枚举所有进程所有模块,删除制定进程

最新推荐文章于 2023-10-22 13:46:28 发布
最新推荐文章于 2023-10-22 13:46:28 发布
阅读量142 收藏
点赞数
文章标签: 大数据 驱动开发 数据结构与算法
原文链接:http://www.cnblogs.com/zcc1414/p/3982378.html
版权

环境:   VS2008中配置WDK7600驱动开发环境


包含文件   #include <ntifs.h>   #include <WinDef.h>  需要在 #include <ntddk.h> 之前  那么就不会出错


程序大体流程:
PsGetCurrentProcess() 得到本进程EPROCESS 
通过EPROCESS +0x174 得到进程名
通过EPROCESS +0x84  得到进程ID

     PsLookupProcessByProcessId 通过进程ID 得到 这个ID的 EPROCESS
     MmGetSystemRoutineAddress  得到 PsGetProcessPeb的函数地址
     PsGetProcessPeb 通过进程的 EPROCESS得到 进程的PEB 然后再得到PEB的LDR
     保存APC状态  (Asynchronous procedure call,异步程序调用)KeStackAttachProcess(EPROCESS , &KAPC);
     通过ldr 得到 内存加载链表InMemoryOrderModuleList 通过它循环遍历模块
     pListEntryStart = pListEntryEnd = pPebLdrData->InMemoryOrderModuleList.Flink
     pLdrDataEntry = (PLDR_DATA_TABLE_ENTRY)CONTAINING_RECORD(pListEntryStart,LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks);   
     pLdrDataEntry 包含有模块的全路径 然后循环得到
     detach进程 KeUnstackDetachProcess
    另外就是 PsLookupProcessByProcessId  得到 EPROCESS会增加引用计数 这里减少即可 
    ObDereferenceObject(EPROCESS),EPROCESS=null;

通过EPROCESS +0x88  得到下一个EPROCESS的ActiveProcessLinks 
通过上面这个结构 - 0x88 就得到这个EPROCESS指针
然后循环进行遍历进程


typedef PPEB (__stdcall *PFNPsGetProcessPeb)(PEPROCESS pEProcess);  


typedef ULONG   PPS_POST_PROCESS_INIT_ROUTINE;    


typedef struct _PEB_LDR_DATA {  
	BYTE       Reserved1[8];  
	PVOID      Reserved2[3];  
	LIST_ENTRY InMemoryOrderModuleList;  
} PEB_LDR_DATA, *PPEB_LDR_DATA;  


typedef struct _RTL_USER_PROCESS_PARAMETERS {  
	BYTE           Reserved1[16];  
	PVOID          Reserved2[10];  
	UNICODE_STRING ImagePathName;  
	UNICODE_STRING CommandLine;  
} RTL_USER_PROCESS_PARAMETERS, *PRTL_USER_PROCESS_PARAMETERS;  


typedef struct _PEB {  
	BYTE                          Reserved1[2];  
	BYTE                          BeingDebugged;  
	BYTE                          Reserved2[1];  
	PVOID                         Reserved3[2];  
	PPEB_LDR_DATA                 Ldr;  
	PRTL_USER_PROCESS_PARAMETERS  ProcessParameters;  
	BYTE                          Reserved4[104];  
	PVOID                         Reserved5[52];  
	PPS_POST_PROCESS_INIT_ROUTINE PostProcessInitRoutine;  
	BYTE                          Reserved6[128];  
	PVOID                         Reserved7[1];  
	ULONG                         SessionId;  
} PEB, *PPEB;  


typedef struct _LDR_DATA_TABLE_ENTRY    
{    
	LIST_ENTRY InLoadOrderLinks;    
	LIST_ENTRY InMemoryOrderLinks;    
	LIST_ENTRY InInitializationOrderLinks;    
	PVOID DllBase;    
	PVOID EntryPoint;    
	DWORD SizeOfImage;    
	UNICODE_STRING FullDllName;    
	UNICODE_STRING BaseDllName;    
	DWORD Flags;    
	WORD LoadCount;    
	WORD TlsIndex;    
	LIST_ENTRY HashLinks;    
	PVOID SectionPointer;    
	DWORD CheckSum;    
	DWORD TimeDateStamp;    
	PVOID LoadedImports;    
	PVOID EntryPointActivationContext;    
	PVOID PatchInformation;    
}LDR_DATA_TABLE_ENTRY,*PLDR_DATA_TABLE_ENTRY;


