根据线程ID找出其所在的模块名

最新推荐文章于 2022-11-06 19:06:27 发布
最新推荐文章于 2022-11-06 19:06:27 发布
阅读量2k 收藏 1
点赞数 1
分类专栏: windows

从硬盘中找出来的一段代码。已不知道原始出处了。贴出来。

#define   WIN32_LEAN_AND_MEAN  
#define   _WIN32_WINNT   0x400  
#include   <stdio.h>  
#include   <tchar.h>  
#include   <locale.h>  
#include   <windows.h>  
#include   <psapi.h>  
#include   <Tlhelp32.h>  

#pragma   comment   (lib,   "psapi.lib")  

//  
//   Thread   Information   Classes  
//  

typedef   enum   _THREADINFOCLASS   {  
ThreadBasicInformation,  
ThreadTimes,  
ThreadPriority,  
ThreadBasePriority,  
ThreadAffinityMask,  
ThreadImpersonationToken,  
ThreadDescriptorTableEntry,  
ThreadEnableAlignmentFaultFixup,  
ThreadEventPair_Reusable,  
ThreadQuerySetWin32StartAddress,  
ThreadZeroTlsCell,  
ThreadPerformanceCount,  
ThreadAmILastThread,  
ThreadIdealProcessor,  
ThreadPriorityBoost,  
ThreadSetTlsArrayAddress,  
ThreadIsIoPending,  
ThreadHideFromDebugger,  
ThreadBreakOnTermination,  
MaxThreadInfoClass  
}   THREADINFOCLASS;  

typedef   struct   _CLIENT_ID   {  
HANDLE   UniqueProcess;  
HANDLE   UniqueThread;  
}   CLIENT_ID;  
typedef   CLIENT_ID   *PCLIENT_ID;  

typedef   struct   _THREAD_BASIC_INFORMATION   {   //   Information   Class   0  
LONG           ExitStatus;  
PVOID         TebBaseAddress;  
CLIENT_ID   ClientId;  
LONG   AffinityMask;  
LONG   Priority;  
LONG   BasePriority;  
}   THREAD_BASIC_INFORMATION,   *PTHREAD_BASIC_INFORMATION;  

extern   "C"   LONG   (__stdcall   *ZwQueryInformationThread)   (  
IN   HANDLE   ThreadHandle,  
IN   THREADINFOCLASS   ThreadInformationClass,  
OUT   PVOID   ThreadInformation,  
IN   ULONG   ThreadInformationLength,  
OUT   PULONG   ReturnLength   OPTIONAL  
)   =   NULL;  


extern   "C"   LONG   (__stdcall   *RtlNtStatusToDosError)   (  
IN     ULONG   status)   =   NULL;  

BOOL   ShowThreadInfo   (DWORD   tid)  
{  
THREAD_BASIC_INFORMATION         tbi;  
PVOID                                               startaddr;  
LONG                                                 status;  
HANDLE                                             thread,   process;  

thread   =   ::OpenThread   (THREAD_ALL_ACCESS,   FALSE,   tid);  
if   (thread   ==   NULL)  
   return   FALSE;  

status   =   ZwQueryInformationThread   (thread,    
   ThreadQuerySetWin32StartAddress,    
   &startaddr,    
   sizeof   (startaddr),    
   NULL);  

if   (status   <   0)  
{  
   CloseHandle   (thread);  
   SetLastError   (RtlNtStatusToDosError   (status));  
   return   FALSE;  
};  

_tprintf   (TEXT   ("线程   %08x   的起始地址为   %p\n"),    
   tid,    
   startaddr);  

status   =   ZwQueryInformationThread   (thread,    
   ThreadBasicInformation,    
   &tbi,    
   sizeof   (tbi),    
   NULL);  

if   (status   <   0)  
{  
   CloseHandle   (thread);  
   SetLastError   (RtlNtStatusToDosError   (status));  
   return   FALSE;  
};  

_tprintf   (TEXT   ("线程   %08x   所在进程ID为   %08x\n"),    
   tid,    
   (DWORD)tbi.ClientId.UniqueProcess);  

process   =   ::OpenProcess   (PROCESS_ALL_ACCESS,    
   FALSE,    
   (DWORD)tbi.ClientId.UniqueProcess);  

if   (process   ==   NULL)  
{  
   DWORD   error   =   ::GetLastError   ();  
   CloseHandle   (thread);  
   SetLastError   (error);  
   return   FALSE;  
};  

