X64进程遍历并获取进程主线程

最新推荐文章于 2023-12-11 03:17:38 发布
最新推荐文章于 2023-12-11 03:17:38 发布
阅读量2.1k 收藏 2
点赞数 2
分类专栏: c/c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36453052/article/details/53444737
版权

x64下windbg显示的进程结构体

1: kd> dt _SYSTEM_PROCESS_INFORMATION
ole32!_SYSTEM_PROCESS_INFORMATION
   +0x000 NextEntryOffset  : Uint4B
   +0x004 NumberOfThreads  : Uint4B
   +0x008 WorkingSetPrivateSize : _LARGE_INTEGER
   +0x010 HardFaultCount   : Uint4B
   +0x014 NumberOfThreadsHighWatermark : Uint4B
   +0x018 CycleTime        : Uint8B
   +0x020 CreateTime       : _LARGE_INTEGER
   +0x028 UserTime         : _LARGE_INTEGER
   +0x030 KernelTime       : _LARGE_INTEGER
   +0x038 ImageName        : _UNICODE_STRING
   +0x048 BasePriority     : Int4B
   +0x050 UniqueProcessId  : Ptr64 Void
   +0x058 InheritedFromUniqueProcessId : Ptr64 Void
   +0x060 HandleCount      : Uint4B
   +0x064 SessionId        : Uint4B
   +0x068 UniqueProcessKey : Uint8B
   +0x070 PeakVirtualSize  : Uint8B
   +0x078 VirtualSize      : Uint8B
   +0x080 PageFaultCount   : Uint4B
   +0x088 PeakWorkingSetSize : Uint8B
   +0x090 WorkingSetSize   : Uint8B
   +0x098 QuotaPeakPagedPoolUsage : Uint8B
   +0x0a0 QuotaPagedPoolUsage : Uint8B
   +0x0a8 QuotaPeakNonPagedPoolUsage : Uint8B
   +0x0b0 QuotaNonPagedPoolUsage : Uint8B
   +0x0b8 PagefileUsage    : Uint8B
   +0x0c0 PeakPagefileUsage : Uint8B
   +0x0c8 PrivatePageCount : Uint8B
   +0x0d0 ReadOperationCount : _LARGE_INTEGER
   +0x0d8 WriteOperationCount : _LARGE_INTEGER
   +0x0e0 OtherOperationCount : _LARGE_INTEGER
   +0x0e8 ReadTransferCount : _LARGE_INTEGER
   +0x0f0 WriteTransferCount : _LARGE_INTEGER
   +0x0f8 OtherTransferCount : _LARGE_INTEGER

 kd> dt    _IO_COUNTERS
ole32!_IO_COUNTERS
   +0x000 ReadOperationCount : Uint8B
   +0x008 WriteOperationCount : Uint8B
   +0x010 OtherOperationCount : Uint8B
   +0x018 ReadTransferCount : Uint8B
   +0x020 WriteTransferCount : Uint8B
   +0x028 OtherTransferCount : Uint8B


kd> dt _VM_COUNTERS
ole32!_VM_COUNTERS
   +0x000 PeakVirtualSize  : Uint8B
   +0x008 VirtualSize      : Uint8B
   +0x010 PageFaultCount   : Uint4B
   +0x018 PeakWorkingSetSize : Uint8B
   +0x020 WorkingSetSize   : Uint8B
   +0x028 QuotaPeakPagedPoolUsage : Uint8B
   +0x030 QuotaPagedPoolUsage : Uint8B
   +0x038 QuotaPeakNonPagedPoolUsage : Uint8B
   +0x040 QuotaNonPagedPoolUsage : Uint8B
   +0x048 PagefileUsage    : Uint8B
   +0x050 PeakPagefileUsage : Uint8B


 kd> dt _SYSTEM_THREAD_INFORMATION
ole32!_SYSTEM_THREAD_INFORMATION
   +0x000 KernelTime       : _LARGE_INTEGER
   +0x008 UserTime         : _LARGE_INTEGER
   +0x010 CreateTime       : _LARGE_INTEGER
   +0x018 WaitTime         : Uint4B
   +0x020 StartAddress     : Ptr64 Void
   +0x028 ClientId         : _CLIENT_ID
   +0x038 Priority         : Int4B
   +0x03c BasePriority     : Int4B
   +0x040 ContextSwitches  : Uint4B
   +0x044 ThreadState      : Uint4B
   +0x048 WaitReason       : Uint4B

实际测试发现windbg列出的这个进程结构不完整,需要通过一项Reserved14个字节来补齐才行。后面列出我的代码。


#include "stdafx.h"
#include "windows.h"

#pragma pack(8)

