用ZwQueryVirtualMemory枚举进程模块

最新推荐文章于 2018-07-25 09:51:06 发布
最新推荐文章于 2018-07-25 09:51:06 发布
阅读量3.2k 收藏 1
点赞数
分类专栏: Windows 文章标签: path null class token winapi delete
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/longhaoyou/article/details/7333823
版权

转自:http://www.cppblog.com/aurain/archive/2010/07/05/119361.html

用ZwQueryVirtualMemory枚举进程模块
枚举进程模块通常可以使用诸如:CreateToolhelp32Snapshot,Module32First,Module32Next 等"Tool Help Functions"接口来实现, 并且这也是最通用的方法(从Win95就开始支持了), 但是今天我们要介绍的是ntdll.dll导出的未文档化接口ZwQueryVirtualMemory,。相比前面所介绍的方法,该方法可以检测出隐藏的模块(类似IceSword)。
我们先来看下这个接口的原型:

//-------------------------------------------------------------------------------------------------

NTSTATUS
NTAPI
ZwQueryVirtualMemory(
            IN HANDLE ProcessHandle,
            IN PVOID BaseAddress,
            IN MEMORY_INFORMATION_CLASS MemoryInformationClass,
            OUT PVOID MemoryInformation,
            IN ULONG MemoryInformationLength,
            OUT PULONG ReturnLength OPTIONAL );

typedef enum _MEMORY_INFORMATION_CLASS {
            MemoryBasicInformation,
            MemoryWorkingSetList,
            MemorySectionName,
            MemoryBasicVlmInformation
} MEMORY_INFORMATION_CLASS;

参数说明:
           ProcessHandle - 目标进程句柄
           BaseAddress    - 要查询的虚拟内存基址
           MemoryInformationClass - 要查询的内存信息类
           MemoryInformation - 用户提供的缓冲区,返回内存相关信息
           MemoryInformationLength - 缓冲区长度(字节为单位)
           ReturnLength - 实际返回的内存信息长度(字节为单位)
返回值:
           NTSTATUS - 返回STATUS_SUCCESS或一个错误状态码

//-------------------------------------------------------------------------------------------------

我们要枚举进程模块信息, 需要用到两类内存信息MemoryBasicInformation和MemorySectionName,
前者返回内存的基本信息, 比如: 内存区的基址,大小以及页面的各种属性等等, 而后者则返回内存段的名字,
也就是我们所要找的模块名. 利用前者我们可以过滤出类型为MEM_IMAGE的内存段并得到内存段的基址和属性, 利用后者我们可以得到模块名.
另外,需要注意的是该方法找出来的设备名是诸如\Device\HarddiskVolume1之类的名称,所以我们需要把它转换为我们习惯的DOS设备名,如C:\,D:\等。不能自以为是的认为\Device\HarddiskVolume1对应C盘\Device\HarddiskVolume2对应D盘。该转换是通过调用QueryDosDevice来实现的。
具体看代码:
// CheckDll.cpp : 定义控制台应用程序的入口点。
//
 
#include "stdafx.h"
 
#include <windows.h>
#include <winternl.h>
 
#include <string>
#include <map>
using namespace std;
 
#pragma warning(disable:4312)
 
typedef enum _MEMORY_INFORMATION_CLASS
{
   MemoryBasicInformation,
   MemoryWorkingSetList,
   MemorySectionName
}MEMORY_INFORMATION_CLASS;
 
typedef
NTSTATUS
(WINAPI *ZWQUERYVIRTUALMEMORY) (
                         IN HANDLE ProcessHandle,
                         IN PVOID BaseAddress,
                         IN MEMORY_INFORMATION_CLASS MemoryInformationClass,
                         OUT PVOID MemoryInformation,
                         IN ULONG MemoryInformationLength,
                         OUT PULONG ReturnLength OPTIONAL
                         );
 
map<wstring, wstring> g_mapDevice2Path;
 
void ConvertVolumePaths(
                   IN PWCHAR DeviceName,
                   IN PWCHAR VolumeName
                   )
{
   DWORD  CharCount = MAX_PATH + 1;
   PWCHAR Names     = NULL;
   PWCHAR NameIdx      = NULL;
   BOOL   Success      = FALSE;
 
   for (;;)
   {
      //
      //  Allocate a buffer to hold the paths.
      Names = (PWCHAR) new BYTE [CharCount * sizeof(WCHAR)];
 
      if ( !Names )
      {
         //
         //  If memory can't be allocated, return.
         return;
      }
 
