通过pid查看它载入dll,通过dll查询那些pid载入它

最新推荐文章于 2023-07-14 10:30:30 发布
最新推荐文章于 2023-07-14 10:30:30 发布
阅读量735 收藏
点赞数
分类专栏: C++ 文章标签: c++ windows 操作系统 程序员
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1282867270/article/details/43702231
版权

遇到某个文件无法删除,除了前一篇“打开”的占用之外,还有就是作为一个模块被占用。


ring3下的碎甲功能除了关闭打开的文件句柄之外,就是FreeLibrary作为模块打开的句柄。


GetProcModule.h

#ifndef GETPROCMODULE_H__
#define GETPROCMODULE_H__

void GetModuleByPid(DWORD dwPid, vector<string> & vData);
void GetPidByModule(const string& szPath, vector<PROCESSENTRY32>& vData);

#endif

GetProcModule.cpp 

// GetProcModule.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"

void GetModuleByPid(DWORD dwPid,vector<string> & vData)
{
	HANDLE hProc = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, FALSE, dwPid);
	if (hProc)
	{
		HMODULE hMod[1024];
		DWORD cbNeeded;
		CHAR szModName[MAX_PATH] = {0};
		CHAR lPath[MAX_PATH] = {0};
		// 获取进程模块
		if (EnumProcessModules(hProc, hMod, sizeof(hMod), &cbNeeded))
		{
			//获得模块路径
			for (int i = 0; i <= cbNeeded / sizeof(HMODULE); ++i)
			{

				if (GetModuleFileNameExA(hProc, hMod[i], szModName, sizeof(szModName)))
				{
					vData.push_back(szModName);

				}
			}
			

		}

		
		CloseHandle(hProc);
		
	}
}



void GetPidByModule(const string& szPath, vector<PROCESSENTRY32>& vData)
{
	DWORD ParentProcessID = -1;
	PROCESSENTRY32 pe;
	HANDLE hkz;

	hkz = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	pe.dwSize = sizeof(PROCESSENTRY32);
	if (Process32First(hkz, &pe))
	{
		do
		{
			vector<string> vModule;
			GetModuleByPid(pe.th32ProcessID, vModule);
			for (auto& str:vModule)
			{
				if (str == szPath)
				{
					vData.push_back(pe);
					break;
				}
			}

		} while (Process32Next(hkz, &pe));
	}
}



最后还是不得不吐槽,当然是关于上一篇的利用ZwQuerySystemInformation枚举打开文件句柄,MSDN分明写着“is no longer available for use as of Windows 8. ”,可是我回家之后在win 8.1系统上dtll.dll也一样可以LoadLibrary得到函数指针,或许在windows 8.1微软又良心发现了,把它加回去了?


为了以防万一,我选择了NtQuerySystemInformation,搞过Ring0的容易误会,这个是Ring3那个,跟上面的Zw开头的函数是一样的,因为msdn上面说“ may be altered or unavailable in future versions of Windows.”,Zw是“一定不支持”,Nt是“可能失效”,起码还能多支持几个版本。


这一点我对微软越来越跟苹果一样,表示深深的鄙视,明显是信不过我们程序员,人家苹果程序员都是SB,开发难度低,难道你以为windows程序员也是这样吗?Linux太开发,Mac OS太封闭,windows恰好介于平衡点,于是上一轮PC战争中胜利。win8开始鲍尔默不相信开发者了,于是我们抛弃了他,如果win10继续延续这个路子,恐怕我就改成Ubuntu了,起码Linux世界尊重,我们程序员的智商。

