根据线程ID找出其所在的模块名

最新推荐文章于 2021-07-16 14:09:00 发布
最新推荐文章于 2021-07-16 14:09:00 发布
阅读量2k 收藏 1
点赞数 1
分类专栏: windows

从硬盘中找出来的一段代码。已不知道原始出处了。贴出来。

#define   WIN32_LEAN_AND_MEAN  
#define   _WIN32_WINNT   0x400  
#include   <stdio.h>  
#include   <tchar.h>  
#include   <locale.h>  
#include   <windows.h>  
#include   <psapi.h>  
#include   <Tlhelp32.h>  

#pragma   comment   (lib,   "psapi.lib")  

//  
//   Thread   Information   Classes  
//  

typedef   enum   _THREADINFOCLASS   {  
ThreadBasicInformation,  
ThreadTimes,  
ThreadPriority,  
ThreadBasePriority,  
ThreadAffinityMask,  
ThreadImpersonationToken,  
ThreadDescriptorTableEntry,  
ThreadEnableAlignmentFaultFixup,  
ThreadEventPair_Reusable,  
ThreadQuerySetWin32StartAddress,  
ThreadZeroTlsCell,  
ThreadPerformanceCount,  
ThreadAmILastThread,  
ThreadIdealProcessor,  
ThreadPriorityBoost,  
ThreadSetTlsArrayAddress,  
ThreadIsIoPending,  
ThreadHideFromDebugger,  
ThreadBreakOnTermination,  
MaxThreadInfoClass  
}   THREADINFOCLASS;  

typedef   struct   _CLIENT_ID   {  
HANDLE   UniqueProcess;  
HANDLE   UniqueThread;  
}   CLIENT_ID;  
typedef   CLIENT_ID   *PCLIENT_ID;  

typedef   struct   _THREAD_BASIC_INFORMATION   {   //   Information   Class   0  
LONG           ExitStatus;  
PVOID         TebBaseAddress;  
CLIENT_ID   ClientId;  
LONG   AffinityMask;  
LONG   Priority;  
LONG   BasePriority;  
}   THREAD_BASIC_INFORMATION,   *PTHREAD_BASIC_INFORMATION;  

extern   "C"   LONG   (__stdcall   *ZwQueryInformationThread)   (  
IN   HANDLE   ThreadHandle,  
IN   THREADINFOCLASS   ThreadInformationClass,  
OUT   PVOID   ThreadInformation,  
IN   ULONG   ThreadInformationLength,  
OUT   PULONG   ReturnLength   OPTIONAL  
)   =   NULL;  


extern   "C"   LONG   (__stdcall   *RtlNtStatusToDosError)   (  
IN     ULONG   status)   =   NULL;  

BOOL   ShowThreadInfo   (DWORD   tid)  
{  
THREAD_BASIC_INFORMATION         tbi;  
PVOID                                               startaddr;  
LONG                                                 status;  
HANDLE                                             thread,   process;  

thread   =   ::OpenThread   (THREAD_ALL_ACCESS,   FALSE,   tid);  
if   (thread   ==   NULL)  
   return   FALSE;  

status   =   ZwQueryInformationThread   (thread,    
   ThreadQuerySetWin32StartAddress,    
   &startaddr,    
   sizeof   (startaddr),    
   NULL);  

if   (status   <   0)  
{  
   CloseHandle   (thread);  
   SetLastError   (RtlNtStatusToDosError   (status));  
   return   FALSE;  
};  

_tprintf   (TEXT   ("线程   %08x   的起始地址为   %p\n"),    
   tid,    
   startaddr);  

status   =   ZwQueryInformationThread   (thread,    
   ThreadBasicInformation,    
   &tbi,    
   sizeof   (tbi),    
   NULL);  

if   (status   <   0)  
{  
   CloseHandle   (thread);  
   SetLastError   (RtlNtStatusToDosError   (status));  
   return   FALSE;  
};  

_tprintf   (TEXT   ("线程   %08x   所在进程ID为   %08x\n"),    
   tid,    
   (DWORD)tbi.ClientId.UniqueProcess);  

process   =   ::OpenProcess   (PROCESS_ALL_ACCESS,    
   FALSE,    
   (DWORD)tbi.ClientId.UniqueProcess);  

if   (process   ==   NULL)  
{  
   DWORD   error   =   ::GetLastError   ();  
   CloseHandle   (thread);  
   SetLastError   (error);  
   return   FALSE;  
};  

TCHAR   modname   [0x100];  
::GetModuleFileNameEx   (process,   NULL,   modname,   0x100);  

_tprintf   (TEXT   ("线程   %08x   所在进程映象为   %s\n"),    
   tid,    
   modname);  

