遍历进程内存

最新推荐文章于 2024-05-14 12:53:43 发布
最新推荐文章于 2024-05-14 12:53:43 发布
阅读量994 收藏 2
点赞数
分类专栏: WIN32 文章标签: 反汇编 逆向 c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490873/article/details/121635096
版权 
// inject.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//
#include<Windows.h>
#include <iostream>

#define STATUS_UNSUCCESSFUL (0xc0000001)
#define STATUS_INFO_LENGTH_MISMATCH 0xc0000004
#define NT_SUCCESS(x) ((x) >= 0)

typedef struct _LSA_UNICODE_STRING {
	USHORT Length;
	USHORT MaximumLength;
	PWSTR Buffer;
} LSA_UNICODE_STRING, *PLSA_UNICODE_STRING, UNICODE_STRING, *PUNICODE_STRING;

typedef enum _PROCESSINFOCLASS
{
	ProcessBasicInformation,
	ProcessQuotaLimits,
	ProcessIoCounters,
	ProcessVmCounters,
	ProcessTimes,
	ProcessBasePriority,
	ProcessRaisePriority,
	ProcessDebugPort,
	ProcessExceptionPort,
	ProcessAccessToken,
	ProcessLdtInformation,
	ProcessLdtSize,
	ProcessDefaultHardErrorMode,
	ProcessIoPortHandlers,
	ProcessPooledUsageAndLimits,
	ProcessWorkingSetWatch,
	ProcessUserModeIOPL,
	ProcessEnableAlignmentFaultFixup,
	ProcessPriorityClass,
	ProcessWx86Information,
	ProcessHandleCount,
	ProcessAffinityMask,
	ProcessPriorityBoost,
	ProcessDeviceMap,
	ProcessSessionInformation,
	ProcessForegroundInformation,
	ProcessWow64Information,
	ProcessImageFileName,
	ProcessLUIDDeviceMapsEnabled,
	ProcessBreakOnTermination,
	ProcessDebugObjectHandle,
	ProcessDebugFlags,
	ProcessHandleTracing,
	ProcessIoPriority,
	ProcessExecuteFlags,
	ProcessTlsInformation,
	ProcessCookie,
	ProcessImageInformation,
	ProcessCycleTime,
	ProcessPagePriority,
	ProcessInstrumentationCallback,
	ProcessThreadStackAllocation,
	ProcessWorkingSetWatchEx,
	ProcessImageFileNameWin32,
	ProcessImageFileMapping,
	ProcessAffinityUpdateMode,
	ProcessMemoryAllocationMode,
	MaxProcessInfoClass
} PROCESSINFOCLASS;

typedef
NTSTATUS(WINAPI *NTQUERYINFORMATIONPROCESS)
(HANDLE           ProcessHandle,
	PROCESSINFOCLASS ProcessInformationClass,
	PVOID            ProcessInformation,
	ULONG            ProcessInformationLength,
	PULONG           ReturnLength);

typedef enum _MEMORY_INFORMATION_CLASS
{
	MemoryBasicInformation, // MEMORY_BASIC_INFORMATION
	MemoryWorkingSetInformation, // MEMORY_WORKING_SET_INFORMATION
	MemoryMappedFilenameInformation, // UNICODE_STRING
	MemoryRegionInformation, // MEMORY_REGION_INFORMATION
	MemoryWorkingSetExInformation, // MEMORY_WORKING_SET_EX_INFORMATION
	MemorySharedCommitInformation, // MEMORY_SHARED_COMMIT_INFORMATION
	MemoryImageInformation // MEMORY_IMAGE_INFORMATION
} MEMORY_INFORMATION_CLASS;


typedef NTSTATUS(NTAPI*NTQUERYVIRTUALMEMORY)
(
	_In_ HANDLE ProcessHandle,
	_In_ PVOID BaseAddress,
	_In_ MEMORY_INFORMATION_CLASS MemoryInformationClass,
	_Out_writes_bytes_(MemoryInformationLength) PVOID MemoryInformation,
	_In_ SIZE_T MemoryInformationLength,
	_Out_opt_ PSIZE_T ReturnLength
	);