#define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0)
#define STATUS_SUCCESS         ((NTSTATUS) 0x00000000)
#define SystemProcessesAndThreadsInformation    5 // 功能号
#define NTAPI    __stdcall

// 线程状态的枚举常量
typedef enum _THREAD_STATE
{
    StateInitialized , // 初始化状态
    StateReady , // 准备状态
    StateRunning , // 运行状态
    StateStandby , //
    StateTerminated ,//关闭
    StateWait , // 等待
    StateTransition , // 切换???
    StateUnknown
}THREAD_STATE;

// 线程处于等待的原因的枚举常量
typedef enum _KWAIT_REASON
{
    Executive ,
    FreePage ,
    PageIn ,
    PoolAllocation ,
    DelayExecution ,
    Suspended ,
    UserRequest ,
    WrExecutive ,
    WrFreePage ,
    WrPageIn ,
    WrPoolAllocation ,
    WrDelayExecution ,
    WrSuspended ,
    WrUserRequest ,
    WrEventPair ,
    WrQueue ,
    WrLpcReceive ,
    WrLpcReply ,
    WrVirtualMemory ,
    WrPageOut ,
    WrRendezvous ,
    Spare2 ,
    Spare3 ,
    Spare4 ,
    Spare5 ,
    Spare6 ,
    WrKernel ,
    MaximumWaitReason
}KWAIT_REASON;

typedef LONG   NTSTATUS;
typedef LONG    KPRIORITY;

typedef struct _UNICODE_STRING
{
    USHORT Length;
    USHORT MaximumLength;
    PWSTR  Buffer;

} UNICODE_STRING, *PUNICODE_STRING;


typedef struct _CLIENT_ID_64
{
    ULONG64 UniqueProcess;
    ULONG64 UniqueThread;
}CLIENT_ID_64, *PCLIENT_ID_64;

typedef struct _VM_COUNTERS
{
    ULONG64        PeakVirtualSize;
    ULONG64        VirtualSize;
    ULONG         PageFaultCount;
    ULONG64        PeakWorkingSetSize;
    ULONG64        WorkingSetSize;
    ULONG64        QuotaPeakPagedPoolUsage;
    ULONG64        QuotaPagedPoolUsage;
    ULONG64        QuotaPeakNonPagedPoolUsage;
    ULONG64        QuotaNonPagedPoolUsage;
    ULONG64        PagefileUsage;
    ULONG64        PeakPagefileUsage;
} VM_COUNTERS;

// 线程信息结构体
typedef struct _SYSTEM_THREAD_INFORMATION
{
    LARGE_INTEGER   KernelTime;
    LARGE_INTEGER   UserTime;
    LARGE_INTEGER   CreateTime;
    ULONG64         WaitTime;
    ULONG64         StartAddress;
    CLIENT_ID_64    ClientId;
    KPRIORITY       Priority;
    KPRIORITY       BasePriority;
    ULONG           ContextSwitchCount;
    LONG            State;// 状态,是THREAD_STATE枚举类型中的一个值
    LONG            WaitReason;//等待原因, KWAIT_REASON中的一个值
} SYSTEM_THREAD_INFORMATION , *PSYSTEM_THREAD_INFORMATION;


// 进程信息结构体
typedef struct _SYSTEM_PROCESS_INFORMATION
{
    ULONG            NextEntryDelta; // 指向下一个结构体的指针
    ULONG            ThreadCount; // 本进程的总线程数
    LARGE_INTEGER    WorkingSetPrivateSize;
    ULONG            HardFaultCount;  
    ULONG            NumberOfThreadsHighWatermark;
    LARGE_INTEGER    CycleTime;
    LARGE_INTEGER    CreateTime; // 进程的创建时间
    LARGE_INTEGER    UserTime; // 在用户层的使用时间
    LARGE_INTEGER    KernelTime; // 在内核层的使用时间
    UNICODE_STRING   ProcessName; // 进程名
    KPRIORITY        BasePriority; //
    ULONG64          ProcessId; // 进程ID
    ULONG64          InheritedFromProcessId;
    ULONG            HandleCount; // 进程的句柄总数
    ULONG            SessionId;  
    ULONG64          UniqueProcessKey;

    VM_COUNTERS      VmCounters;
    IO_COUNTERS      IoCounters;
    ULONG            Reserved1;
    SYSTEM_THREAD_INFORMATION Threads[1]; // 子线程信息数组
}SYSTEM_PROCESS_INFORMATION , *PSYSTEM_PROCESS_INFORMATION;

#pragma pack()


