Ring 3层枚举进程的四种方法

最新推荐文章于 2021-07-13 16:05:55 发布
最新推荐文章于 2021-07-13 16:05:55 发布
阅读量6.4k 收藏 2
点赞数 2
分类专栏: c/c++ windows编程 文章标签: Windows枚举进程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_34260423/article/details/54236801
版权
本文详细介绍了在Windows环境下枚举进程的四种方法:1) 使用CreateToolhelp32Snapshot();2) 利用EnumProcesses();3) 通过WTSEnumerateProcesses();4) 通过ZwQuerySystemInformation()。每种方法都提供了相应的C++代码示例,展示了如何获取和打印进程ID及名称。
摘要由CSDN通过智能技术生成
1.CreateToolhelp32Snapshot()。这一种是比较常见的,利用进程快照进行枚举进程,主要利用CreateToolhelp32Snapshot()、Process32First()和 Process32Next()三个函数。下面直接上代码: 
// CreateToolhelp32Snapshot.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <Windows.h>
#include <tlhelp32.h>

int main()
{
	//创建快照句柄,CreateToolhelp32Snapshot()函数返回当前运行的进程快照句柄
	HANDLE ToolHelpHandle = NULL;

	//PROCESSENTRY32结构体记录当前进程的一些信息,其中dwSize必须指定大小,大小为当前结构体大小
	PROCESSENTRY32 ProcessEntry32 = { 0 };
	ProcessEntry32.dwSize = sizeof(PROCESSENTRY32);
	
	ToolHelpHandle = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	if (ToolHelpHandle == INVALID_HANDLE_VALUE)
	{
		return FALSE;
	}
	
	BOOL bOk = Process32First(ToolHelpHandle, &ProcessEntry32);
	while (bOk)
	{
		printf("PID:\t0x%X,", ProcessEntry32.th32ProcessID);
		printf("\tName:\t%S\r\n", ProcessEntry32.szExeFile);
		bOk = Process32Next(ToolHelpHandle, &ProcessEntry32);
	}

	CloseHandle(ToolHelpHandle);
	ToolHelpHandle = INVALID_HANDLE_VALUE;
    return 0;
}
2.EnumProcesses()。利用Psapi下EnumProcesses()函数进行枚举进程,该方法有可能得不到某些进程的名称,下面是代码: 
#include "stdafx.h"
#include <Windows.h>
#include <Psapi.h>

#define MAXPROCESSES 1024

void PrintProcessNameAndID(DWORD ProcessID);
int main()
{
	// 定义参数,EnumProcesses有三参数,接收进程标示符的数组,数组大小,数组返回字节数(真实接收数组的大小)

	DWORD Processes[MAXPROCESSES], Size, ProcessesNumber;

	if (!EnumProcesses(Processes, sizeof(Processes), &Size))
	{
		return 1;
	}


	//计算进程总数

	ProcessesNumber = Size / sizeof(DWORD);