NTSTATUS GetProcessMappedFileName(
	_In_ HANDLE ProcessHandle,
	_In_ PVOID BaseAddress,
	_Out_ PUNICODE_STRING* FileName
)
{
	NTSTATUS status = 0;
	PVOID buffer = NULL;
	SIZE_T bufferSize = 0x100;
	SIZE_T returnLength = 0;
	NTQUERYVIRTUALMEMORY  NtQueryVirtualMemory = NULL;
	do
	{
		HMODULE hModule = LoadLibrary(L"ntdll.dll");
		if (NULL == hModule)
		{
			break;
		}
		if (!NtQueryVirtualMemory)
		{
			NtQueryVirtualMemory = (NTQUERYVIRTUALMEMORY)GetProcAddress(hModule, "NtQueryVirtualMemory");

			if (NtQueryVirtualMemory == NULL)
			{
				break;
			}
		}

		buffer = malloc(bufferSize);

		if (NULL == buffer)
		{
			break;
		}
		ZeroMemory(buffer, bufferSize);


		status = NtQueryVirtualMemory(
			ProcessHandle,
			BaseAddress,
			MemoryMappedFilenameInformation,
			buffer,
			bufferSize,
			&returnLength
		);
		if (NT_SUCCESS(status))
		{
			*FileName = (PUNICODE_STRING)buffer;
		}

		//#define STATUS_BUFFER_OVERFLOW           ((NTSTATUS)0x80000005L)
		else if (status == (NTSTATUS)0x80000005L)
		{
			free(buffer);
			bufferSize = returnLength;
			buffer = malloc(bufferSize + 2);

			if (NULL == buffer)
			{
				break;
			}

			ZeroMemory(buffer, bufferSize);
			status = NtQueryVirtualMemory(
				ProcessHandle,
				BaseAddress,
				MemoryMappedFilenameInformation,
				buffer,
				bufferSize + 2,
				&returnLength
			);
			if (!NT_SUCCESS(status))
			{
				free(buffer);
				break;
			}
			*FileName = (PUNICODE_STRING)buffer;
		}

	} while (0);

	return status;
}

//\\Device\\HarddiskVolume1\x86.sys    c:\x86.sys    
BOOL DeviceDosPathToNtPath(wchar_t* pszDosPath, wchar_t* pszNtPath)
{
	static TCHAR    szDriveStr[MAX_PATH] = { 0 };
	static TCHAR    szDevName[MAX_PATH] = { 0 };
	TCHAR            szDrive[3];
	INT             cchDevName;
	INT             i;

	//检查参数  
	if (IsBadReadPtr(pszDosPath, 1) != 0)return FALSE;
	if (IsBadWritePtr(pszNtPath, 1) != 0)return FALSE;


	//获取本地磁盘字符串  
	ZeroMemory(szDriveStr, ARRAYSIZE(szDriveStr));
	ZeroMemory(szDevName, ARRAYSIZE(szDevName));
	if (GetLogicalDriveStrings(sizeof(szDriveStr), szDriveStr))
	{
		for (i = 0; szDriveStr[i]; i += 4)
		{
			if (!lstrcmpi(&(szDriveStr[i]), L"A:\\") || !lstrcmpi(&(szDriveStr[i]), L"B:\\"))
				continue;

			szDrive[0] = szDriveStr[i];
			szDrive[1] = szDriveStr[i + 1];
			szDrive[2] = '\0';
			if (!QueryDosDevice(szDrive, szDevName, MAX_PATH))//查询 Dos 设备名  
				return FALSE;

			cchDevName = lstrlen(szDevName);
			if (_wcsnicmp(pszDosPath, szDevName, cchDevName) == 0)//命中  
			{
				lstrcpy(pszNtPath, szDrive);//复制驱动器  
				lstrcat(pszNtPath, pszDosPath + cchDevName);//复制路径  

				return TRUE;
			}
		}
	}

	lstrcpy(pszNtPath, pszDosPath);
	return FALSE;
}

VOID Scan(DWORD ProcessId)
{

PVOID baseAddress;
MEMORY_BASIC_INFORMATION basicInfo;

HMODULE hModule = LoadLibrary(L"ntdll.dll");
if (NULL == hModule)
{
	return;
}

NTQUERYVIRTUALMEMORY NtQueryVirtualMemory = (NTQUERYVIRTUALMEMORY)GetProcAddress(hModule, "NtQueryVirtualMemory");

if (NULL == NtQueryVirtualMemory)
{
	
	return;
}

NTQUERYINFORMATIONPROCESS NtQueryInformationProcess = (NTQUERYINFORMATIONPROCESS)GetProcAddress(hModule, "NtQueryInformationProcess");
if (NULL == NtQueryInformationProcess)
{
	return;
}

baseAddress = (PVOID)0;

