枚举进程(汇编)

最新推荐文章于 2023-08-04 17:49:58 发布
最新推荐文章于 2023-08-04 17:49:58 发布
阅读量1.5k 收藏
点赞数
文章标签: 汇编 include list dialog command user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lwglucky/article/details/781110
版权

;----------------
;编译模式="CON"
;----------------
.386
.model flat, stdcall
option casemap :none

include windows.inc
include user32.inc
include kernel32.inc
include masm32.inc
include Psapi.inc

includelib user32.lib
includelib kernel32.lib
includelib masm32.lib
includelib Psapi.lib
;-------------------------------------------------------

Error_Handler   proto :DWORD, :DWORD, :DWORD, :DWORD
Print_Handler   proto :DWORD,  :DWORD,:DWORD
DlgProc proto :DWORD,:DWORD,:DWORD,:DWORD
RetriveProcess proto :DWORD

szText MACRO Name, Text:VARARG
          LOCAL lbl
            jmp lbl
              Name db Text,0
            lbl:
          ENDM

.const
 DLG_MAIN equ 1
 ITEM_LIST  equ 1001


.DATA
 szMsg db "Hello World!",13,10,0
 proID dd 512 dup(0)
 szDbg db 256 dup(0),0
 szProcessName db 256 dup(0),0
 szNewLine db " ",13,10,0 
 szDlgName    db "MAIN_DIALOG", 0

.DATA?
 dwRet dd ?
 hm HMODULE ?
 dwHmRet dd ?
 hProcess HANDLE ?
 hProcessHandle HANDLE ?
 hProcessID dd ? 
 hInstance dd ?

.CODE
START:
 assume fs:nothing
 push  offset Error_Handler
 push  fs:[0]
 mov   fs:[0],esp

 invoke GetModuleHandle,NULL
 mov hInstance,eax
 invoke DialogBoxParam,hInstance,ADDR szDlgName,0,offset DlgProc,0
 
 pop  fs:[0]
 pop   eax

 invoke ExitProcess,0

DlgProc proc hWnd,uMsg,wParam,lParam
.if uMsg==WM_INITDIALOG
 invoke LoadIcon,hInstance,DLG_MAIN
 invoke SendMessage,hWnd,WM_SETICON,ICON_SMALL,eax
 ;LOCAL  hItem:HANDLE
 ;invoke GetDlgItem,hWnd,ITEM_LIST
 ;mov  [hItem] , eax
 invoke SendMessage,hWnd,WM_SETTEXT,0,ADDR szMsg
.elseif uMsg==WM_COMMAND
 mov eax,wParam
 .if ax==3002
  invoke EndDialog,hWnd,TRUE
 .endif
 .if ax == 1002 ;;process
  invoke RetriveProcess,hWnd
 .endif
.elseif uMsg==WM_CLOSE
 invoke EndDialog,hWnd,FALSE
.else
 mov eax,FALSE
 ret
.endif
mov eax,TRUE
ret
DlgProc endp

Print_Handler   proc  processname:DWORD , processid:DWORD,hDlg:DWORD
 LOCAL  hItem:HANDLE
 LOCAL szOutPut[256]:BYTE 
 szText szFormat,"%s(%d)"
 invoke GetDlgItem,hDlg,ITEM_LIST
 mov  [hItem] , eax
 invoke wsprintf,ADDR szOutPut,ADDR szFormat,processname,processid
 invoke SendMessage,[hItem],LB_ADDSTRING ,0,ADDR szOutPut;LB_ADDSTRING
 ret
Print_Handler endp