GetMappedFileName(process,    
   startaddr,    
   modname,    
   0x100);  

_tprintf   (TEXT   ("线程   %08x   可执行代码所在模块为   %s\n"),    
   tid,    
   modname);  

CloseHandle   (process);  
CloseHandle   (thread);  
return   TRUE;  
};  

int   main   (void)  
{  
setlocale   (LC_ALL,   ".ACP");  

HINSTANCE   hNTDLL   =   ::GetModuleHandle   (TEXT   ("ntdll"));  

(FARPROC&)ZwQueryInformationThread     =  
   ::GetProcAddress   (hNTDLL,   "ZwQueryInformationThread");  

(FARPROC&)RtlNtStatusToDosError           =  
   ::GetProcAddress   (hNTDLL,   "RtlNtStatusToDosError");  

HANDLE   h   =   CreateToolhelp32Snapshot   (TH32CS_SNAPTHREAD,   0);  
THREADENTRY32   te;  
te.dwSize   =   sizeof   (te);  
if   (Thread32First   (h,   &te))  
{  
   do  
   {  
    if   (ShowThreadInfo   (te.th32ThreadID))  
    {  
    }  
    else  
    {  
     _tprintf   (TEXT("无法获得线程   %08x   的相关信息,错误代码为   %d\n"),    
      te.th32ThreadID,   GetLastError   ());  
    };  
   }   while   (Thread32Next   (h,   &te));  
};  
CloseHandle   (h);  
}