HANDLE processHandle = OpenProcess(PROCESS_ALL_ACCESS,FALSE,ProcessId);

if (NULL == processHandle)
{
	return;
}

while (NT_SUCCESS(NtQueryVirtualMemory(
	processHandle,
	baseAddress,
	MemoryBasicInformation,
	&basicInfo,
	sizeof(MEMORY_BASIC_INFORMATION),
	NULL
)))
{
	do
	{
		if ((basicInfo.State& MEM_FREE) == MEM_FREE )
		{
			break;
		}
		if (   (basicInfo.Protect&PAGE_READWRITE) != PAGE_READWRITE 
			&& (basicInfo.Protect& PAGE_EXECUTE_READWRITE)!= PAGE_EXECUTE_READWRITE
			&& (basicInfo.Protect&PAGE_EXECUTE_WRITECOPY)!= PAGE_EXECUTE_WRITECOPY)
		{
			break;
		}

		PUNICODE_STRING fileName = NULL;
		//是否是DLL内存
		if (NT_SUCCESS(GetProcessMappedFileName(processHandle, baseAddress, &fileName)))
		{

			char *ntPath = NULL;
			WCHAR dosPath[MAX_PATH] = { 0 };

			if (DeviceDosPathToNtPath(fileName->Buffer, dosPath))
			{
				printf("%S\n", dosPath);
			}

			if (ntPath)
			{
				free(ntPath);
				ntPath = NULL;
			}

		}
		//do something

	} while (0);

	baseAddress = (PVOID)((ULONG_PTR)baseAddress + basicInfo.RegionSize);
}

if (processHandle)
{
	CloseHandle(processHandle);
	processHandle = NULL;
}
return;
}

