遍历进程内存

最新推荐文章于 2023-12-19 00:22:26 发布
最新推荐文章于 2023-12-19 00:22:26 发布
阅读量361 收藏 1
点赞数
分类专栏: # 进程和线程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490873/article/details/118696024
版权 
#include<windows.h>
#include<stdio.h>
#define NT_SUCCESS(Status) (((NTSTATUS)(Status)) >= 0)
// private
typedef enum _MEMORY_INFORMATION_CLASS
{
	MemoryBasicInformation, // MEMORY_BASIC_INFORMATION
	MemoryWorkingSetInformation, // MEMORY_WORKING_SET_INFORMATION
	MemoryMappedFilenameInformation, // UNICODE_STRING
	MemoryRegionInformation, // MEMORY_REGION_INFORMATION
	MemoryWorkingSetExInformation, // MEMORY_WORKING_SET_EX_INFORMATION
	MemorySharedCommitInformation, // MEMORY_SHARED_COMMIT_INFORMATION
	MemoryImageInformation // MEMORY_IMAGE_INFORMATION
} MEMORY_INFORMATION_CLASS;

typedef
NTSTATUS

    (NTAPI*NTQUERYVIRTUALMEMORY) (
	_In_ HANDLE ProcessHandle,
	_In_ PVOID BaseAddress,
	_In_ MEMORY_INFORMATION_CLASS MemoryInformationClass,
	_Out_writes_bytes_(MemoryInformationLength) PVOID MemoryInformation,
	_In_ SIZE_T MemoryInformationLength,
	_Out_opt_ PSIZE_T ReturnLength
);

NTQUERYVIRTUALMEMORY NtQueryVirtualMemory = NULL;
int main()
{


	BOOLEAN querySucceeded;
	PVOID64 baseAddress;
	MEMORY_BASIC_INFORMATION basicInfo;

	HMODULE hModule = LoadLibrary(L"ntdll.dll");
	NtQueryVirtualMemory = (NTQUERYVIRTUALMEMORY)GetProcAddress(hModule, "NtQueryVirtualMemory");
	FreeLibrary(hModule);
	baseAddress = (PVOID)0;

	HANDLE processHandle = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ,0,4588);
	if (NULL== processHandle)
	{
		processHandle = OpenProcess(PROCESS_QUERY_INFORMATION, 0, 4588);
		if (NULL == processHandle)
		{
			return -1;
		}

	}

	while (NT_SUCCESS(NtQueryVirtualMemory(
		processHandle,
		baseAddress,
		MemoryBasicInformation,
		&basicInfo,
		sizeof(MEMORY_BASIC_INFORMATION),
		NULL
	)))
	{
		do
		{
			if ((basicInfo.State& MEM_FREE) == MEM_FREE)
			{
				break;
			}
			printf("base addr :%I64x  RegionSize: %x", baseAddress, basicInfo.RegionSize);

			if ((ULONG)baseAddress==0x60000)
			{
				DebugBreak();
			}

			if ((basicInfo.AllocationProtect&PAGE_EXECUTE_WRITECOPY) == PAGE_EXECUTE_WRITECOPY)
			{
				printf(" PAGE_EXECUTE_WRITECOPY ");
			}
			if ((basicInfo.AllocationProtect&PAGE_NOACCESS) == PAGE_NOACCESS)
			{
				printf(" PAGE_NOACCESS ");
			}

			if ((basicInfo.AllocationProtect&PAGE_EXECUTE) == PAGE_EXECUTE)
			{
				printf(" PAGE_EXECUTE  ");
			}

			if ((basicInfo.AllocationProtect&PAGE_READONLY) == PAGE_READONLY)
			{
				printf(" PAGE_READONLY  ");
			}

			if ((basicInfo.AllocationProtect&PAGE_READWRITE) == PAGE_READWRITE)
			{
				printf(" PAGE_READWRITE  ");
			}

			if ((basicInfo.AllocationProtect&PAGE_NOACCESS) == PAGE_NOACCESS)
			{
				printf(" PAGE_NOACCESS ");
			}


			if ((basicInfo.State& MEM_COMMIT) == MEM_COMMIT)
			{
				printf(" MEM_COMMIT ");
			}

			if ((basicInfo.State& MEM_RESERVE) == MEM_RESERVE)
			{
				printf(" MEM_RESERVE  ");
			}