      //
      //  Obtain all of the paths
      //  for this volume.
      Success = GetVolumePathNamesForVolumeNameW(
         VolumeName, Names, CharCount, &CharCount
         );
 
      if ( Success )
      {
         break;
      }
 
      if ( GetLastError() != ERROR_MORE_DATA )
      {
         break;
      }
 
      //
      //  Try again with the
      //  new suggested size.
      delete [] Names;
      Names = NULL;
   }
 
   if ( Success )
   {
      //
      //  Display the various paths.
      for ( NameIdx = Names;
         NameIdx[0] != L'\0';
         NameIdx += wcslen(NameIdx) + 1 )
      {
         g_mapDevice2Path[DeviceName] = NameIdx;
      }
   }
 
   if ( Names != NULL )
   {
      delete [] Names;
      Names = NULL;
   }
 
   return;
}
 
BOOL InitDevice2Path()
{
   BOOL   bRet               = FALSE; 
   DWORD  CharCount           = 0;
   WCHAR  DeviceName[MAX_PATH] = L"";
   DWORD  Error              = ERROR_SUCCESS;
   HANDLE FindHandle          = INVALID_HANDLE_VALUE;
   BOOL   Found              = FALSE;
   size_t Index              = 0;
   BOOL   Success                = FALSE;
   WCHAR  VolumeName[MAX_PATH] = L"";
 
   //
   //  Enumerate all volumes in the system.
   FindHandle = FindFirstVolumeW(VolumeName, ARRAYSIZE(VolumeName));
 
   if (FindHandle == INVALID_HANDLE_VALUE)
   {
      Error = GetLastError();
      wprintf(L"FindFirstVolumeW failed with error code %d\n", Error);
      return bRet;
   }
 
   for (;;)
   {
      //
      //  Skip the \\?\ prefix and remove the trailing backslash.
      Index = wcslen(VolumeName) - 1;
 
      if (VolumeName[0]     != L'\\' ||
         VolumeName[1]     != L'\\' ||
         VolumeName[2]     != L'?'  ||
         VolumeName[3]     != L'\\' ||
         VolumeName[Index] != L'\\')
      {
         Error = ERROR_BAD_PATHNAME;
         wprintf(L"FindFirstVolumeW/FindNextVolumeW returned a bad path: %s\n", VolumeName);
         break;
      }
 
      //
      //  QueryDosDeviceW doesn't allow a trailing backslash,
      //  so temporarily remove it.
      VolumeName[Index] = L'\0';
 
      CharCount = QueryDosDeviceW(&VolumeName[4], DeviceName, ARRAYSIZE(DeviceName));
 
      VolumeName[Index] = L'\\';
 
      if ( CharCount == 0 )
      {
         Error = GetLastError();
         wprintf(L"QueryDosDeviceW failed with error code %d\n", Error);
         break;
      }
 
      ConvertVolumePaths(DeviceName, VolumeName);
 
      //
      //  Move on to the next volume.
      Success = FindNextVolumeW(FindHandle, VolumeName, ARRAYSIZE(VolumeName));
 
      if ( !Success )
      {
         Error = GetLastError();
 
         if (Error != ERROR_NO_MORE_FILES)
         {
            wprintf(L"FindNextVolumeW failed with error code %d\n", Error);
            break;
         }
 
         //
         //  Finished iterating
         //  through all the volumes.
         Error = ERROR_SUCCESS;
         break;
      }
   }
 
   FindVolumeClose(FindHandle);
   FindHandle = INVALID_HANDLE_VALUE;
 
   return bRet;
}
 
void DeviceName2PathName(OUT WCHAR* szPathName, IN const WCHAR* szDeviceName)
{
   memset(szPathName, 0, MAX_PATH * 2);
   wstring strDeviceName = szDeviceName;
   size_t pos = strDeviceName.find(L'\\', 9);
   wstring strTemp1 = strDeviceName.substr(0, pos);
   wstring strTemp2 = strDeviceName.substr(pos + 1);
   wstring strDriverLetter  = g_mapDevice2Path[strTemp1];
   wstring strPathName = strDriverLetter + strTemp2;
 
   wcscpy_s(szPathName, MAX_PATH, strPathName.c_str());
}
 
/**
* 枚举指定进程加载的模块
* @param dwProcessId 进程Id
* @return void
*/
void EnumProcessModules(IN DWORD dwProcessId)
{
   DWORD dwStartAddr = 0x00000000;
   BYTE szBuffer[MAX_PATH * 2 + 4] = {0};
   WCHAR szModuleName[MAX_PATH] = {0};
   WCHAR szPathName[MAX_PATH] = {0};
   MEMORY_BASIC_INFORMATION mbi;
   PUNICODE_STRING usSectionName;   
   ZWQUERYVIRTUALMEMORY fnZwQueryVirtualMemory;
   HANDLE hProcess =NULL;
 
   hProcess = OpenProcess(PROCESS_ALL_ACCESS, TRUE, dwProcessId);
 