RetriveProcess proc hDlg:DWORD  
 invoke EnumProcesses,ADDR proID,512*4,ADDR dwRet
 test eax , eax
 jz   @EnumOver
 mov   ecx,[dwRet]
 SAR   ecx , 2
 mov [dwRet], ecx  

 push 0
 push offset proID   
 
@OpenProcess:
 mov  eax , [esp]  
 mov  ecx , [esp+4] 
 cmp  ecx , [dwRet]  
 jz   @EnumOver
 SAL  ecx , 2
 add  eax , ecx
 mov  eax , [eax]
 mov  [hProcessID],eax
 invoke OpenProcess,PROCESS_QUERY_INFORMATION or PROCESS_VM_READ,0,eax
 mov [hProcessHandle], eax
 test eax , eax 
 jnz @EnumProcessModules
 invoke GetLastError
 mov ecx , [esp+4]
 inc ecx
 mov [esp+4] ,  ecx
 jmp @OpenProcess
 
@EnumProcessModules:
 invoke EnumProcessModules,eax,ADDR hm,4,ADDR dwHmRet  
 test eax , eax
 jnz @GetModuleFileNameEx  
 invoke GetLastError
 mov ecx , [esp+4]
 inc ecx
 mov [esp+4] ,  ecx
 jmp @OpenProcess 
 
@GetModuleFileNameEx:
 invoke GetModuleFileNameEx,[hProcessHandle],[hm],ADDR szProcessName,256 
 invoke Print_Handler,ADDR szProcessName,[hProcessID],hDlg
 
   mov ecx , [esp+4]
 inc ecx
 mov [esp+4] ,  ecx  
 jmp @OpenProcess   

@EnumOver: 
 pop eax
 pop eax
 ret
RetriveProcess endp

Error_Handler proc uses ecx  lpExceptRecord:DWORD, lpFrame:DWORD, lpContext:DWORD, lpDispatch:DWORD
 mov eax , 1
 ret
Error_Handler endp