qq1282867270
关注
专栏目录
DLL注入学习总结
bcbobo21cn的专栏
04-23 2806
dll注入 所谓DLL[1]  注入就是将一个DLL放进某个进程的地址空间里,让它成为那个进程的一部分。要实现DLL注入,首先需要打开目标进程。 中文名 dll注入 外文名 hRemoteProcess 意    义 将一个DLL放进进程的地址空间里 方    法 打开目标进程 例: hRemoteProcess = OpenProcess( PROCESS_CREATE_THREAD |
windows-DLL注入
天使也掉毛
08-14 2317
DLL注入
进程查看工具 查看进程调用那些dll
05-14
可以查看进程情况,内存,调用dll 功能比windows内带任务管理器详细,清晰
查看dll所属的进程
liutong2012的专栏
01-19 709
检查***.dll被哪个或哪些进程调用:tasklist /m ***.dll强行终止此id号的进程:taskkill /f /pid pid
查看dll被哪个进程占用
最新发布
飞狐的专栏
07-14 500
像explorer.exe这种重要的进程还是得执行起来,所以需要执行一下explorer.exe。不知道怎么用命令行的形式把dll从进程中卸载,只能根据pid强制结束进程。删除dll的时候提示被占用,查看dll被哪个进程占用。如果是系统进程被dll注入,目前还不知道有什么好办法。成功: 已终止 PID 为 4852 的进程。
查看dllhost.exe进程pid对应的网站
08-03 801
 在wndows2000下:如果站点的应用程序保护是”高“,可以在任务管理器中记录下占用比较高的DLLHOST.EXE的PID,然后打开管理工具,组件服务,计算机,我的电脑,COM+应用程序,然后点击右上角的状态查看(是一个按钮,就是设置排列方式的那排),就能看到PID对应的网站域名了.在windows2003下:1、在任务管理器中增加显示pid字段。就可以看到占用内存或者cpu最
DLL获取主进程窗口句柄
ArtLife
06-01 5712
有的时候难免需要在DLL获取主进程的窗口句柄,比如在DLL注入的时候等等。那么如何在DLL获取主进程的窗口句柄呢?可以通过EnumWindows来实现。先通过GetCurrentProcessId获取进程的PID,然后在EnumWindows中调用GetWindowThreadProcessId获得与窗口句柄关联的进程PID,然后对比PID,看是否相等,并判断是不是主窗口即可。 以上方法参考
visual studio 2019 详细步骤实现DLL注入
qq_41170946的博客
01-31 4298
一、创建新项目——动态链接库 源文件代码: #include "pch.h" #include"windows.h" #include"tchar.h" #pragma comment(lib,"urlmon.lib") HMODULE g_hMod = NULL; DWORD WINAPI ThreadProc(LPVOID lParam) { MessageBox(NULL, TE...
内存加载DLL
weixin_30869099的博客
07-27 523
1、前言 目前很多敏感和重要的DLL(Dynamic-link library) 都没有提供静态版本供编译器进行静态连接(.lib文件),即使提供了静态版本也因为兼容性问题导致无法使用,而只提供DLL版本,并且很多专业软件的授权部分的API,都是单独提供一个DLL来完成,而主模块通过调用DLL中的接口来完成授权功能。虽然这些软件一般都采用了加壳和反调试等保护,但是一旦这些功能失去作用,比如脱...
游戏修改器制作教程七:注入DLL的各种姿势
热门推荐
El Psy Congroo
01-07 3万+
注入的代码就是目标进程的一部分了,可以直接用指针读写目标进程内存,还可以hook目标进程的函数
查找(Dll)基地址和指定函数地址的一种方法
08-12
根据输出表RVA和基址取输出表的FAT,FNT 再然后就是暴力男人狂搜FNT说指向的API名称,并和我们想要的API名称进行对比,找到后返回FAT找其地址
Windows查看dll被哪个进程调用
weixin_33724570的博客
02-05 330
卸载程序,结果没卸载干净---程序的安装目录中还剩下一个dll文件。想删,结果系统提示说dll文件被某个进程占用了,不让删。 先前碰到这种做法,我都是直接使用unlocker先unlock一下,然后删的。不过公司的电脑,不让随便安装软件,于是只能想其他办法了。 在网上找了半天,终于给找到查看dll被某个进程调用的方法了。 在命令行下使用 tasklist /m dll文件名 就能查找了。原来...
CMD命令、文件对应的进程PID
seven瓜的博客
08-06 6459
任务管理器-》性能-》打开资源监视器-》CPU-》搜索文件名:
如何查看dll被哪个程序调用
weixin_30699443的博客
03-16 985
操作系统中的dll文件被程序调用无法直接删除,只能通过特殊方式进行删除,步骤如下: 1、在运行里输入cmd进入命令提示符。 2、输入命令tasklist /m > 123.txt 查看dll文件是哪个程序在调用,结束该程序或进程,然后删除dll文件。 3、如果查出来的占用dll文件的进程是svhost.exe进程,这个进程一般系统有7、8个之多,则可以根据PID进程号来结束进程,然...
windows 通过 pid 找到运行程序的路径
书香水墨
11-28 3092
运行前修改下方pid为自己要查询pid号 wmic process get name,executablepath,processid|findstr pid
通过VID和PID查询U盘主控芯片
"U盘主控方案生产厂商查询,通过VID和PID获取U盘主控芯片型号的方法以及USB ID的列表资源" 在信息技术领域,USB(Universal Serial Bus)设备广泛应用于数据存储、设备连接等场景,如U盘。每个USB设备都有独特的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值