   if (hProcess == NULL)
   {
      wprintf(L"Open Process %d Error\n", dwProcessId);
      return;
   }
 
   dwStartAddr = 0x00000000;
 
   fnZwQueryVirtualMemory = (ZWQUERYVIRTUALMEMORY)
      ::GetProcAddress(GetModuleHandleA("ntdll.dll"),
      "ZwQueryVirtualMemory" );
 
   if(fnZwQueryVirtualMemory)
   {
      do
      {
         if (fnZwQueryVirtualMemory(
            hProcess,
            (PVOID)dwStartAddr,
            MemoryBasicInformation,
            &mbi,
            sizeof(mbi),
            0) >= 0 )
         {
            if(mbi.Type == MEM_IMAGE)
            {
                if (fnZwQueryVirtualMemory(
                   hProcess,
                   (PVOID)dwStartAddr,
                   MemorySectionName,
                   szBuffer,
                   sizeof(szBuffer),
                   0) >= 0 )
                {
                   usSectionName = (PUNICODE_STRING)szBuffer;
                   if( _wcsnicmp(szModuleName, usSectionName->Buffer, usSectionName->Length / sizeof(WCHAR)) )
                   {
                      wcsncpy_s(szModuleName, usSectionName->Buffer, usSectionName->Length / sizeof(WCHAR) );
                      szModuleName[usSectionName->Length / sizeof(WCHAR)] = UNICODE_NULL;
                      DeviceName2PathName(szPathName, szModuleName);
                      wprintf(L"[0x%.8x]\t%s\n", dwStartAddr, szPathName);
                  }
                }
            }
 
         }
         // 递增基址,开始下一轮查询!
         dwStartAddr += 0x1000;
      }while( dwStartAddr < 0x80000000 );
   }
 
   CloseHandle(hProcess);
}
 
/**
* 提升当前进程权限函数("SeDebugPrivilege"读、写控制权限)
* @param void
* @return TRUE-成功;FALSE-失败
*/
BOOL EnableDebugPriv()
{
   HANDLE hToken;
   TOKEN_PRIVILEGES tkp;
   LUID Luid;
 
   if (!OpenProcessToken(GetCurrentProcess(),
      TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))
   {
      return FALSE;
   }
 
   if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &Luid ))
   {
      CloseHandle(hToken);
      return FALSE;
   }
 
   tkp.PrivilegeCount = 1;
   tkp.Privileges[0].Luid = Luid;
   tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
 
   if (!AdjustTokenPrivileges(hToken, FALSE, &tkp, sizeof(tkp), NULL, NULL))
   {
      CloseHandle(hToken);
      return FALSE;
   }
 
   return TRUE;
}
 
int _tmain(int argc, _TCHAR* argv[])
{
   DWORD dwProcessId = 4;
 
   if (argc != 2)
   {
      wprintf(L"usage:CheckDll ProcessId");
      return 1;
   }
 
   dwProcessId = _ttoi(argv[1]);
 
   InitDevice2Path();
 
   // 首先提示权限
   if (EnableDebugPriv())
   {
      EnumProcessModules(dwProcessId);
   }
 
   g_mapDevice2Path.clear();
 