// NtQuerySystemInformation 函数的原型
// 由于该没有导出,所以得自己定义函数的原型
typedef DWORD(WINAPI* PQUERYSYSTEM)(UINT , PVOID , DWORD , PDWORD);
DWORD __stdcall GetMainThread(DWORD dwProcessId)
{
    int nRet = 0;
    NTSTATUS Status = 0;
    DWORD dwThreadId = 0;

    PQUERYSYSTEM NtQuerySystemInformation = NULL;
    PSYSTEM_PROCESS_INFORMATION pInfo = { 0 };

    // 获取函数地址
    NtQuerySystemInformation = (PQUERYSYSTEM)GetProcAddress(LoadLibrary(L"ntdll.dll") , "NtQuerySystemInformation");


    DWORD   dwSize = 0;
    // 获取信息所需的缓冲区大小
    Status = NtQuerySystemInformation(SystemProcessesAndThreadsInformation ,//要获取的信息的类型
        NULL , // 用于接收信息的缓冲区
        0 ,  // 缓冲区大小
        &dwSize
        );
    // 申请缓冲区
    char* pBuff = new char[dwSize];
    pInfo = (PSYSTEM_PROCESS_INFORMATION)pBuff ;
    if(pInfo == NULL)
        return -1;
    // 再次调用函数, 获取信息
    Status = NtQuerySystemInformation(SystemProcessesAndThreadsInformation ,//要获取的信息的类型
        pInfo , // 用于接收信息的缓冲区
        dwSize ,  // 缓冲区大小
        &dwSize
        );
    if(!NT_SUCCESS(Status)) {/*如果函数执行失败*/
        printf("失败\n");
        delete[] pInfo;
        return -1;
    }

    // 遍历结构体,找到对应的进程
    while(1)
    {
        // 判断是否还有下一个进程
        if(pInfo->NextEntryDelta == 0)
            break;

        // 判断是否找到了ID
        if(pInfo->ProcessId == dwProcessId)
        {


            //这里罗列出所有的进程中活着的线程。

            for(int i = 0 ; i<pInfo->ThreadCount; i ++)
            {
                dwThreadId = (DWORD)pInfo->Threads[i].ClientId.UniqueThread;

                printf("thread id = %d",dwThreadId);

            }

            dwThreadId = (DWORD)pInfo->Threads[0].ClientId.UniqueThread;   //这个是主线程的ID
        
            break;
        }
        // 迭代到下一个节点
        pInfo = (PSYSTEM_PROCESS_INFORMATION)(((PUCHAR)pInfo) + pInfo->NextEntryDelta);
    }

    delete[] pBuff;

