获取Explorer进程ID的两种方式

最新推荐文章于 2024-06-23 16:54:10 发布
最新推荐文章于 2024-06-23 16:54:10 发布
阅读量3.1k 收藏
点赞数
分类专栏: # 汇编学习 文章标签: manager
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiutao_tang/article/details/6195426
版权

获取 Explorer 进程 ID 的两种方式

由进程 ID 进而用 OpenProcess 函数获取句柄

 

1.       通过桌面类和名称

                .data?    

szDesktopClass      db    'Progman',0                ; 桌面的窗口类

szDesktopWindow db    'Program Manager',0         ; 桌面的窗口名称

dwProcessID     dd   ?                        ; 保存进程 ID

dwThreadID      dd   ?                       ; 保存线程 ID

                .code

invoke     FindWindow,addr szDesktopClass,addr szDesktopWindow ; 获取桌面窗口句柄

invoke     GetWindowThreadProcessId,eax,offset dwProcessID      ; 获取进程 ID

mov     dwThreadID,eax                     ; 线程 ID

2.       进程快照方式,比较可执行文件名

                .data?

szExplorer      db      'EXPLORER.EXE',0   ; 可执行文件名

dwExplorerID    dd     ?                   ; 保留 Explorer 进程 ID

                .code

_ProcTest proc

        local @stProcess:PROCESSENTRY32          ; 每一个进程的信息

              local @hSnapShot                           ; 快照句柄      

           pushad                          

              invoke     RtlZeroMemory,addr @stProcess,sizeof @stProcess ; 0 初始化进程结构

              mov @stProcess.dwSize,sizeof @stProcess                 ; 手工填写 结构大小

              invoke     CreateToolhelp32Snapshot,TH32CS_SNAPPROCESS,0 ; 获取进程快照

              mov @hSnapShot,eax                                  ; 快照句柄

              invoke     Process32First,@hSnapShot,addr @stProcess       ; 第一个进程

              .while      eax             

                       invoke   lstrcmp,addr @stProcess.szExeFile,addr szExplorer ; 比较文件名                         

                      .if   eax == 0       ;0 ,说明进程名相同                      

                             mov eax,@stProcess.th32ProcessID

                             mov dwExplorerID,eax

                    .endif                   

                   invoke   Process32Next,@hSnapShot,addr @stProcess ; 下一个进程

              .endw

              invoke     CloseHandle,@hSnapShot ; 关闭快照

              popad

_ProcTest endp

jiutao_tang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Process Explorer/Process Hacker和Windbg高效排查软件高CPU占用问题
dvlinker的技术专栏
11-02 1万+
通过在Windbg中查看变量的值去快速定位软件高CPU占用问题。
使用 Process Explorer 和 Windbg 排查软件线程堵塞案例分享
dvlinker的技术专栏
01-03 1万+
使用Process Explorer和Windbg排查软件线程堵塞案例分享。
Metasploit 读书笔记-神器Meterpreter
weixin_30907935的博客
04-02 37
一、基本命令截屏screenshot2.获取系统平台信息sysinfo3.进程信息ps4.获取键盘记录查看进程信息ps--migrate将会话迁移至explorer.exe进程空间中---然后--run post/windows/capture/keylog_recorder过一段时间CTRL+C中止。最后在另一个终端里,可以看到我们使用键盘记录所捕捉的内容。5.提取密码哈希use p...