TCHAR   modname   [0x100];  
::GetModuleFileNameEx   (process,   NULL,   modname,   0x100);  

_tprintf   (TEXT   ("线程   %08x   所在进程映象为   %s\n"),    
   tid,    
   modname);  

GetMappedFileName(process,    
   startaddr,    
   modname,    
   0x100);  

_tprintf   (TEXT   ("线程   %08x   可执行代码所在模块为   %s\n"),    
   tid,    
   modname);  

CloseHandle   (process);  
CloseHandle   (thread);  
return   TRUE;  
};  

int   main   (void)  
{  
setlocale   (LC_ALL,   ".ACP");  

HINSTANCE   hNTDLL   =   ::GetModuleHandle   (TEXT   ("ntdll"));  

(FARPROC&)ZwQueryInformationThread     =  
   ::GetProcAddress   (hNTDLL,   "ZwQueryInformationThread");  

(FARPROC&)RtlNtStatusToDosError           =  
   ::GetProcAddress   (hNTDLL,   "RtlNtStatusToDosError");  

HANDLE   h   =   CreateToolhelp32Snapshot   (TH32CS_SNAPTHREAD,   0);  
THREADENTRY32   te;  
te.dwSize   =   sizeof   (te);  
if   (Thread32First   (h,   &te))  
{  
   do  
   {  
    if   (ShowThreadInfo   (te.th32ThreadID))  
    {  
    }  
    else  
    {  
     _tprintf   (TEXT("无法获得线程   %08x   的相关信息,错误代码为   %d\n"),    
      te.th32ThreadID,   GetLastError   ());  
    };  
   }   while   (Thread32Next   (h,   &te));  
};  
CloseHandle   (h);  
}