主要功能代码:

NTSTATUS ScanModulebypid(ULONG ulProcessId)  
{  
 
	//获取进程的EPROCESS结构指针  
	NTSTATUS nStatus;  
	PEPROCESS  pEProcess = NULL;  
	nStatus = PsLookupProcessByProcessId((HANDLE)ulProcessId, &pEProcess);  
	if (!NT_SUCCESS(nStatus))  
	{  
		return STATUS_UNSUCCESSFUL;  
	}  

	//查找函数地址  	  
	UNICODE_STRING uniFunctionName;  
	RtlInitUnicodeString(&uniFunctionName, L"PsGetProcessPeb");  

	//函数指针  
	PFNPsGetProcessPeb  PsGetProcessPeb = NULL; 

	PsGetProcessPeb = (PFNPsGetProcessPeb)MmGetSystemRoutineAddress(&uniFunctionName);  
	if (PsGetProcessPeb == NULL)  
	{  
		KdPrint(("Get PsGetProcessPeb Failed~!\n"));  
		return STATUS_UNSUCCESSFUL;  
	}  

	//获取PEB指针    
	PPEB pPEB = NULL;  
	pPEB = PsGetProcessPeb(pEProcess);  

	if (pPEB == NULL)  
	{  
		KdPrint(("Get pPEB Failed~!\n"));  
		return STATUS_UNSUCCESSFUL;  
	}  

	//保存APC状态  APC,即Asynchronous procedure call,异步程序调用
	KAPC_STATE KAPC ={0};  
	//附加到进程  
	KeStackAttachProcess(pEProcess, &KAPC);  

	//是否已经附加到进程  
	BOOLEAN bIsAttached = FALSE;  

	bIsAttached = TRUE;  

	//指向LDR  
	//LDR数据结构  
	PPEB_LDR_DATA pPebLdrData = NULL;   
	pPebLdrData = pPEB->Ldr;  

	//链表头节点、尾节点  
	PLIST_ENTRY pListEntryStart = NULL;  
	PLIST_ENTRY pListEntryEnd = NULL;  
	//头节点、尾节点  
	pListEntryStart = pListEntryEnd = pPebLdrData->InMemoryOrderModuleList.Flink;  


	//开始遍历_LDR_DATA_TABLE_ENTRY  
	//LDR链表入口  
	PLDR_DATA_TABLE_ENTRY pLdrDataEntry = NULL;   
	do    
	{    
		//通过_LIST_ENTRY的Flink成员获取_LDR_DATA_TABLE_ENTRY结构   

		pLdrDataEntry = (PLDR_DATA_TABLE_ENTRY)CONTAINING_RECORD(pListEntryStart,LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks);    

		//输出DLL全路径  
		KdPrint(("%wZ \n", &pLdrDataEntry->FullDllName));  

		pListEntryStart = pListEntryStart->Flink;    

	}while(pListEntryStart != pListEntryEnd);    

	KdPrint(("\n\n"));
	//Detach进程  
	if (bIsAttached != FALSE)  
	{  
		KeUnstackDetachProcess(&KAPC);  
	}  

	//减少引用计数  
	if (pEProcess != NULL)  
	{  
		ObDereferenceObject(pEProcess);  
		pEProcess = NULL;  
	}  

	return STATUS_SUCCESS;  
}  

NTSTATUS ScanProcessModule()
{
	PEPROCESS eprocess,Firsteprocess;
	ULONG ulProcessName;
	ULONG ulProcessID;

	KdPrint(("start ScanProcessModile\n"));
	//__asm int 3;
	eprocess = PsGetCurrentProcess();

	Firsteprocess = eprocess;
	if (eprocess == 0)
	{
		KdPrint(("PsGetCurrentProcess error"));
		return STATUS_SUCCESS;
	}
	while (eprocess != NULL)
	{
		ulProcessName = (ULONG)eprocess + 0x174;		//	 +0x174 ImageFileName    : [16] UChar
		ulProcessID = *(ULONG*)((ULONG)eprocess + 0x84);//   +0x084 UniqueProcessId  : Ptr32 Void
		KdPrint(("processname = %s,processid = %d \r \n",ulProcessName,ulProcessID));
 		//if (!strcmp( (char*)(ULONG*)ulProcessName ,"notepad.exe"))
		//{
 			ScanModulebypid(ulProcessID);
 		//}
		
