用户态枚举进程的几种方法

最新推荐文章于 2024-07-24 10:07:23 发布
最新推荐文章于 2024-07-24 10:07:23 发布
阅读量2k 收藏 2
点赞数
分类专栏: Windows编程 文章标签: winapi system null struct access token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jingzhongrong/article/details/1509236
版权
本文介绍了在用户态下枚举进程的四种方法:1) 使用ToolHelp API,通过CreateToolhelp32Snapshot和Process32First/Next;2) 依赖psapi.dll的EnumProcesses和EnumProcessModules;3) 利用ntdll.dll的Native API中的ZwQuerySystemInformation;4) 通过进程打开的句柄枚举。文章强调,虽然用户态枚举存在被Rootkit篡改的风险,但可以作为内核态枚举的补充。
摘要由CSDN通过智能技术生成

最近在准备一个进程查看(当然不只进程查看功能了)的工具,总结了在用户态下查找进程的几种方法。

当然,如果想要真正做到进程查看,还是要进入核心态中,因为在用户态是查不到什么东西的,但是可以用来和

核心态结果进行比较找出隐藏进程。(内核级病毒、木马在Ring0中可以很容易的做到隐藏而是用户态程序检测不到)。

//write by jingzhongrong

1、利用ToolHelp API

首先创建一个系统快照,然后通过对系统快照的访问完成进程的枚举

获取系统快照使用 CreateToolhelp32Snapshot 函数

函数原型声明如下:

HANDLE WINAPI CreateToolhelp32Snapshot(
  DWORD dwFlags,
  DWORD th32ProcessID
);

将dwFlags设置为TH32CS_SNAPPROCESS用于获取进程快照。

函数调用成功后会返回一个快照的句柄,便可以使用Process32First、Process32Next进行枚举了              

函数原型声明如下:

BOOL WINAPI Process32First(
  HANDLE hSnapshot,
  LPPROCESSENTRY32 lppe
);

BOOL WINAPI Process32Next(
  HANDLE hSnapshot,
  LPPROCESSENTRY32 lppe
);

下面是相关代码:

 

#include <windows.h>
#include  <tlhelp32.h>
#include  <stdio.h>

void  useToolHelp()
{
    HANDLE procSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0 );
    if(procSnap ==  INVALID_HANDLE_VALUE)
    {
        printf("CreateToolhelp32Snapshot failed, %d " ,GetLastError());
        return ;
    }
     //
    PROCESSENTRY32 procEntry = { 0  };
    procEntry.dwSize = sizeof (PROCESSENTRY32);
    BOOL bRet = Process32First(procSnap,& procEntry);
    while (bRet)
    {
        wprintf(L"PID: %d (%s) " ,procEntry.th32ProcessID, procEntry.szExeFile);                                                   
        bRet = Process32Next(procSnap,& procEntry);
    }
    CloseHandle(procSnap);
}

void  main()
{
    useToolHelp();
    getchar();
}

用此方法可以在进程ID和进程名称间进行转换,即通过进程名称获得进程ID,通过进程ID获取进程名称。

 

2、通过psapi.dll提供的函数

通过psapi.dll提供的EnumProcesses、EnumProcessModules实现

函数原型声明如下:

BOOL EnumProcesses(
  DWORD* pProcessIds,
  DWORD cb,
  DWORD*
最低0.47元/天 解锁文章
jingzhongrong
关注
专栏目录
用户枚举
m0_73736174的博客
05-25 801
信息安全技术(二) 用户枚举 使用bury suite对网络服务攻击
枚举windows进程模块的几种方法—PEB内核结构详解
阔野的专栏
11-18 5092
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载的模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载的模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程信息接口)提供的相关的接口就可以快捷的获取进程进程加载的模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h heade...
枚举进程几种方法
u014230987的专栏
11-02 845
原地址:http://blog.sina.com.cn/s/blog_97312deb01017loy.html 1、利用ToolHelp API 首先创建一个系统快照,然后通过对系统快照的访问完成进程枚举。 获取系统快照使用CreateToolhelp32Snapshot() 函数 函数原型声明如下: HANDLE WINAPICreateToolhelp32Snapshot(
在Linux环境中如何获取进程id
最新发布
m0_60697583的博客
07-24 613
这段代码在Linux环境下使用,依赖于 /proc 文件系统来获取进程信息。因此,在其他操作系统上(如Windows)可能无法直接运行或需要不同的实现方法进程名在 /proc/self/stat 文件中被括号括起来,所以在比较时需要去除括号。该示例代码相对简单,实际应用中可能需要更复杂的逻辑来处理各种情况,如多个同名进程等。
VC中枚举进程,及获取进程相关信息的资料整理
毛毛(handsomerun)的专栏
08-24 9357
1.枚举所有的进程方法很多,这里用EnumProcesses这个方法DWORD aProcesses[1024], cbNeeded, cProcesses; unsigned int i;if ( !EnumProcesses( aProcesses, sizeof(aProcesses), &cbNeeded ) )        return; cProcesses = cb
枚举类设计
weixin_34273481的博客
11-26 466
varstatus={ INIT:{ key:'init', text:'初始化中' }, DESTORY:{ key:'destory', text:'已销毁' } } 转载于:https://blog.51cto.com/wangyuelucky/1717177...
进程处理】2,枚举进程方法二,可获取进程用户名等
逆枫 -- C++/Qt工程师、创业者
02-28 1902
1,目的 在第一篇介绍了枚举当前进程及关闭进程方法。 这里介绍另一种方法枚举的同时我们能获取到更多信息。比如是用户名(System或Administrator等) 2,代码 #include "stdafx.h" #include #include #pragma comment( lib, "Wtsapi32.lib" ) int main(int argc,
API枚举进程例程.rar
04-04
枚举进程通常涉及到以下几个关键的Windows API函数: 1. **CreateToolhelp32Snapshot**: 这个API函数用于创建一个系统快照,包含了进程和线程的信息。它返回一个句柄,后续可以使用这个句柄来遍历系统中的进程。 2...
枚举进程所有句柄-易语言
06-12
在IT领域,尤其是在系统编程和调试中,"枚举进程所有句柄"是一个重要的技术概念。易语言,作为中国本土的编程语言,以其简洁的语句和贴近中文的语法深受初学者和专业开发者喜爱。本教程将围绕如何使用易语言来实现...
API枚举进程文件路径.rar
04-04
以上就是使用易语言和Windows API枚举进程文件路径的基本方法。实际开发中,可能需要根据具体需求进行错误处理和优化,但这个基本框架应该能帮助你理解这一过程。如果需要深入学习,建议查阅Windows API文档和易语言...
C# 枚举计算机上的进程
04-23
C# 枚举计算机上的进程C# 枚举计算机上的进程C# 枚举计算机上的进程C# 枚举计算机上的进程C# 枚举计算机上的进程
C#枚举计算机上的进程的实例
01-03
该源码是.Net环境下枚举系统进程的实例,比较简单,希望对初学者有所帮助。
C#获取当前运行的进程
08-20
C#获取当前运行的进程,代码中引入的using System.Diagnostics; 是要用到名称空间中的Process 类,本例将枚举windows当前正在运行的所有进程,并把这些进程信息显示在ListView列表中,这些进程信息主要是进程的ID,优先级,专用内存大小,启动时间并填入ListView控件中,程序利用进程名获取进程数组。
05@多用枚举表示状、选项、状
weixin_33979745的博客
01-05 247
多用枚举表示状、选项、状码 要点: 应该用枚举来表示状机的状、传递给方法的选型以及状码等值。给这些值起个易懂的名字。 如果把传递给某个方法的选型表示为枚举类型,而多个选型又可以同时使用,那么就将个选型值定义为2的幂,以便通过按位或操作将其组合起来。 // 定义可以彼此组合的选型:按位或操作符组合。 enum UIViewAutoreszing { UIViewAu...
域内用户枚举和密码喷洒
Y22Lee的博客
06-02 967
正确的用户名,没有提供密码正确的用户名,密码错误这俩种都是根据AS-REP返回的error-code值来判断枚举用户是否存在比如利用kerbrute测试,在用户字典中添加几个用户
C# 枚举进程模块
芳华如梦
07-17 3068
// namespace eMod {     using System;     using IO = System.IO;     using System.Collections.Generic;     using System.Text;     using System.Diagnostics;     using System.Runtime.InteropServ
枚举进程信息
huobengle
09-02 136
1.PSAPI法 #include &lt;Windows.h&gt; #include &lt;iostream&gt; #include &lt;tchar.h&gt; #include "psapi.h" #pragma comment ( lib, "psapi.lib" ) int main() { setlocale(LC_ALL,"CHS"); //要设置控制台的Unicode..
C# 枚举(详解)
热门推荐
weixin_39328209的博客
04-23 1万+
枚举是一个值类型 枚举是一个值类型, 包含一组命名的常量, 枚举类型用 enum 关键字定义 public enum Color { Red, Green, Blue // 注意最后一个常量值没有逗号 } 可以声明枚举类型的变量, 如变量 c1, 用枚举类型的名称作为前缀,设置一个命名常量,来赋予枚举中的一个值 Color c1 = Color.R...
linux 枚举进程
09-13
在Linux中,有几种方法可以枚举进程。 1. 使用`ps`命令:ps命令是一个常用的工具,用于列出当前正在运行的进程。通过`ps -ef`命令可以列出所有进程的详细信息。你还可以使用管道和`grep`命令来过滤出特定进程的信息...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值