kidoom
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows进程线程信息查询
03-31
2. **线程信息**:除了进程,ProcExp还可以查看每个进程内的线程,包括线ID、优先级、线程状态、所占用的CPU时间等。 3. **模块查看**:可以查看进程加载的所有模块(动态链接库DLL),这对于查进程依赖的库或...
Python线程之定位与销毁的实现
01-01
背景 开工前我就觉得有什么不太对劲,感觉要背锅。这可不,上班第三天就捅锅了。 我们有个了不起的后台程序,可以动态加载模块,并以线程方式运行,通过这种...线ID 和平时的故障排查相似,先通过 ps 命令看看目
查看线程所在模块
conglu1006的博客
07-09 460
wince可以比较方便的查看线程相关的信息,如CeShell或者KernelTracker,可以通过系统接口得到线程占用CPU时间,堆栈等等.然而知道了问题的线程,却没有标准的接口得到线程所在模块.附件是列当前所有线程的小工...
如何获取线程的名称
weixin_44764207的博客
06-22 3595
两个方法: 获取线程的名称: 1、使用Thread类中的方法getName() String getName() 返回该线程的名称 2、可以先获取到当前正在执行的线程,使用线程中的方法getName()获取线程的名称 static Thread currentThread() 返回当前正在执行的线程对象的引用 实例: //重写Thread类中的run方法,设置线程任务 @Override public void run() { //获取线程名称 String name
获取线程的名称,获取所有线程,线程问题开启和关闭20190227
do what you like && brave
02-27 5525
1.获取线程的名称 参考:https://blog.csdn.net/luyaran/article/details/80595772   public class Main extends Thread {    public static void main(String[] args) {       Main t1 = new Main();       t1.setName("thr...
CreateToolhelp32SnapshotForModule.zip_进程模块
09-22
当我们谈论获取“模块的进程ID号”时,通常是指到哪个进程加载了特定的模块,或者反过来,通过进程ID该进程中加载的所有模块。 `CreateToolhelp32Snapshot`函数的工作原理是创建一个系统快照,这个快照包含了...
易语言模块加入好友.rar
03-29
10. **测试与调试**:完成模块后,需要进行全面的测试,确保所有功能正常工作,没有逻辑错误,同时利用易语言的调试工具进行调试,并修复潜在的问题。 以上就是“易语言模块加入好友”这个主题涵盖的一些主要...
取所有进程信息模块.rar
04-07
- 资源优化:资源占用高的进程,进行优化或限制其资源使用。 - 安全审计:监控可疑进程活动,防范恶意软件。 - 故障排查:在程序现问题时,通过查看相关进程的状态和日志,帮助定位问题。 综上所述,“取...
查看进程、线程、DLL模块等信息
12-28
一个系统安全类工具,可查看进程、线程、DLL模块等信息,可挂起恢复进程、查看进程文件,结束进程等。 功能: 1.查看进程信息 进程信息:名称、PID、用户、线程数、句柄数、命令行等。 模块信息:模块名称、公司、路径,非微软公司模块用红色标识。 线程信息:当前进程所执行的所有线程。 2.创建进程 创建进程用于启动一个进程,只能启动可执行文件。 3.禁止进程创建 防止一个EXE程序自动运行。 4.结束和挂起进程 结束进程或结束任务用于停止一个程序的运行,两者差不多一样,所不同的是只有有窗口的程序才能被结束任务,支持多选(使用Ctrl和Shift键)。 挂起进程即暂停进程的运行。 5.系统启动项 这里的程序可以在系统启动时加载运行,根据情况该删则删。 6.内核模块 当前系统加载的内核模块,一般为驱动程序,红色表示非微软的。 7.SSDT 当前的系统服务函数,红色表示被修改过,多为杀软所为,不必在意。 8.搜索模块 看一个模块被哪些进程所调用。 9.卸载模块 删除一个进程中的模块。 10.增加了输进程DLL信息的功能,顺便把运行库也加里面了。
如何根据线程号获取模块信息
weixin_33890526的博客
12-14 1163
在得到线程之后,便可以通过openThread得到HANDLE,之后通过ZwQueryInformationThread获取线程信息。Part1 准备:#include <psapi.h>#include <locale.h>#include <iostream>#pragma comment(lib,"psapi.lib") typed...
C++ 获取线程入口地址、所在模块
LYSM
08-20 4087
大多数恶意代码为了隐藏自己的行踪都会附加到某个进程中,在这个进程内申请一块内存区域来存放它的代码,毕竟隐藏的再好,代码也要有的,不然你让 CPU 运行什么 … 今天检测的特征是向 YY语音 里插入了一段自己的代码(创建了新的线程),而这个新的线程不在原有的模块内,所以思路就是遍历 YY.exe 这个进程中的所有线程,如果这个线程没有对应的模块,那么就说明这个线程是可疑的。 准备工作: #prag...
C/C++ 获取线程入口地址模块
CSDN
07-16 8311
今天检测的特征是向 YY语音 里插入了一段自己的代码(创建了新的线程),而这个新的线程不在原有的模块内,所以思路就是遍历 YY.exe 这个进程中的所有线程,如果这个线程没有对应的模块,那么就说明这个线程是可疑的。大多数恶意代码为了隐藏自己的行踪都会附加到某个进程中,在这个进程内申请一块内存区域来存放它的代码,毕竟隐藏的再好,代码也要有的,不然你让 CPU 运行什么 …
【API】获取进程的所有模块
weixin_34096182的博客
02-01 697
HMODULE hModule[1024]; DWORD dwRes; HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ,FALSE,GetCurrentProcessId()); //获取的是当前进程ID EnumProcessModules(hProcess,...
获取当前执行线程的名字
热门推荐
freeOfFlying的博客
06-21 2万+
package com.freeflying.thread.base;/** * @ClassName: GetThreadName   * @Description:获取当前执行线程的名字 * @author freeflying * @date 2018年6月21日 */public class GetThreadName { public static void main(String[] ...
获取线程的名称
wangyanming123的博客
04-04 6152
获取线程的名称
①C++获取进程中的线ID ②通过线ID获取所在的模块地址
最新发布
06-11
要通过线ID获取所在的模块地址,可以使用Windows API中的 `EnumProcessModules` 和 `GetModuleInformation` 函数。以下是一个示例代码: ```c++ #include <windows.h> #include <iostream> #include <psapi.h> int main() { DWORD processId = GetCurrentProcessId(); HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, FALSE, processId); if (hProcess == NULL) { std::cout << "Error: OpenProcess failed.\n"; return 1; } DWORD threadId = 1234; // 假设要获取的线ID为1234 HANDLE hThread = OpenThread(THREAD_QUERY_INFORMATION, FALSE, threadId); if (hThread == NULL) { std::cout << "Error: OpenThread failed.\n"; CloseHandle(hProcess); return 1; } HMODULE hModules[1024]; DWORD cbNeeded; if (EnumProcessModules(hProcess, hModules, sizeof(hModules), &cbNeeded)) { for (int i = 0; i < (cbNeeded / sizeof(HMODULE)); i++) { MODULEINFO mi; if (GetModuleInformation(hProcess, hModules[i], &mi, sizeof(mi))) { if (mi.lpBaseOfDll <= hThread && hThread < (mi.lpBaseOfDll + mi.SizeOfImage)) { std::cout << "Thread " << threadId << " is in module " << (LPVOID)hModules[i] << std::endl; break; } } } } CloseHandle(hThread); CloseHandle(hProcess); return 0; } ``` 在这个示例代码中,我们先打开当前进程和要查询的线程,然后使用 `EnumProcessModules` 函数获取当前进程中所有模块的句柄,使用 `GetModuleInformation` 函数获取每个模块的基址和大小,然后遍历每个模块,判断线程是否在该模块范围内。如果到了线程所在的模块,就输模块的地址。 注意,这个示例代码假设需要查询的线ID为1234,你需要将它替换为你实际需要查询的线ID

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值