	//打印各个进程

	for (int i = 0; i < ProcessesNumber; i++)
	{
		if (Processes[i] !=
最低0.47元/天 解锁文章
ToringZZZ
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JavaDay16:枚举,Properties,三架构
m0_49553291的博客
08-10 305
枚举,Properties,三架构枚举定义固定数量的对象枚举的定义switch caseProperties读取properties内容写Properties内容案例三架构 枚举 定义固定数量的对象 public class TraLightColor { public static TraLightColor red = new TraLightColor(); public static TraLightColor green = new TraLightColor(); public st
ZwQuerySystemInformation函数学习
最新发布
bcbobo21cn的专栏
06-17 69
Windows任务管理器枚举进程信息是通过NtQuerySystemInformation函数,NtQuerySystemInformation又通过ZwQuerySystemInformation
【漏洞通告】Windows 内核信息泄漏漏洞CVE-2021-31955
爱国小白帽
06-29 2719
漏洞名称 : Windows 内核信息泄漏漏洞 组件名称 : Windows 影响范围 : Windows 10 21h1/20h2/1809/1909/2004 Windows Server 2016 20h2/2004 Windows Server 2019 漏洞类型 : 信息泄漏 利用条件 : 1、用户认证:不需要用户认证 2、触发方式:远程 综合评价 : 1、用户认证:不需要用户认证 2、触发方式:本地 漏洞分析 1 组件****介绍 Microsoft Windows操作系统是美国微软公司研发的一
R3下,遍历所有进程的伪句柄表,关闭指定句柄
被遗弃的庸才博客
10-20 1566
之所以产生这个想法,是在删除文件的时候有时会提示文件被占用了,然后让我们先关闭之后在来删除,但是我怎么知道哪个进程打开了我的文件? 于是就去网上了找了一份代码然后改了改,接着来说说是怎么实现功能的。首先我们需要遍历所有的进程,所有要找到遍历进程的代码。 //遍历进程 WCHAR * szServerName = NULL; HANDLE WtsServerHandle = WTSOp...
利用服务枚举进程
weixin_30763397的博客
09-11 149
枚举进程方法有许多,简单说一下它们的优缺点。 1.利用CreateToolhelp32Snapshot来枚举,这是最常用,也最简单的方法了,不用多说。 2.利用ZwQuerySystemInformation从ntdll.dll中获取,需要定义结构体SYSTEM_PROCESS_INFORMATION,还有对应的函数指针,但是要注意一点,申请内存之后,要判断ZwQuerySystemInfo...
ring0驱动上实现 隐藏进程(无进程 无端口 无服务)的简单demo.zip
01-24
在IT领域,尤其是在系统安全和恶意软件分析中,"ring0驱动上实现隐藏进程"是一种高级技术,它涉及到操作系统内核级别的编程。Ring0是CPU执行级别中的最高权限级别,通常只允许操作系统核心和设备驱动程序访问。...
ring3代码可靠地枚举Windows进程.pdf
03-24
2. **ToolHelp32**: ToolHelp32库提供了另一种枚举进程方法,主要包括`Process32First()`和`Process32Next()`这两个函数。它们能够帮助我们获取进程列表,并迭代获取每个进程的信息。 3. **...
ring0驱动级 隐藏进程 的源代码_在驱动通过替换ssdt地址表中的api函数来隐藏进程
01-25
当用户模式的应用程序调用系统服务,如创建或枚举进程时,这些调用会通过SSDT映射到相应的内核模式函数。因此,通过修改SSDT,我们可以替换或hook这些函数,从而改变其行为。 在隐藏进程的具体操作中,我们需要关注...
使用WTSEnumerateProcesses枚举进程--Ring3枚举进程
KOOKNUT的博客
05-09 1123
接下来介绍的这种枚举当前系统进程方法是通过wtsapi32.dll提供的API来实现。主要用到了以下两个函数: WTSOpenServerA WTSEnumerateProcessesA 我们来简单介绍一下这两个函数: /*************************************** *WTSOpenServer函数打开指定终端服务器的句柄 *pServerName:指向终端服务器的NetBIOS名称的指针。 **************************************
R3任务管理器隐藏C++源代码
03-15
摘要:VC/C++源码,系统相关,任务管理器  R3任务管理器隐藏,Ring3隐藏进程 稳定可靠的VC++代码。注:本程序需要在命令提示符环境下运行,在开始运行中打开命令提示符,然后拖动本EXE程序到命令提示符窗口中即可,之前需要先打开进程管理器。
