Process Explorer&函数调用方式

最新推荐文章于 2023-09-12 14:16:01 发布
最新推荐文章于 2023-09-12 14:16:01 发布
阅读量391 收藏
点赞数 1
分类专栏: 逆向 文章标签: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39249347/article/details/107905060
版权

Process Explorer

在这里插入图片描述

  1. Process Explorer是Windows操作系统下最优秀的进程管理工具,画面左上侧Parent/Child树结构显示当前运行的进程,右侧显示个进程的PID、CPU占有率、注册信息等,画面下方显示的是加载到所选进程的DLL信息,或者当前选中进程的所有对象句柄。
  2. 优点:
  • Parent/Child进程树结构。
  • 以不同颜色显示进程运行/终止。
  • 进程的Suspend/Resume功能。
  • 进程终止功能。
  • 检索DLL/Handle。

函数调用约定

  1. 栈就是定义在进程中的一段内存空间,向低地址方向拓展,且其大小被记录在PE头中,也就说,进程运行时确定栈内存的大小。
  2. cdecl
  • cdecl是主要在C语言中使用的方式,调用者负责处理栈。
#include "stdio.h"
int add(int a,int b)
{
	return (a+b);
}
int main(int argc,char* argv[])
{
	return add(1,2);
}

在这里插入图片描述

  • add()函数的参数1、2以逆序方式压入栈,调用add()函数(401000)后,使用ADD ESP,8命令整理栈,调用者main函数直接清理压入栈的函数参数,这样的方式即使cdecl。
  1. stdcall
  • stdcall方式常用于Win32 API,该方式由被调用者清理栈,C语言默认的函数调用方式为cdecl,若想使用stdcall方式编译源码,只要使用_stdcall关键字即可。
#include "stdio.h"
int _stdcall add(int a,int b)
{
	return (a+b);
}
int main(int argc, char* argv[])
{
	return add(1,2);
}