			

			if ((basicInfo.Type& MEM_PRIVATE) == MEM_PRIVATE)
			{
				printf(" MEM_PRIVATE ");
			}

			if ((basicInfo.Type& MEM_MAPPED) == MEM_MAPPED)
			{
				printf(" MEM_MAPPED ");

			}

			if ((basicInfo.Type& MEM_MAPPED) == MEM_MAPPED)
			{
				printf(" MEM_IMAGE  ");
			}

			printf("\n\n");
		} while (0);
		
		baseAddress = (PVOID64)((ULONG64)baseAddress+ basicInfo.RegionSize);
	}
		getchar();
		return 0;
}
qq_857305819
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
遍历当前进程所有内存列表[HeapAlloc|GlobalAlloc]
fenqingfj的专栏
04-01 2401
#include #include int _tmain(int argc, _TCHAR* argv[]) { HANDLE hPool = HeapCreate(NULL,NULL,NULL); srand(GetTickCount()); LPVOID hMem = NULL; SIZE_T hSize = 0; for (int
Windows内核驱动EPROCESS遍历进程模块
12-14
"EPROCESS遍历进程模块"这个主题涉及到的是如何在内核驱动中获取并遍历当前系统中所有进程的加载模块信息。EPROCESS结构体在Windows内核中代表一个进程,而模块则是进程执行时加载的动态链接库(DLL)或其他可执行...
由枚举模块到ring0内存结构 (分析NtQueryVirtualMemory)
weixin_30667649的博客
07-23 732
是由获得进程模块而引发的一系列的问题,首先,在ring3层下枚举进程模块有ToolHelp,Psapi,还可以通过在ntdll中获得ZwQuerySystemInformation的函数地址来枚举,其中ZwQueryInformationProcess相当于是调用系统服务函数,其内部实现就是遍历PEB中的Moudle链表, kd> dt _PEB +0x00c Ldr...
C/C++ 遍历进程内存
热门推荐
CSDN
07-16 1万+
它使用了Windows API函数来遍历指定进程的所有内存块,并输出每个内存块的相关信息。该代码可以帮助了解目标进程内存布局,以及各个内存块的属性。的函数,用于枚举指定进程的所有内存块。该代码使用Windows API函数实现了遍历指定进程内存块的功能,并输出了每个内存块的地址、大小和保护属性等信息。使用循环遍历内存块的向量,并输出每个内存块的相关信息,包括基地址、分配基地址、内存块大小、内存块状态、内存保护属性等。在主函数中,创建了一个进程快照句柄,用于获取当前系统中的进程信息。
windows进程内存列表遍历
最新发布
gaojunhuiwww的专栏
12-19 1068
正如官网所说,HeapWalk性能远高于快照中的Heap32Next接口,实际测试第二种方式也非常拉跨。使用HeapWalk函数行走堆的大小大致是线性的,而使用Heap32Next函数遍走堆的大小大致为二次。即使对于具有 10,000 个分配的适度堆,HeapWalk的运行速度也比Heap32Next快 10,000 倍,同时提供更详细的信息。随着堆大小的增加,性能差异变得更加明显。遍历堆列表 - Win32 apps | Microsoft Learnt=N7T8t=N7T8t=N7T8t=N7T8。
C++ 遍历进程内存
LYSM
09-26 2432
期待的效果就像 PCHuntor 里的那样,如下: 那就开始咯 —— ???? // Test_Console.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <Windows.h> #include <vector> #include <iostream> #include <assert.h&g...
易语言遍历进程模块
07-15
在易语言中,遍历进程模块是一个常见的任务,这涉及到操作系统管理和进程控制的基础知识。 首先,我们要了解什么是进程进程模块。在计算机系统中,进程是程序的执行实例,它包含程序、数据、资源以及执行状态等...
另类遍历进程代码
09-08
"另类遍历进程代码"提供了一种特殊的方法来遍历系统中的所有运行进程,这种技术可能有助于绕过某些软件的检测机制。下面将详细介绍这个知识点。 在Windows操作系统中,通常有几种方法来枚举或获取当前系统上的进程...
C#遍历系统进程的方法