    return dwThreadId;
}


int _tmain(int argc, _TCHAR* argv[])
{
    GetMainThread(6592);
}

熊哥56246777
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
商业编程-源码-遍历WIN9X或WINNT中的所有进程.zip
06-22
获取进程句柄后,可以使用`QueryProcessInformation`函数获取进程详细信息,这些信息会填充到`PROCESS_INFORMATION`结构中,包括进程ID、线程ID、进程线程的上下文等。 6. **Windows版本差异** 在Windows...
利用进程ID获取线程ID
TJT999
02-19 9107
<br />利用进程ID获取线程ID,仅适用于单线程。多线程应区分哪个是线程,区分方法待验证<br />(1)好像可以用StartTime最早的,不过通过线程执行时间不一定可靠,要是在最开始就CreateThread了,线程的执行时间会相同。可以通过回溯栈上的值来判断哪个线程线程线程的栈多少有些不同。最明显就是线程栈上的PE入口点 信息,没有这个的就是子线程。<br /> (2)CsrProcessLink中取CsrProcessInfo->ClientId.UniqueThread即可,
进程获取进程ID及其线程ID
热门推荐
yanglx2022的博客
06-21 1万+
此处进程名是指进程可执行文件的名称(任务管理器进程列表中显示的映像名称),如notepad.exe。Windows中没有直接可用的相关函数,实现思路为使用CreateToolhelp32Snapshot函数创建进程线程快照然后从中逐个比较。需要包含头文件#include <tlhelp32.h>
获取进程Main线程
weixin_40664184的博客
09-10 466
windows
ProcessHaceker 之进程枚举(一)
maomao171314的专栏
07-18 265
processhacker 进程枚举
根据进程ID获取线程ID
qq_36453052的博客
11-24 4203
#include #include #include #define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0) #define STATUS_SUCCESS              ((NTSTATUS) 0x00000000) #define SystemProcessesAndThreadsInformation    5
易语言挂起进程
07-21
1. **CreateProcess**: 这是Windows API中的一个核心函数,用于创建一个新的进程线程。它需要提供程序路径、命令行参数等信息,并返回新进程的句柄,这个句柄在后续挂起或恢复进程时非常关键。 2. **...
进程获取QQ号码.docx
09-27
每个进程都有一个或多个线程,其中线程进程启动时创建的,负责执行代码。进程地址空间包括了代码、数据以及线程堆栈等。在Windows中,每个应用程序看到的是4GB的线性地址空间,其中一部分由操作系统保留,一部分...
Process--thread-enumeration.rar_delphi thread_delphi枚举进程_进程线程
09-14
这些API函数可以帮助我们获取进程线程的信息,如线程ID、创建时间、当前状态等。 在窗体组件调用例程的应用中,通常我们需要在多线程环境中更新UI。由于VCL(Visual Component Library)组件不是线程安全的,直接...
C++模拟查看进程线程
06-13
在我们的C++程序中,线程执行了整个程序的逻辑,它的线程ID为0xd64。线程是执行路径,是操作系统调度的基本单位,它们共享进程的资源,但拥有独立的执行上下文。 进程存储情况包括了代码、数据、堆栈等部分。在...
_SYSTEM_PROCESS_INFORMATION
denggengwen3333的博客
08-02 1937
#ifdef _WIN64typedef __int64 KPRIORITY;#elsetypedef long KPRIORITY;#endiftypedef struct _SYSTEM_THREAD_INFORMATION{ LARGE_INTEGER KernelTime; LARGE_INTEGER UserTime; LARGE_INTEGER CreateTime; ULO...
[转] 获取进程线程ID
weixin_34149796的博客
05-16 283
#ifndef MAKEULONGLONG #define MAKEULONGLONG(ldw, hdw) ((ULONGLONG(hdw) << 32) | ((ldw) & 0xFFFFFFFF)) #endif #ifndef MAXULONGLONG #define MAXULONGLONG ((ULONGLONG)~((ULONGLONG)0)) ...
SYSTEM_PROCESS_INFORMATION SYSTEM_THREAD_INFORMATION
angbagangzhe065140的博客
08-28 485
typedef ULONG KPRIORITY; typedef struct _CLIENT_ID { HANDLE UniqueProcess; HANDLE UniqueThread; } CLIENT_ID, *PCLIENT_ID; typedef enum _KWAIT_REASON { Executive, FreePage, PageI...
内核级进程遍历
bcbobo21cn的专栏
01-22 328
内核级进程遍历
内核遍历进程中所有的线程
radicwei的专栏
08-09 3510
KPROCESS结构体中的_LIST_ENTRY 类型成员ThreadListHead将KTHREAD链接起来,通过遍历ThreadListHead获得每个线程指针. _KPROCESS 结构体的内容为: _KTHREAD 结构体的内容为:    如需判定线程是否可以插入一个APC(异步过程调用),可以检测_KTHREAD 结构体偏移量0x164的Alertable, Alerta
windows内核情景分析---进程线程
maomao171314的专栏
04-04 3303
本篇要讲述进程的启动过程、线程的调度与切换、进程挂靠 进程的启动过程: BOOL CreateProcess (   LPCTSTR lpApplicationName,                 //   LPTSTR lpCommandLine,                      // command line string   LPSECURITY_ATTRIBU
windows 进程线程讲解(1)
ylh的博客
10-12 989
什么是windows内核对象? 内核对象的创建及操作,进程线程与模块的遍历操作
程序防多开之一:进程数量检测
最新发布
RitMan的博客
12-11 1151
通过对系统内核函数的调用,实现对程序多开进行限制与检测.
NtQuerySystemInformation的不同参数的结构
做一个快乐学习者
05-27 1055
__kernel_entry NTSTATUS NtQuerySystemInformation( SYSTEM_INFORMATION_CLASS SystemInformationClass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG ReturnLength ); typed...
Windows C语言驱动遍历进程获取进程参数
05-30
要在Windows C语言驱动程序中遍历进程获取进程参数,可以使用以下步骤: 1. 获取当前进程的EPROCESS结构体指针,可以使用PsGetCurrentProcess函数。 2. 使用PsLookupProcessByProcessId函数遍历系统中所有的进程获取每个进程的EPROCESS结构体指针。 3. 遍历每个进程的双向链表来获取进程参数,可以使用以下代码: ``` PEB* peb = PsGetProcessPeb(Process); // 获取进程的PEB结构体指针 RTL_USER_PROCESS_PARAMETERS* params = peb->ProcessParameters; // 获取进程参数结构体指针 UNICODE_STRING imagePath = params->ImagePathName; // 获取进程的可执行文件路径 ``` 注意:在驱动程序中访问用户空间的数据需要使用特殊函数,如ProbeForRead和ProbeForWrite,以确保内存访问的安全性。此外,要在驱动程序中进行此类操作需要管理员权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值