在这里插入图片描述

  • main函数在调用add函数后,省略了清理栈的代码,栈的清理工作由add函数中最后的RETN 8命令来执行,RETN 8命令的含义为RETN + POP 8字节,即返回后使ESP向上移动8字节。
  1. fastcall
  • fastcall方式与stdcall方式基本类似,但该方式通常会使用寄存器去传递那些需要传递函数的部分参数(前2个),若某函数有4个参数,则前2个参数分别使用ECX、EDX寄存器传递。
  • fastcall方式的优势在于可以实现对函数的快速调用,因为寄存器要远比访问内存的速度快的多。
云袖er
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
开源的processexplorer
06-18
开源的processexplorer,这个是二进制文件。
Process Explorer
weixin_34185512的博客
11-23 199
https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer Ever wondered which program has a particular file or directory open? Now you can find out. Process Explorer shows you informa...
任务管理器,源代码,类似于ProcessExplorer,使用Native API:NtQuerySystemInformation
01-03
环境:XP+VS2008 功能:类似于ProcessExplorer,有些没有实现。实现的功能有如下: 1.进程列表:包括进程的各种信息,如线程个数、CPU占用率、内存使用大小、进程优先级、exe文件信息…… 2.系统信息:如CPU曲线、内存曲线、PF曲线…… 3.DLL列表 4.句柄列表(有错误) 5.用户空间情况 6.设置进程优先级
ProcessExplorer_ProcessExplorer_composed69a_zip_
10-03
Revisar proceso de Windows
PROCESS EXPLORER
06-26
此工具用来查看程序依赖dll非常好用,比depends功能强大多了,不止这点,他还能起到监控作用,谁用谁知道。
网页采用命令行方式调用exe
06-02
网页采用命令行方式调用EXE是一种常见的技术实践,它允许网页应用与本地系统进行交互,执行特定的任务或调用特定的功能。这种技术通常涉及到JavaScript(JS)在浏览器环境中通过ActiveXObject或者Node.js的child_...
Process-Explorer:面向学生的 WinAPI (PInvoke) 示例项目
06-17
3. `Source` 或 `Code` 文件夹:存放 C# 源代码,如 `Program.cs` 和 `ProcessExplorer.cs`,分别对应主程序入口和进程浏览器类。 4. `Resources` 文件夹:可能包含图标、图片等资源文件。 5. `DLL` 或 `References`...
Mini Process explorer source code
03-21
《Mini Process Explorer源码解析与应用》 "Mini Process Explorer source code"是一个关于系统进程管理的开源项目,它展示了如何在VC6环境下使用DDK(Driver Development Kit)开发工具,来实现查看并操作其他进程...
网页调用OCX 和 调用OCX的接口函数
11-11
假设OCX有一个名为`ExecuteProcess`的接口函数,可以这样调用: ```javascript var ocx = document.getElementById('myOCX'); if (ocx) { ocx.ExecuteProcess('参数'); } ``` 这里的`ExecuteProcess`是OCX控件提供...
c#通过进程调用cmd判断登录用户权限代码分享
09-04
- `UseShellExecute` 设置为 `false`,表示不使用外壳程序(如Windows Explorer)来启动进程,而是直接启动。 - `RedirectStandardInput`、`RedirectStandardOutput` 和 `RedirectStandardError` 分别设置为 `true...
linux process explorer-开源
04-26
该项目在github上继续进行,请参阅https://github.com/wolfc01/procexp/blob/master/README.md用于Linux的图形化过程浏览器。 显示过程信息:过程树,TCP IP连接和过程的图形性能数字。 旨在模仿sysinternals的Windows procexp,并旨在比top和ps更有用,尤其是对于高级用户而言。 该工具的受众:*高级系统管理员试图在过程级别分析生产服务器中发生的情况; *软件开发人员分析其过程的波谷:例如TCP吞吐量,内存使用率,内存泄漏; 最高级的功能是针对每个SINGLE进程(实际连接和吞吐量)监视TCP / IP流量数字。 据了解,没有其他工具具有此功能。 在进程树中,使用鼠标右键监视进程详细信息。
process explorer监视windows api调用_使用Frida对Windows平台的程序进行逆向分析
weixin_28750379的博客
01-19 891
Frida由于使用JavaScript语言安装钩子的便利性而在最近变得越来越流行。我看到许多研究都将Frida用于移动平台,但最近Windows似乎在使用方面有了更多的吸引力。在DarunGrim,我们正在研究安全研究人员可以用于日常工作的新方法。Frida是我们认为可用于Windows逆向工程的工具之一。但是,在我们的测试过程中,我们发现符号查找功能是该工具广泛使用的限制因素。我们进行...
[转]ProcessExplorer使用分享
qingmoshu的专栏
06-22 436
ProcessExplorer使用分享http://www.cnblogs.com/idbeta/p/4991080.html
使用Process Explorer查看线程的函数调用堆栈去排查程序高CPU占用问题
热门推荐
dvlinker的技术专栏
09-12 1万+
详细讲述如何使用Process Explorer查看线程的函数调用堆栈去排查程序高CPU占用问题。
使用Process Explorer工具分析Visual Studio 2013编译和调试产生的进程
$firecat利白的代码足迹$
04-25 751
1、Process ExplorerProcess Monitor软件下载 https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer https://docs.microsoft.com/zh-cn/sysinternals/downloads/procmon 下载完,打开Process Explore...
记录几款开发客户端常用的工具(Process Monitor & Process Explorer )
sd2131512的专栏
08-23 2842
Tools such as ProcessExplorer, Spy++/Winspector Spy, Inspect32, and FileMon may be of use when debugging different parts of Chromium.
易语言 关闭 processexplorer
最新发布
12-28
要关闭易语言中的processexplorer,可以通过编写以下代码实现: ```yilu // 获取系统当前管 han1 = Call("kernel32.dll", "OpenProcess", 1, 0, GetCurrentProcessId()) // 获取进程全路径名 Call("kernel32.dll", ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值