kidoom
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
查看进程、线程、DLL模块等信息
12-28
一个系统安全类工具,可查看进程、线程、DLL模块等信息,可挂起恢复进程、查看进程文件,结束进程等。 功能: 1.查看进程信息 进程信息:称、PID、用户、线程数、句柄数、命令行等。 模块信息:模块称、公司、路径,非微软公司模块用红色标识。 线程信息:当前进程所执行的所有线程。 2.创建进程 创建进程用于启动一个进程,只能启动可执行文件。 3.禁止进程创建 防止一个EXE程序自动运行。 4.结束和挂起进程 结束进程或结束任务用于停止一个程序的运行,两者差不多一样,所不同的是只有有窗口的程序才能被结束任务,支持多选(使用Ctrl和Shift键)。 挂起进程即暂停进程的运行。 5.系统启动项 这里的程序可以在系统启动时加载运行,根据情况该删则删。 6.内核模块 当前系统加载的内核模块,一般为驱动程序,红色表示非微软的。 7.SSDT 当前的系统服务函数,红色表示被修改过,多为杀软所为,不必在意。 8.搜索模块 看一个模块被哪些进程所调用。 9.卸载模块 删除一个进程中的模块。 10.增加了输出进程DLL信息的功能,顺便把运行库也加里面了。
查看线程所在模块
conglu1006的博客
07-09 464
wince可以比较方便的查看线程相关的信息,如CeShell或者KernelTracker,可以通过系统接口得到线程占用CPU时间,堆栈等等.然而知道了出问题的线程,却没有标准的接口得到线程所在模块.附件是列出当前所有线程的小工...
C++ 获线程入口地址、所在模块
LYSM
08-20 4112
大多数恶意代码为了隐藏自己的行踪都会附加到某个进程中,在这个进程内申请一块内存区域来存放它的代码,毕竟隐藏的再好,代码也要有的,不然你让 CPU 运行什么 … 今天检测的特征是向 YY语音 里插入了一段自己的代码(创建了新的线程),而这个新的线程不在原有的模块内,所以思路就是遍历 YY.exe 这个进程中的所有线程,如果这个线程没有对应的模块,那么就说明这个线程是可疑的。 准备工作: #prag...
Windows进程、线程、进程模块
萧戈的专栏
08-28 407
/****************************************************************************** Module: Toolhelp.h Notices: Copyright (c) 2008 Jeffrey Richter & Christophe Nasarre ******************************************************************************/ #prag.
C/C++ 获线程入口地址模块
CSDN
07-16 8339
今天检测的特征是向 YY语音 里插入了一段自己的代码(创建了新的线程),而这个新的线程不在原有的模块内,所以思路就是遍历 YY.exe 这个进程中的所有线程,如果这个线程没有对应的模块,那么就说明这个线程是可疑的。大多数恶意代码为了隐藏自己的行踪都会附加到某个进程中,在这个进程内申请一块内存区域来存放它的代码,毕竟隐藏的再好,代码也要有的,不然你让 CPU 运行什么 …
windows进程线程信息查询
03-31
2. **线程信息**:除了进程,ProcExp还可以查看每个进程内的线程,包括线程ID、优先级、线程状态、所占用的CPU时间等。 3. **模块查看**:可以查看进程加载的所有模块(动态链接库DLL),这对于查找进程依赖的库或...
CreateToolhelp32SnapshotForModule.zip_进程模块
09-22
当我们谈论获模块的进程ID号”时,通常是指找到哪个进程加载了特定的模块,或者反过来,通过进程ID找出该进程中加载的所有模块。 `CreateToolhelp32Snapshot`函数的工作原理是创建一个系统快照,这个快照包含了...
Python线程之定位与销毁的实现
01-01
背景 开工前我就觉得有什么不太对劲,感觉要背锅。这可不,上班第三天就捅锅了。 我们有个了不起的后台程序,可以动态加载模块,并以线程方式运行,通过这种...找出线程ID 和平时的故障排查相似,先通过 ps 命令看看目
易语言模块加入好友.rar
03-29
10. **测试与调试**:完成模块后,需要进行全面的测试,确保所有功能正常工作,没有逻辑错误,同时利用易语言的调试工具进行调试,找出并修复潜在的问题。 以上就是“易语言模块加入好友”这个主题涵盖的一些主要...
python支持多线程的爬虫实例
12-23
4. **更新下载列表**:检查所有新下载的网页,找出未被下载过的网址,更新下载列表。 5. **循环下载**:重复步骤3和4,直到待下载队列为空,表示所有可访问的网页都已被爬。 为了保证线程安全,这个爬虫实例中...
THREADINFOCLASS
最新发布
weixin_73368512的博客
11-06 193
The THREADINFOCLASS is an enumeration whose values are intended as input to the ZwQueryInformationThread and ZwSetInformationThread functions. Different values select different types of information to query or set.Documentation Status A C-language definiti
THREADINFOCLASS结构体与FILE_INFORMATION_CLASS结构体
摔不死的笨鸟的博客
10-10 1928
THREADINFOCLASS是一个枚举结构,其值旨在作为ZwQueryInformationThread和ZwSetInformationThread函数的输入。 查询或设置不同类型的信息选择不同的值。 自从Windows NT 3.51的设备驱动程序工具包(DDK)起,THREADINFOCLASS枚举的C语言定义已在NTDDK.H标头中公开可用。 它支持ZwSetInformationThr...
遍历进程线程
qq_25420503的专栏
03-02 1331
typedef struct _CL_PROCESS_THREADINFO { LPVOID pvStartAddr; // 线程的起始地址 DWORD dwTid; // 线程Id WCHAR wszModuleName[MAX_PATH]; // 所属的模块路径 }CL_PROCESS_THREADINFO;  BOOL CLThread::QueryThreadInf
C/C++获指定线程挂起次数
weixin_42270114的博客
07-30 4224
C/C++获指定线程挂起次数
关于THREADINFO结构
Tommy(凌飞)的专栏
10-27 5975
线程为窗口维护一个threadinfo结构,  threadinfo数据结构:  ------------------  |登记消息队列指针|  ------------------  |虚拟输入队列指针|  ------------------  |发送消息队列指针|  ------------------  |应答消息队列指针|  ------------------
【API】获进程的所有模块
weixin_34096182的博客
02-01 700
HMODULE hModule[1024]; DWORD dwRes; HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ,FALSE,GetCurrentProcessId()); //获的是当前进程ID EnumProcessModules(hProcess,...
当前执行线程
热门推荐
freeOfFlying的博客
06-21 2万+
package com.freeflying.thread.base;/** * @ClassName: GetThreadName   * @Description:获当前执行线程字 * @author freeflying * @date 2018年6月21日 */public class GetThreadName { public static void main(String[] ...
c语言模块句柄函数,关于模块句柄
weixin_31558841的博客
05-20 764
.版本 2.支持库 spec.程序集 窗口程序集_启动窗口.程序集变量 Moudle32, MODULEENTRY32.子程序 __启动窗口_创建完毕调试输出 (API_LocalSize (Moudle32)).子程序 ListProcessModules, 逻辑型.参数 dwPID, 整数型.参数 模块句柄, 整数型, 参考.参数 模块称, 文本型.局部变量 Hmodule, 整数型Hmod...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值