文件夹或文件已在另一程序中打开,找句柄发现是explorer.exe如何解决
最新发布
langko的博客
06-23 244
如果发现只有explorer.exe,那肯定是不对的,我们先。1.找到句柄:ctrl alt del打开任务资源管理器。2.注意是选择CPU -> 关联的句柄,而不是概述。,发现哪个删不掉,再在这里找句柄,找到之后,4.把explorer.exe删除了怎么办。删掉之后,快速删除刚才那个删不掉的文件。shfit一个一个删除。
c# 获取当前活动窗口句柄,获取窗口大小及位置
pangwenquan5的专栏
10-20 4万+
需调用API函数 需在开头引入命名空间 using System.Runtime.InteropServices; 获取当前窗口句柄:GetForegroundWindow() [DllImport("user32.dll", CharSet = CharSet.Auto, ExactSpelling = true)] public static extern IntPtr GetF
通过劫持explorer.exe的dll文件来实现权限维持
热门推荐
Shanfenglan's blog
11-12 10万+
CATALOG前言操作过程对抗方法参考文章 前言 这是一种主动的后门触发方式,只要对方主机重启机器的操作,就会触发我们之前设置的dll。系统在启动时默认启动进程explorer.exe,如果劫持了COM对象MruPidlList,就能劫持进程explorer.exe,实现后门随系统开机启动,相当于是主动后门。而劫持MruPidlList劫持注册表中的一个{42aedc87-2188-41fd-b9a3-0c966feabec1}CLSID,将其的键值换成恶意dll即可。 操作过程 更改注册表劫持MruPi
使用Process Explorer/Process Hacker和Windbg初步定位软件高CPU占用问题
dvlinker的技术专栏
10-30 1万+
详细讲述如何使用Process Explorer/Process Hacker和Windbg排查软件高CPU占用问题。
使用Process Explorer/Process Hacker与Windbg初步定位软件高CPU占用问题
dvlinker的技术专栏
01-09 2万+
本文详细介绍如何使用Process Explorer/Process Hacker与Windbg初步定位软件高CPU占用问题。
使用 Process Explorer 和 Windbg 排查软件线程堵塞问题
dvlinker的技术专栏
01-09 1万+
本文详细介绍如何使用 Process Explorer 和 Windbg 排查软件线程堵塞问题。
windows 内核下获取进程路径
10-09 652
windows 内核下获取进程路径 思路:1):在EPROCESS结构中获取。此时要用到一个导出函数:PsGetProcessImageFileName,申明如下: NTSYSAPI UCHAR * PsGetProcessImageFileName( __in PEPROCESS Process ); 此函数获取的是一个简单的进程名,...
[分享]细说shell函数——不得不看!
rfb0204421的专栏
04-18 1282
 这篇帖子也许有点长,但是绝对值得一看。shell 是啥?它既不是工作表函数,也不是api函数,更不是壳牌石油。它是vba自带的函数。但是它却神通广大,能抵n个api函数,api是应用程序接口,shell就是应用程序和系统之间的桥梁。它的用法很简单,就是执行一个可执行文件。与开始菜单的运行功能一样。Shell(pathname[,windowstyle])pathname 是要执行的程序名
C#/.NET 通过代码打开浏览器
老陈聊架构
09-27 1734
C#/.NET 通过代码打开浏览器 Process.Start+网址 就可以直接打开浏览器 public static void ShowUrl(string url) { try { if (url?.ToLower().StartsWith("http")) ...
解决windows资源管理器(explorer.exe)占用CPU过高的问题
wenzhu2333的博客
02-05 9万+
这是一个关于Windows系统的小Bug。此问题困扰了我一个月,一个月前,我突然发现当我打开文件夹系统的时候,Explorer.exe进程会莫名其妙占用CPU过高,本文简述了我是如何发现并解决这个问题的。
启用Explorer桌面独立进程
insertyou
02-09 742
启用Explorer桌面独立进程Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer]"DesktopProcess"=dword:00000001
detours hook explorer创建进程
09-04
Detours Hook是微软公司开发的一种用于Microsoft Windows操作系统的钩子技术。它可以通过改变进程中的某些函数的执行路径,来实现用户自定义的功能。而Explorer是Windows操作系统中的资源管理器,它可以通过创建进程来运行用户打开的应用程序或者系统自带的工具。 在使用Detours Hook来创建进程时,可以改变Explorer中用于创建新进程的相关函数的执行路径,以达到自定义的目的。具体的步骤包括: 1. 通过Detours Hook技术,将目标函数的执行路径重定向到自定义的函数。这里的目标函数指的是Explorer中用于创建新进程的函数,比如CreateProcess函数。 2. 在自定义的函数中实现自己想要的功能,比如在创建进程前进行一些额外的操作,或者对创建出的进程进行修改和控制。 3. 在重定向之前,先保存原始函数的执行路径,以便在需要的时候可以恢复到原始状态。 通过以上步骤,可以在创建进程的过程中插入额外的代码或者逻辑,实现一些特定的需求。Detours Hook技术在Windows系统中被广泛应用于软件开发、安全实验和逆向工程等领域,它为开发人员提供了更大的灵活性和控制能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值