   return 0;
}



__lhy
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
准确在64位系统下枚举进程模块
04-08
在32位进程中使用WMI枚举其他进程模块,支持32位系统和64位系统。
ZwQueryVirtualMemory枚举进程模块
推理小孩的博客
02-20 694
ZwQueryVirtualMemory枚举进程模块   ZwQueryVirtualMemory算是枚举进程方法中的黑科技吧,主要是该方法可以检测出隐藏的模块(类似IceSword)。   代码VS2015测试通过   再次奉上源码链接:https://github.com/Arsense/WindowsCode/tree/master/ZwQu...
易语言API枚举进程模块源码
06-06
易语言API枚举进程模块的源码,就是用易语言实现的,用于列举指定进程内部加载的所有模块的代码。 下面我们将深入探讨如何在易语言中实现这一功能,以及涉及到的相关知识点: 1. **API调用**:易语言提供了调用...
API枚举进程模块.rar
04-04
易语言API枚举进程模块源码中的实现细节可能会涉及错误处理、字符串转换(因为API通常返回的是ANSI字符串,而易语言默认使用Unicode),以及易语言特有的语法结构。通过阅读和学习这段源码,开发者可以更好地理解...
易语言API枚举进程模块
07-22
易语言API枚举进程模块源码,API枚举进程模块,Enum,Unicode转Ansi,ZwQueryVirtualMemory_mbi,ZwQueryVirtualMemory_msn,ReadProcessMemory_idh,ReadProcessMemory_inh,CopyMemory_msn,WideCharToMultiByte,...
32位进程枚举64位进程模块信息
06-02
' WOW64的32位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块Hook64位模块、调用64位API等等等等....' 因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程,只是自己以为是32...
枚举进程的所有模块
01-13 379
<br />Enumerating All Modules For a Process<br />To determine which processes have loaded a particular DLL, you must enumerate the modules for each process. The following sample code uses the EnumProcessModules function to enumerate the modules of current
ZwQuerySystemInformation枚举进程线程的软件源码
04-10
ZwQuerySystemInformation枚举进程线程VB很实用的源码,精心挑选的精品源码
VC++实现枚举进程模块
yazi1297的专栏
07-22 544
[cpp]  #pragma once  #define _WIN32_WINNT 0x0500   #include"windows.h"  #include"tlhelp32.h"  #include"stdio.h"  #include"NativeApi.h"  #include"wchar.h"  #include"psapi.h"//SDK6.0  #pragma c
使用ZwQueryVirtualMemory枚举进程模块支持x64
zhuhuibeishadiao
05-02 7904
#include "stdio.h" #include "windows.h"typedef struct _LSA_UNICODE_STRING { USHORT Length; USHORT MaximumLength; PWSTR Buffer; } LSA_UNICODE_STRING, *PLSA_UNICODE_STRING, UNICODE_STRING, *PUNICO
关于在2003中绕过IS的ZwQueryVirtualMemory
07-17 1194
 //http://hi.baidu.com/sysnap  枚举DLL的方法很多CreateToolhelp32Snapshot.算是最原始的..枚举PEB..(IS使用的方法之一)缺点是断链也就无能为力了ZwQueryVirtualMemory.(IS使用的方法之一)..不过这个小伟在XP下已经成功绕过了,但是由于2003和XP的内核数据结构不一样,造成在2003下不兼容,我看了2003下的数
ZwQueryVirtualMemory暴力枚举进程模块
weixin_30889885的博客
03-22 647
0x01 前言   同学问过我进程体中EPROCESS的三条链断了怎么枚举模块,这也是也腾讯面试题。我当时听到也是懵逼的。   后来在网上看到了一些内存暴力枚举的方法ZwQueryVirtualMemory。 0x02 使用ZwQueryVirtualMemory暴力枚举模块 NTSTATUS NtQueryVirtualMemory(HANDLE ProcessHandl...
ZwQueryVirtualMemory遍历进程模块
qq_36453052的博客
11-22 1006
;=============================================================================== ;use ZwQueryVirtualMemory to enum Modules of a process ;subsystem:console ;OS Platform:tested on Windows XP Professi
【工具类】ZwQuerySystemInformation枚举进程
Fzuim的博客
07-25 775
曾经基于兴趣搞过很多小功能,但后来工作中比较少用到,代码也就安静的沉没在磁盘中。最近打算整理下之前弄过的东西,也不算荒废之前的付出吧。。。 void InitProcessList() { ZWQUERYSYSSTEMINFORMATION MyZwQuerySystemInformation = (ZWQUERYSYSSTEMINFORMATION)GetProcAddress(Get...
使用ZwQueryVirtualMemory枚举进程模块
chenhui530的专栏
11-15 5906
 Public Sub PrintProcessModules(ByVal dwProcessId As Long)    Dim ntStatus As Long    Dim objCid As CLIENT_ID    Dim objOa As OBJECT_ATTRIBUTES    Dim hProcess As Long    Dim dwVirtualAddr As Long   
linux 枚举进程
最新发布
09-13
在Linux中,有几种方法可以枚举进程。 1. 使用`ps`命令:ps命令是一个常用的工具,用于列出当前正在运行的进程。通过`ps -ef`命令可以列出所有进程的详细信息。你还可以使用管道和`grep`命令来过滤出特定进程的信息。例如,使用`ps -ef | grep 进程名`可以列出所有包含指定进程名的进程信息。 2. 使用`pgrep`命令:`pgrep`命令可以根据进程名或其他条件查找进程,并输出匹配的进程ID。例如,使用`pgrep 进程名`可以找到与指定进程名匹配的进程的ID。 3. 使用`top`命令:`top`命令提供了一个实时的进程监视器,可以显示当前系统上运行的进程,并按CPU和内存使用情况进行排序。你可以使用`top`命令来查看进程的详细信息,并按需求进行筛选和排序。 4. 使用`htop`命令:`htop`是一个更强大的进程监视器,提供了比`top`更多的功能和交互式界面。你可以使用`htop`来查看进程列表,并根据需要进行筛选和排序。 总结一下,你可以使用`ps`、`pgrep`、`top`或`htop`命令来枚举Linux系统中的进程。每个命令都有其特定的用途和功能,你可以根据自己的需求选择合适的命令来查找和管理进程

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值