PHP影视源码最终版
09-14
PHP影视源码最终版,pc+移动+采集 强大的后台功能,支持一件采集
c语言获取进程 所属用户名,获取进程所属用户名
weixin_42501077的博客
05-23 921
引用库#include #pragma comment( lib, "Wtsapi32.lib" )直接给出遍历函数void EnumProcessUserName(){DWORDdwCount= 0;PWTS_PROCESS_INFOpi= { 0 };inti= 0;DWORDdwSize= 0;charusername[128]= { 0 };SID_NAME_USEnameuse= Sid...
几种获取进程列表的方法
张兆春的博客
07-18 4045
1.CreateToolhelp32Snapshot法: // ////////////////////////////////////////////////////////////////////////// // // CreateToolhelp32Snapshot 法            #include // /////////////////
Ring3 下隐藏进程
10-10 2509
library nthide;usesWindows,ImageHlp,TlHelp32;type SYSTEM_INFORMATION_CLASS = (SystemBasicInformation,SystemProcessorInformation,SystemPerformanceInformation,SystemTimeOfDayInformation,SystemNotImpleme
进程枚举
CButtonST的专栏
08-16 770
各种进程枚举方法 方法一:使用工具库(Tool Help Library)函数 这是一种历史最悠久、也是最基本的方法(从Windows 95开始就支持这种方法)。这些API函数中,最重要的当属CreateToolhelp32Snapshot,它的函数原型如下: HANDLE WINAPI CreateToolhelp32Snapshot( DWORD dwFlags, DWORD
Chrome 0 day漏洞利用链
HBohan的博客
07-13 249
远程代码执行漏洞利用 所有的攻击活动都是通过Chrome浏览器执行的。虽然研究人员无法获取漏洞利用的JS代码,但是研究人员根据相关攻击活动的时间轴推测出了利用的漏洞——CVE-2021-21224。此外,研究人员还推测攻击者使用JS文件以及正则测试来开发漏洞利用,并用于攻击活动。 权限提升漏洞利用 CVE-2021-31955 CVE-2021-31955漏洞是ntoskrnl.exe中的一个信息泄露漏洞。该漏洞与Windows操作系统的一个特征SuperFetch有关。SuperFetch是在Wind.
java三菜单_如何使用Java枚举模拟多菜单系统?
weixin_33212421的博客
03-02 355
以下是我最终实现我的解决方案的方式:public static class Animals(){public enum Cats(){tabby("some value"),siamese("some value");private String someValue = "";private ShopByCategory(String someValue){this.someValue = som...
ring3隐藏进程
08-09
Ring3隐藏进程是指在计算机的操作系统中,利用一些特殊的技术手段或者恶意软件来隐藏自身的进程,使其在操作系统面上不被察觉或无法被发现。 首先,Ring3是指计算机操作系统的用户态环境。在这个级中,进程运行的权限较低,无法直接访问操作系统的核心态环境。 隐藏进程的目的通常是为了避免被用户或者安全软件察觉,以实现各种恶意目的。常见的方法有以下几种: 1. 修改进程的属性:利用各种技术手段修改进程的属性,使其在任务管理器或者其他进程监视工具中不可见。例如,通过修改进程的PEB(Process Environment Block)来删除或修改进程自身在系统进程列表中的记录。 2. 加载进程钩子:通过操作系统提供的进程钩子机制,在进程创建、退出或运行过程中,植入一些对进程操作的控制逻辑。通过这种方式,可以在进程管理工具中隐藏自身的存在,或者篡改系统的行为。 3. 修改系统调用表:通过篡改操作系统的系统调用表或函数表,使得某些关键的系统调用或函数返回伪造的结果。通过这种方式,可以欺骗监控工具或者病毒扫描工具,隐藏自己的存在。 4. rootkit技术:rootkit技术是一种更为复杂和高级的隐藏进程技术。它可以在系统内部植入自己的恶意代码,并与操作系统的核心态环境进行交互。通过这种方式,可以在操作系统面上彻底控制系统的行为,使自身进程无法被发现。 总而言之,Ring3隐藏进程是恶意软件或黑客利用各种技术手段,在操作系统的用户态环境中隐藏自身的进程,从而实现对被感染系统的控制和掩盖自身存在的目的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值