09-03
2. **遍历进程**: 可以通过`foreach`循环遍历这个数组,访问每个进程对象,并获取其属性。例如,可以将进程名称添加到列表框(`listBox1`)中供用户查看: ```csharp foreach (Process MyProcess in ...
用C遍历内存
01-05
闲来无事想写个,,遍历内存的代码,本来想着用指向指针的指针通过改变二级指针的大小来遍历,但没考虑到内存保护机制,出现段错误,于是在网上搜索了一番,然后经过自己的加工得到……
超好用内存遍历工具..
09-14
这个不多说,内存遍历,我本来用来查游戏内在的。用过就知道了
一款很强的 超级 内存遍历工具
01-18
做外挂就一定要遍历内存, 这个工具就帮助你这个,需要的来拿。。
超好的内存遍历工具
12-23
ZKEX,多级偏移遍历,速度超快,比龙龙好很多,龙龙只有2级.
易语言遍历进程模块源码-易语言
06-13
在易语言中,遍历进程模块是一项基础但重要的技术,它涉及到操作系统层面的进程管理和信息获取。在这个场景下,"易语言遍历进程模块源码"指的是使用易语言编写的一段程序,该程序能够列举并获取当前系统中运行的所有...
内存快速遍历(查找不断变小的数值)
weixin_39518639的博客
05-23 525
#define _CRT_SECURE_NO_WARNINGS #include <windows.h> #include <stdio.h> #include <thread> #include<stdlib.h> #include<String.h> #include<time.h> #include<time.h> #include<math.h> #include<iostream> #inc
遍历进程Heap
Tommy(凌飞)的专栏
02-25 3171
Windows Heap管理是细粒度的内存管理方式。这样做可以降低内存碎片,提高内存的利用率。每个进程在启动之初都会有一个默认的Heap,这个我们可以通过GetProcessHeap()返回Heap的句柄,其实这个句柄就是一款buffer。之后进行内存申请都是在这个上面进行的。具体的Heap的结构不怎么了解,初步的heap管理在win 95系统设计揭秘中介绍。这里就不详述了。      这里需要介绍一些API,这些API用于遍历每个进程的Heap相关信息。      _heapwalk()//c 中的本进程
[笔记]Windows核心编程《番外篇》常用的NT API及使用示例
二次元怪兽的博客
05-19 1401
文章目录前言NtQueryInformationProcess函数原型附录用例总结 前言 NTAPI:泛指ntdll.dll模块不对外提供的API接口 一般通过动态载入库的方式(LoadLibrary + GetProcAddress)调用 NtQueryInformationProcess NtQueryInformationProcess NtQueryInformationProcess用法 函数原型 NTSYSCALLAPI NTSTATUS NTAPI NtQueryInformationPro
Private WS
Lycorisradiata
04-18 705
Private WSPrivate WS,专用工作集,即任务管理器默认显示的内存大小,微软并没有给出API来获取这个值,直到我阅读了Process Hacker的源码。向作者致敬,开源如此优秀的作品。Process Hacker链接:Process Hacker数据类型typedef struct _MEMORY_WORKING_SET_BLOCK { ULONG_PTR Protectio
Windows C语言驱动遍历进程获取进程参数
05-30
要在Windows C语言驱动程序中遍历进程并获取进程参数,可以使用以下步骤: 1. 获取当前进程的EPROCESS结构体指针,可以使用PsGetCurrentProcess函数。 2. 使用PsLookupProcessByProcessId函数遍历系统中所有的进程并获取每个进程的EPROCESS结构体指针。 3. 遍历每个进程的双向链表来获取进程参数,可以使用以下代码: ``` PEB* peb = PsGetProcessPeb(Process); // 获取进程的PEB结构体指针 RTL_USER_PROCESS_PARAMETERS* params = peb->ProcessParameters; // 获取进程参数结构体指针 UNICODE_STRING imagePath = params->ImagePathName; // 获取进程的可执行文件路径 ``` 注意:在驱动程序中访问用户空间的数据需要使用特殊函数,如ProbeForRead和ProbeForWrite,以确保内存访问的安全性。此外,要在驱动程序中进行此类操作需要管理员权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值