														//   +0x088 ActiveProcessLinks : _LIST_ENTRY
		eprocess = (PEPROCESS)(*(ULONG*)((ULONG)eprocess + 0x88) - 0x88);//-0x88是得到 eprocess结构

		if (eprocess == Firsteprocess || (*(LONG*)( (LONG)eprocess + 0x84) ) <0)//如果链表搜索完毕或者进程PID小于0则结束
		{
			break;
		}
	}
	return STATUS_SUCCESS;
}


删除指定进程:

方法1    卸载掉  指定进程的NTDLL.dll 模块   (这里以 notepad.exe 为例子)

extern "C"
NTSTATUS 
MmUnmapViewOfSection( 
					 IN PEPROCESS Process, 
					 IN ULONG BaseAddress 
					 ); 
NTSTATUS ScanProcessModule()
{
	PEPROCESS eprocess,Firsteprocess;
	ULONG ulProcessName;
	ULONG ulProcessID;

	KdPrint(("start ScanProcessModile\n"));
	//__asm int 3;
	eprocess = PsGetCurrentProcess();

	Firsteprocess = eprocess;
	if (eprocess == 0)
	{
		KdPrint(("PsGetCurrentProcess error"));
		return STATUS_SUCCESS;
	}
			PEPROCESS eprocess2;

	while (eprocess != NULL)
	{
		ulProcessName = (ULONG)eprocess + 0x174;		//	 +0x174 ImageFileName    : [16] UChar
		ulProcessID = *(ULONG*)((ULONG)eprocess + 0x84);//   +0x084 UniqueProcessId  : Ptr32 Void
		KdPrint(("processname = %s,processid = %d \r \n",ulProcessName,ulProcessID));
		

 		if (!strcmp( (char*)(ULONG*)ulProcessName ,"notepad.exe"))
		{
 			PsLookupProcessByProcessId((HANDLE)ulProcessID,&eprocess2);
			UNICODE_STRING uniPsGetProcessPeb;
			RtlInitUnicodeString(&uniPsGetProcessPeb,L"PsGetProcessPeb");

			PFNPsGetProcessPeb PsGetProcessPebAddr = (PFNPsGetProcessPeb)MmGetSystemRoutineAddress(&uniPsGetProcessPeb);
			if (PsGetProcessPebAddr == NULL)    
			{    
				KdPrint(("Get PsGetProcessPeb Failed~!\n"));    
				return STATUS_UNSUCCESSFUL;    
			}    
			PPEB pPEB = NULL;    
			pPEB = PsGetProcessPebAddr(eprocess2);  
			if (pPEB == NULL)    
			{    
				KdPrint(("Get pPEB Failed~!\n"));    
				return STATUS_UNSUCCESSFUL;    
			}   
			//保存APC状态  APC,即Asynchronous procedure call,异步程序调用  
			KAPC_STATE KAPC ={0};    
			//附加到进程    
			KeStackAttachProcess(eprocess2, &KAPC);    

			//是否已经附加到进程    
			BOOLEAN bIsAttached = FALSE;    

			bIsAttached = TRUE;    

			//指向LDR    
			//LDR数据结构    
			PPEB_LDR_DATA pPebLdrData = NULL;     
			pPebLdrData = pPEB->Ldr;    

			//链表头节点、尾节点    
			PLIST_ENTRY pListEntryStart = NULL;    
			PLIST_ENTRY pListEntryEnd = NULL;    
			//头节点、尾节点    
			pListEntryStart = pListEntryEnd = pPebLdrData->InMemoryOrderModuleList.Flink;    


			//开始遍历_LDR_DATA_TABLE_ENTRY    
			//LDR链表入口    
			PLDR_DATA_TABLE_ENTRY pLdrDataEntry = NULL;     
			do      
			{      
				//通过_LIST_ENTRY的Flink成员获取_LDR_DATA_TABLE_ENTRY结构     

				pLdrDataEntry = (PLDR_DATA_TABLE_ENTRY)CONTAINING_RECORD(pListEntryStart,LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks);      