int main()
{
	Scan(20416);
	system("pause");
	return 0;
}
qq_857305819
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
遍历当前进程所有内存列表[HeapAlloc|GlobalAlloc]
fenqingfj的专栏
04-01 2397
#include #include int _tmain(int argc, _TCHAR* argv[]) { HANDLE hPool = HeapCreate(NULL,NULL,NULL); srand(GetTickCount()); LPVOID hMem = NULL; SIZE_T hSize = 0; for (int
C/C++ 遍历进程内存
热门推荐
CSDN
07-16 1万+
它使用了Windows API函数来遍历指定进程的所有内存块,并输出每个内存块的相关信息。该代码可以帮助了解目标进程内存布局,以及各个内存块的属性。的函数,用于枚举指定进程的所有内存块。该代码使用Windows API函数实现了遍历指定进程内存块的功能,并输出了每个内存块的地址、大小和保护属性等信息。使用循环遍历内存块的向量,并输出每个内存块的相关信息,包括基地址、分配基地址、内存块大小、内存块状态、内存保护属性等。在主函数中,创建了一个进程快照句柄,用于获取当前系统中的进程信息。
记录一次鹅厂反作弊绕过之利用回调完成异常派遣的提前接收
最新发布
qq_41709308的博客
05-14 1281
鹅厂反作弊绕过之利用InstrumentationCallback回调完成异常派遣的提前接收
遍历一个用户进程中的所有VMA内存(arm)
weixin_34413065的博客
04-28 547
源码:https://github.com/figozhang/runninglinuxkernel_4.0/tree/rlk_basic/rlk_lab/rlk_basic/chapter_7_mm/lab5_vma 转载于:https://blog.51cto.com/haidragon/2386348
windows进程内存列表遍历
gaojunhuiwww的专栏
12-19 1052
正如官网所说,HeapWalk性能远高于快照中的Heap32Next接口,实际测试第二种方式也非常拉跨。使用HeapWalk函数行走堆的大小大致是线性的,而使用Heap32Next函数遍走堆的大小大致为二次。即使对于具有 10,000 个分配的适度堆,HeapWalk的运行速度也比Heap32Next快 10,000 倍,同时提供更详细的信息。随着堆大小的增加,性能差异变得更加明显。遍历堆列表 - Win32 apps | Microsoft Learnt=N7T8t=N7T8t=N7T8t=N7T8。
Windows内核驱动EPROCESS遍历进程模块
12-14
"EPROCESS遍历进程模块"这个主题涉及到的是如何在内核驱动中获取并遍历当前系统中所有进程的加载模块信息。EPROCESS结构体在Windows内核中代表一个进程,而模块则是进程执行时加载的动态链接库(DLL)或其他可执行...
易语言遍历进程模块
07-15
在易语言中,遍历进程模块是一个常见的任务,这涉及到操作系统管理和进程控制的基础知识。 首先,我们要了解什么是进程进程模块。在计算机系统中,进程是程序的执行实例,它包含程序、数据、资源以及执行状态等...
另类遍历进程代码
09-08
"另类遍历进程代码"提供了一种特殊的方法来遍历系统中的所有运行进程,这种技术可能有助于绕过某些软件的检测机制。下面将详细介绍这个知识点。 在Windows操作系统中,通常有几种方法来枚举或获取当前系统上的进程...
C#遍历系统进程的方法
09-03
2. **遍历进程**: 可以通过`foreach`循环遍历这个数组,访问每个进程对象,并获取其属性。例如,可以将进程名称添加到列表框(`listBox1`)中供用户查看: ```csharp foreach (Process MyProcess in ...
易语言遍历进程模块源码-易语言
06-13
在易语言中,遍历进程模块是一项基础但重要的技术,它涉及到操作系统层面的进程管理和信息获取。在这个场景下,"易语言遍历进程模块源码"指的是使用易语言编写的一段程序,该程序能够列举并获取当前系统中运行的所有...
一款很强的 超级 内存遍历工具
01-18
做外挂就一定要遍历内存, 这个工具就帮助你这个,需要的来拿。。
ProcessInfo
05-18
一个查看系统中进程详细信息的小工具,对于查看进程的详细信息很有帮助
99.遍历进程并直接写入内存
weixin_30539835的博客
02-27 66
包含头文件 1 //进程快照 2 #include<TlHelp32.h> 进程名 1 //进程名 2 #define exename "PlantsVsZombies.exe" 创建进程快照 1 HANDLE hpro=NULL; 2 3 //存储进程快照信息 4 PROCESSENTRY32...
64位系统下进程内存布局
lwoyvye
12-01 8579
环境 操作系统:ubuntu15.04 物理内存:4G 测试程序 #include<stdio.h> #include<stdlib.h>int a; int b=1;main() { int n = 0; char *p1 = NULL; char *p2 = NULL; const int s = 10; p1 = (char*)malloc(200
遍历进程Heap
Tommy(凌飞)的专栏
02-25 3159
Windows Heap管理是细粒度的内存管理方式。这样做可以降低内存碎片,提高内存的利用率。每个进程在启动之初都会有一个默认的Heap,这个我们可以通过GetProcessHeap()返回Heap的句柄,其实这个句柄就是一款buffer。之后进行内存申请都是在这个上面进行的。具体的Heap的结构不怎么了解,初步的heap管理在win 95系统设计揭秘中介绍。这里就不详述了。      这里需要介绍一些API,这些API用于遍历每个进程的Heap相关信息。      _heapwalk()//c 中的本进程
枚举进程内存
zzz3265的专栏
11-10 3673
#include "ProcMemInfo.h" #include "../NSimple.h" #include CProcMemInfo::CProcMemInfo() { Init(); } CProcMemInfo::~CProcMemInfo() { } BOOL CProcMemInfo::Init() { m_pMinAddr = NSys::GetSystemInfo()->lpMinimumApplicationAddress;
C语言内存遍历程序,C语言 内存分配器实现(malloc,free,realloc)
weixin_39927144的博客
05-17 405
1.[代码][C/C++]代码#include #include /**原理:1.通过sbrk(int size) 使break指针前移来增加内存,brk()设置break指针来释放内存2.把分配的内存抽象为一个block3.block之间通过链表来管理4.分配时,sbrk(0) 获取block起始地址*//**需求1.内存以8字节对齐2.以经分配的内存块用链表来管理4.相邻的空闲块进行合并1.m...
C/C++ 扫描特定进程内存状态
m0_46135508的博客
09-03 892
C/C++ 扫描特定进程内存状态 扫描内存分页情况: #include <iostream> #include <windows.h> VOID ScanMemory(HANDLE hProc) { SIZE_T stSize = 0; PBYTE pAddress = (PBYTE)0; SYSTEM_INFO sysinfo; MEMORY_BASIC_INFORMATION mbi = { 0 }; //获取页的大小 ZeroMemory(&sysinf
Windows C语言驱动遍历进程获取进程参数
05-30
要在Windows C语言驱动程序中遍历进程并获取进程参数,可以使用以下步骤: 1. 获取当前进程的EPROCESS结构体指针,可以使用PsGetCurrentProcess函数。 2. 使用PsLookupProcessByProcessId函数遍历系统中所有的进程并获取每个进程的EPROCESS结构体指针。 3. 遍历每个进程的双向链表来获取进程参数,可以使用以下代码: ``` PEB* peb = PsGetProcessPeb(Process); // 获取进程的PEB结构体指针 RTL_USER_PROCESS_PARAMETERS* params = peb->ProcessParameters; // 获取进程参数结构体指针 UNICODE_STRING imagePath = params->ImagePathName; // 获取进程的可执行文件路径 ``` 注意:在驱动程序中访问用户空间的数据需要使用特殊函数,如ProbeForRead和ProbeForWrite,以确保内存访问的安全性。此外,要在驱动程序中进行此类操作需要管理员权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值