end START

lwglucky
关注
枚举windows进程模块的几种方法—PEB内核结构详解
阔野的专栏
11-18 5196
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载的模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载的模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程进程加载的模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h heade...
HOOK SwapContext 枚举隐藏进程(学习笔记4)
01-08 3879
 作 者: bzhkl 时 间: 2008-12-11,12:01 链 接: http://bbs.pediy.com/showthread.php?t=78464 以前想检测一个被隐藏的进程 后来用暴力枚举的方法解决了 但是HOOK SwapContext没有看到有完整的代码 所以搜集了点网上有用的模块 自己整合实现了下 确定支持XP3, XP2没测试 应该也能支持 附完整工程代
Win32汇编实现枚举进程(PSAPI.DLL)
迈克揉索芙特
02-01 2107
EnumProcesses是PSAPI提供的导出函数,利用该函数可以在无须快照的情况下枚举进程,甚至可以枚举出一些简单的隐藏进程。本例中的枚举用到了回调过程,在回调过程中用户可以随时决定是否中断枚举,从而有效的控制枚举过程。另外,进程隐藏与否的状态也可以在回调过程的参数中取得。如果结合笔者的一篇《Win32汇编实现提升进程Debug权限的两种方法 》文章,则可以进一步扩大枚举范围。本例在XP(SP
枚举进程——PspCidTable zz
摸爬滚打
05-05 1035
http://blog.csdn.net/strongxu/article/details/4959757 看Windows内核情景分析的时候看到讲PspCidTable中会保存每个进程和线程的CID,就在想可以通过这个表来获取到每个进程的PID及相关信息,然后网上一搜,已经有N多人通过这种方法来获取进程列表了,Iceword也是有这种方法来枚举进程的。Anyway,还是自己实现一遍吧。
枚举型enum汇编解释
最新发布
HsiaoShawn的博客
08-04 144
可以看出枚举型变量最终都被编译成了数字,也就是整型。枚举型本质是整型,只是以字符串的形式组成便于理解。
MASM32编程枚举Windows计划任务(Schedule Job)
caobihole
11-05 261
  Windows提供了API函数:NetScheduleJobEnum可以用于枚举Windows计划任务(Schedule Job)。其C++原形为:NET_API_STATUS NetScheduleJobEnum( __in_opt LPCWSTR Servername, __out LPBYTE *PointerToBuffer, __in DWOR...
Enum深入解析
code_for_god
03-27 405
enum关键字和 java.lang.Enum 的关系 Enum解析
用Delphi内嵌汇编实现缷载任意进程的某个DLL.zip
09-21
这可以通过枚举进程的模块列表(使用`EnumProcessModules`和`GetModuleBaseName`函数)来实现。 3. **内嵌汇编实现**:在Delphi中,我们可以使用`asm`关键字来插入汇编代码。卸载DLL的关键步骤是执行`FreeLibrary` ...
枚举进程(ASM实现)
03-22
在Windows操作系统中,枚举进程是一项重要的系统编程任务,它涉及到对系统中正在运行的进程进行查询、管理和控制。在本实例中,我们将探讨如何使用Win ASM32(Windows汇编语言,32位版本)来实现这个功能。ASM32提供...
易语言小豪汇编模块
07-18
易语言小豪汇编模块源码,小豪汇编模块,调用汇编代码,置汇编代码,取汇编代码,取汇编代码十六进制,运行汇编代码,取DLL函数地址,到子程序指针,取自进程ID,取进程主窗口,取程序进程ID,取窗口句柄,枚举进程,取指定字节集,...
枚举所有进程所有模块,删除制定进程
weixin_30519071的博客
03-31 167
环境: VS2008中配置WDK7600驱动开发环境 包含文件 #include <ntifs.h> #include <WinDef.h> 需要在 #include <ntddk.h> 之前 那么就不会出错 程序大体流程: PsGetCurrentProcess() 得到本进程EPROCESS 通过EPROCE...
枚举进程,得到所有进程全路径文件名
jiangqin115的专栏
08-26 1798
#include "stdafx.h" #include   #include //声明快照函数的头文件  #include   #include "CpuUsage.h" #include "GetProcInfo.h" #include "Psapi.h"   #pragma comment (lib,"Psapi.lib")
9种枚举枚举进程的方法及实现
爱杀之爪的矩阵
07-02 1656
<br />//<br />//native api获得进程表<br />NTSTATUS NativeApiEnumProcess()<br />{<br /> ULONG pNeededSize=0;<br /> int iCount = 1;<br /> int bOver=0;<br /> NTSTATUS status;<br /> ULONG uSize;<br /> PVOID pSi=NULL; <br /> PSYSTEM_PROCESS_INFORMATION pSpiNext = NU
枚举进程模块
yangyang031213的博客
07-11 1044
枚举进程模块使用 CreateToolhelp32Snapshot 创建进程快照,第一个参数为 TH32CS_SNAPMODULE 时创建进程模块快照,类似枚举进程时使用的 Process32First、Process32Next,枚举进程模块时使用 Module32First、Module32Next 枚举进程模块。代码: CEnumModuleDlg:BEGIN_MESSAGE_MAP(CEn
enum和宏定义的区别以及其使用
moyedamo的专栏
04-21 1717
(1) 编译器处理方式不同   define宏是在预处理阶段展开。   const常量是编译运行阶段使用。 (2) 类型和安全检查不同   define宏没有类型,不做任何类型检查,仅仅是展开。   const常量有具体的类型,在编译阶段会执行类型检查。 (3) 存储方式不同   define宏仅仅是展开,有多少地方使用,就展开多少次,不会分配内存。(宏定
MASM32编程获取系统服务列表及其状态
Purpleendurer@CSDN
11-18 2229
;; FileName: List_Svc2.asm; Function: Demo the way to list system services and their status;   Author: Purple Endurer;   DevEmv: Win XP SP2, MASM32;; LOG; ---------------------------------------------
C语言开发任务管理器的设计与实现
任务管理器需要能够枚举当前运行的进程、线程、以及每个进程的详细信息(如进程ID、进程优先级、占用的CPU和内存资源等),并提供对进程进行操作的接口,例如结束进程。 8. 调试与汇编语言:asm.cpp文件表明可能在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值