				//输出DLL全路径    
				KdPrint(("%wZ \n", &pLdrDataEntry->FullDllName));    
				UNICODE_STRING uniNtdll;
				RtlInitUnicodeString(&uniNtdll,L"ntdll.dll");

				if (RtlEqualUnicodeString(&pLdrDataEntry->BaseDllName,&uniNtdll,TRUE))
				{
					MmUnmapViewOfSection(eprocess2,(ULONG)(pLdrDataEntry->DllBase));
					KdPrint(("卸载 ntdll.dll 完成"));  
				}
				pListEntryStart = pListEntryStart->Flink;      

			}while(pListEntryStart != pListEntryEnd);      

			//Detach进程    
			if (bIsAttached != FALSE)    
			{    
				KeUnstackDetachProcess(&KAPC);    
			}    

			//减少引用计数    
			if (eprocess2 != NULL)    
			{    
				ObDereferenceObject(eprocess2);    
				eprocess2 = NULL;    
			}    

			
			
 		}
		
														//   +0x088 ActiveProcessLinks : _LIST_ENTRY
		eprocess = (PEPROCESS)(*(ULONG*)((ULONG)eprocess + 0x88) - 0x88);//-0x88是得到 eprocess结构

		if (eprocess == Firsteprocess || (*(LONG*)( (LONG)eprocess + 0x84) ) <0)//如果链表搜索完毕或者进程PID小于0则结束
		{
			break;
		}
	}
	return STATUS_SUCCESS;
}

可以成功  删除 XP 下  360  杀毒软件等·························

!strcmp( (char*)(ULONG*)ulProcessName ,"360rp.exe") || !strcmp( (char*)(ULONG*)ulProcessName ,"360sd.exe")











