需要获取 COM 服务器进程 ID (PID) 以检查进程如何处理敏感数据。Microsoft 的文档没有提供明确的方法来执行此操作,因此我们决定分享我们的经验。在本文中,我们解释了 COM 服务器的工作原理,并展示了获取
linux根据进程号PID查找启动程序的全路径
09-14
总结来说,通过`netstat`、`ps`和`/proc`目录,我们可以有效地定位并分析Linux系统中的异常进程,找出它们的完整启动路径。这对于故障排查、系统优化以及安全维护至关重要。在实际工作中,了解这些基础操作将极大地...
获取系统进程信息-易语言
06-13
总的来说,易语言提供的这些功能让我们能够深入探索和管理操作系统中的进程,包括获取进程的基本信息、线程数量、窗口属性以及对其进行操作。这在系统监控、性能分析、软件开发等多个场景下都具有广泛的应用价值。...
获取系统进程系统
06-01
了解这些基础知识后,初学者可以进一步探索进程调度算法(如轮转法、优先级调度等),多线程编程,以及进程同步和互斥问题。在实际开发中,掌握如何监控和管理进程对优化程序性能和排查问题至关重要。 通过“获取...
大数据背景下医院财务管理的创新路径探索.zip
10-17
本文将深入探讨大数据背景下的医院财务管理创新路径,旨在推动医院财务管理的现代化进程。 一、大数据对医院财务管理的影响 1. 提升决策效率:大数据分析能帮助医院管理层快速获取财务信息,进行实时监控,从而...
“数字贫困”:信息时代新农村建设的现实困境及跨越路径探索.pdf
10-10
《“数字贫困”:信息时代新农村建设的现实困境及跨越路径探索》 在信息时代,数字贫困成为了新农村建设面临的一大挑战。这一现象意味着农村地区在信息获取、使用和创新能力上与城市存在显著差距,导致农村社会在...
用户态轻松调用ntdll中的native api
08-06 6199
ntdll中的native api功能非常强大,然而微软却没有提供用户态调用native api的接口,而这些native api所需要的数据结构微软也基本没有公布,幸好有了一批牛人的贡献,给出了很多native api的定义,让我们的生活免去了许多痛苦,本文在介绍了最基本的native api的调用方式之外,还介绍了一种更加优美,移植性更强的调用方式 调用方式一(一般方式):第一步:
guitoolkit 的使用问题
04-16 4405
1.Uxtheme.h  Tmschema.h 去找到放进来2.VisualStylesXP.cpp VisualStylesXP.h 没有包含进来,会导致出现CVisualStylesXP类的函数没有导出之类的错误3. _AfxAdjustRectangleGuiToolKit4._AfxAdjustRectangleGuiToolKitint _afxDropDownWidthGuiToolK
[分析]detours 通过修改输入表注入DLL -- UpdateImports 函数的分析
04-18 3716
前段时间有一个需求,就是在进程启动的第一时间实现dll的注入,当时一想以为很简单嘛,比如拦截CreateProcessInternalW等不就行了吗?后来发现如果你在CreateProcessInternalW前处理进程还没有启动,而之后处理的话,进程的主线程已经开始工作了,再后来通过修改创建标志把创建的进程的主线程挂起,等进程创建后我来注入,此时才发现创建远线程搞不定, 此时进程只有NTDLL,
[讨论]关于缓冲区溢出的检测
04-17 3043
目前,缓冲区溢出应该是攻击的最直接的方式,因此如何检测缓冲区溢出以及保护刻不容缓 ,然而当前并没有很稳定可靠的方法来对缓冲区溢出进行检测,MACFEE应该是提出缓冲区溢出保护的最早的安全厂商,然而如今也不再对该技术进行大肆宣传了,这几天在网上翻了一下,感觉Comodo公司对缓冲区溢出的检测做的比较好,然后我也看不懂他采用的什么技术,如果哪位牛人来介绍一下他采用的技术就好了.后来又看了gyzy的文章
藏经阁-Android内存泄漏自动化链路分析组件Probe.pdf
09-09
此外,线上环境中无法便捷地获取到内存泄漏的可疑对象。 接着,文档列出了业内的解决方案,如LeakCanary和MAT分析工具。LeakCanary虽然能够自动检测泄漏,但并不提供泄漏点的路径信息;MAT分析工具则提供了泄漏点...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值