转载于:https://www.cnblogs.com/zcc1414/p/3982378.html

weixin_30519071
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
易语言枚举句柄关闭进程DLL模块
08-16
易语言枚举句柄关闭进程DLL模块源码 系统结构:GetProcessIdByProcessHandle,TerminateProcessByJob,OpenProcessByFuckHandle, ======程序集1 | | | |------ _启动子程序 | | | |------ _临时子程序 | | | |------ ...
枚举进程加载模块
UruseiBest 的技术专栏
07-12 842
在教程 vb.net 教程 6-3 进程加载的模块 中详细讲解了使用 Process类的modules属性,该属性可以获取进程加载的所有Dll文件,详细使用可以参看上述博文。但是在实际使用中存在一个问题:对于有些程序,不能获得其进程全部的加载模块。例如,获得QQExternal的加载模块,如果使用.Net只能获得5个dll。但是通过其它工具,可以看到实际包含了很多dll: 通过调用系统api可以很好地解决这个问题。.........
枚举进程模块
yangyang031213的博客
07-11 1002
枚举进程模块使用 CreateToolhelp32Snapshot 创建进程快照,第一个参数为 TH32CS_SNAPMODULE 时创建进程模块快照,类似枚举进程时使用的 Process32First、Process32Next,枚举进程模块时使用 Module32First、Module32Next 枚举进程模块。代码: CEnumModuleDlg:BEGIN_MESSAGE_MAP(CEn
枚举进程的所有模块
qiuxue110的专栏
02-27 759
若要确定哪些进程加载了特定 DLL,必须枚举每个进程模块。 下面的示例代码使用EnumProcessModules函数枚举系统中当前进程模块。 #include <windows.h> #include <tchar.h> #include <stdio.h> #include <psapi.h> // To ensure correct resolution of symbols, add Psapi.lib to TARGETLIBS // a..
64位操作系统下R3枚举进程模块的两种方式
最新发布
qq_31548855的博客
10-22 211
综上,第一种方法使用快照枚举进程模块,优点是代码量少,缺点是32位进程无法枚举64位进程模块。第二种方法使用Nt函数枚举进程模块,优点是32位进程可以枚举64位进程模块,缺点是代码量多且要使用未文档化的数据结构。
驱动开发:内核MDL读写进程内存
热门推荐
CSDN
10-14 1万+
MDL内存读写是最常用的一种读写模式,通常需要附加到指定进程空间内然后调用内存拷贝得到对端内存中的数据,在调用结束后再将其空间释放掉,通过这种方式实现内存读写操作,此种模式的读写操作也是最推荐使用的相比于CR3切换来说,此方式更稳定并不会受寄存器的影响。写入时与读取类似,只是多了锁定页面和解锁操作。
隐藏及显示所有进程模块
08-21
隐藏及显示所有进程模块系统结构:提升进程权限,GetCurrentProcess,打开令牌,恢复权限,获取令牌特权,枚举所有进程,隐藏进程,ID取进程,进程取ID,创建进程快照,第一个进程指针,下一个进程
32位进程枚举64位进程模块信息
06-02
' WOW64的32位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等....' 因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程,只是自己以为是32...
易语言隐藏所有进程模块
07-22
易语言隐藏所有进程模块源码,隐藏所有进程模块,加入日志,子程序_PEB获取Kernel32基址,子程序_获取模块地址,子程序_读内存地址,子程序_写内存地址
易语言API枚举进程模块
07-22
易语言API枚举进程模块源码,API枚举进程模块,Enum,Unicode转Ansi,ZwQueryVirtualMemory_mbi,ZwQueryVirtualMemory_msn,ReadProcessMemory_idh,ReadProcessMemory_inh,CopyMemory_msn,WideCharToMultiByte,...
准确在64位系统下枚举进程模块
04-08
在32位进程中使用WMI枚举其他进程模块,支持32位系统和64位系统。
枚举windows进程模块的几种方法—PEB内核结构详解
阔野的专栏
11-18 4839
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载的模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载的模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程进程加载的模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h heade...
[内核编程]枚举进程空间内所有模块
輚至消亡
07-13 1072
环境: Win7 X64 该方法枚举进程空间所有模块是基于进程环境块即PEB结构来实现的。 首先查看PEB结构, 该结构中有一个字段为_PEB_LDR_DATA。 进入_PEB_LDR_DATA字段查看, 最重要的是名为InLoadOrderModuleList, InMemoryModuleList以及InInitializationOrderModuleList的三条循环链表。 这三条循环链表中分别串着本EPROCESS对应的模块链表。其中 InLoadOrderModuleLi..
C# 枚举进程模块
芳华如梦
07-17 3006
// namespace eMod {     using System;     using IO = System.IO;     using System.Collections.Generic;     using System.Text;     using System.Diagnostics;     using System.Runtime.InteropServ
用EnumProcesses()枚举进程
晴天的专栏
04-25 8402
参照msdn的例子,用EnumProcesses()枚举进程并输入进程名和句柄。以下代码在vs2008中测试通过: #include "stdafx.h" #include #include "psapi.h" #pragma comment (lib, "psapi.lib ") void MyEnumProcess() { // Get the list of proce
枚举进程,线程,进程模块
吾无法无天的博客
02-19 992
#include <ntifs.h> #include <ntddk.h> #include <windef.h> typedef struct _PEB_LDR_DATA { BYTE Reserved1[8]; PVOID Reserved2[3]; LIST_ENTRY InMemoryOrderModuleList; } PEB_LDR_DAT...
Linux/Mac OS 查看进程ps命令
weixin_33953384的博客
09-30 718
输入下面的ps命令,显示所有运行中的进程: # ps aux | less   其中, -A:显示所有进程 a:显示终端中包括其它用户的所有进程 x:显示无控制终端的进程   如何查看系统中每个进程? ps -A ps -e  如何查看非root运行的进程? ps -U root -u root  如何查看具体某个用户运行的进程 ...
mac 根据 进程名 kill
weixin_41245276的博客
01-15 2378
  问题: 1.运行pyspider,地址已存在, 2.phantomjs提前运行, Error: Could not create web server listening on port 25555 解决: 杀死已存在进程 sudo pkill -f process_name
Mac在终端查看进程/杀死进程
weixin_33916256的博客
05-11 3031
查看程序PID号 # 在不知程序端口号的情况下: 这样搜索好像会搜索出另外的同名线程,我也不是很清楚 【ps -axu 本机名|grep 程序名】 【ps -axu ShuChan|grep mysql】 # 我的本机名是 ShuChan,要查找的程序是mysql,有的程序名区分大小写 代码示例: SC:~ ShuChan$ ps -axu ShuChan|grep mysql # 最前面可...
win32遍历该窗口的所有进程代码展示
05-29
最后,它使用`EnumProcessModules`函数枚举进程的所有模块,并调用`EnumProcessModulesProc`回调函数来获取每个模块的名称。 `EnumProcessModulesProc`函数获取模块的名称,并输出到控制台。 请注意,此示例代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值