【超详细】遍历Windows进程模块

最新推荐文章于 2024-07-20 14:24:53 发布
最新推荐文章于 2024-07-20 14:24:53 发布
阅读量1.4k 收藏 8
点赞数
文章标签: python
原文链接:https://segmentfault.com/a/1190000016977926
版权

直奔主题

摘要
上一篇文章详细介绍了如何 遍历Windows进程。这篇文章主要是对获取的系统进程作进一步处理,依次遍历每一个进程中使用的模块!主要是用到了Module32First以及Module32Next两个函数,思路就是在之前的进程外层循环中新增一个模块内层循环

具体思路
(1).使用CreateToolhelp32Snapshot以及传参TH32CS_SNAPPROCESS创建系统进程快照
(2).使用Process32First获取第一个进程的信息存入到PROCESSENTRY32结构体中
(3).再用CreateToolhelp32Snapshot以及传参TH32CS_SNAPMODULE创建系统进程的模块快照
(4).使用Module32First获取第一个模块信息存到MODULEENTRY32结构体中
(5).然后使用Module32Next循环当前进程的所有模块
(6).再用Process32Next遍历所有进程
(7).最后用CloseHandle关闭所有句柄

完整代码

#include <stdio.h>
#include <stdlib.h>
#include <windows.h>
#include <Tlhelp32.h>

BOOL SetProcessPrivilege(char *lpName, BOOL opt);

int main(int argc, char *argv[])
{
    PROCESSENTRY32 pe32;
    MODULEENTRY32 me32;
    HANDLE hProcess, hSnapshot_proc, hSnapshot_mod;
    pe32.dwSize = sizeof(pe32);
    SetProcessPrivilege("SeDebugPrivilege", 1);
    hSnapshot_proc = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    if (Process32First(hSnapshot_proc, &pe32))
    {
        do
        {
            hProcess = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, FALSE, pe32.th32ProcessID);
            if (pe32.th32ProcessID && pe32.th32ProcessID != 4 && pe32.th32ProcessID != 8)
            {
                printf("PID: %d >>> ProcName: %s\n", pe32.th32ProcessID, pe32.szExeFile);
                me32.dwSize = sizeof(me32);
                hSnapshot_mod = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, pe32.th32ProcessID);
                Module32First(hSnapshot_mod, &me32);
                do
                {
                    printf("ModName: %s -> Path: %s\n", me32.szModule, me32.szExePath);
                } while (Module32Next(hSnapshot_mod, &me32));
                printf("------\n\n");
                CloseHandle(hSnapshot_mod);
            }
            CloseHandle(hProcess);
        } while (Process32Next(hSnapshot_proc, &pe32));
    }
    SetProcessPrivilege("SeDebugPrivilege", 0);
    CloseHandle(hSnapshot_proc);
    system("pause");
    return 0;
}

BOOL SetProcessPrivilege(char *lpName, BOOL opt)
{
    HANDLE tokenhandle;
    TOKEN_PRIVILEGES NewState;

    if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &tokenhandle))
    {
        LookupPrivilegeValue(NULL, lpName, &NewState.Privileges[0].Luid);
        NewState.PrivilegeCount = 1;
        NewState.Privileges[0].Attributes = opt != 0 ? 2 : 0;
        AdjustTokenPrivileges(tokenhandle, FALSE, &NewState, sizeof(NewState), NULL, NULL);
        CloseHandle(tokenhandle);
        return 1;
    }
    else
    {
        return 0;
    }
}

编译命令gcc mod1.c -o mod1,注意程序的OpenProcess并不是必要的,只是为了加深进程提权的理解

运行截图
由于内容太多控制台显示不全,设置缓冲区的高度即可完全显示

clipboard.png

clipboard.png

END

weixin_33778544
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows进程遍历
weixin_42071117的博客
10-12 812
// 进程遍历:获取计算机系统上运行的所有进程的信息,包括用户进程和系统进程。 // 进程遍历的方式有很多: // 1.通过进程快照。 // 2.使用ZwQuerySystemInformation函数。 // 3.使用EnumProcess函数。 // 4.通过PowerShell获取。 // 5.通过WMI方式获取。 // CreateToolhelp32Snapshot函数: // 功能:获取进程信息为指定的进程进程使用的堆、模块、线程,为其建立一个快照。 // 原型
Windows编程之模块遍历(C++实现)
weixin_30433075的博客
01-01 326
            Windows编程之模块遍历 PS: 主要扣代码使用,直接滑动到最下面使用. 遍历模块需要几个API,和一个结构体   1.创建进程快照   2.遍历首次模块   3.继续下次遍历   4.模块信息结构体 API 分别是: 1.创建进程快照 HANDLE WINAPI CreateToolhelp32Snapshot(      进程快照A...
遍历某一个进程模块
charge_release的博客
08-11 2227
#include "stdafx.h" #include <windows.h> #include <TlHelp32.h> #include <locale.h> bool GetModuleList(DWORD dwPId) { HANDLE hModuleSnap = INVALID_HANDLE_VALUE; MODULEENTRY32 me32 = { siz
Windows tasklist命令详解,Windows查看进程
最新发布
wangyuxiang946的博客
07-20 2354
Windows查看进程命令,查找进程文件位置,根据PID查找进程,查看调用指定DLL的进程,查找指定用户运行的进程,查看资源占用高的进程,根据进程名查找进程
windows遍历进程和杀进程
weixin_30599769的博客
02-06 130
windows遍历进程有多种方式: 进程快照:CreateToolhelp32Snapshot; 进程状态API:PSAPI; 在psapi中主要使用到的方法有: EnumProcesses——枚举进程; EnumProcessModules——枚举进程模块; GetModuleFileNameEx——获取模块名; 通过这3...
windows遍历进程并输出进程名,PID,进程路径
08-22
该代码为windows遍历进程并输出进程名,PID,进程路径,由C++编写,运行成功
Windows系统进程状态支持模块psapi.dll
09-24
Windows系统进程状态支持模块psapi.dll
windows C++ 进程遍历、线程遍历模板。后附模板代码
Bobowen的博客
04-02 1434
进程遍历windows软件必备需求,从安装到软件运行再到卸载我们或许都需要知道其他进程的信息。
WIN32 C++ 遍历系统的进程和线程
r5014的博客[Eosin_Sky]
06-18 759
使用大搜头 遍历系统的进程: int DisplayAllProcess() { int i = 0; char Buff[9]; PROCESSENTRY32 pe32; pe32.dwSize = sizeof(pe32); int processid = GetCurrentProcessId(); HANDLE hProcessSnap = ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); if (hProcessSn.
Windows内核驱动EPROCESS遍历进程模块
12-14
总的来说,"Windows内核驱动EPROCESS遍历进程模块"是一项深入的操作系统级任务,它可以帮助我们更好地理解和监控系统运行状态,但同时也需要开发者具备高级的编程技能和对系统安全的深刻理解。通过学习和实践这一...
Windows进程模块查看器-支持32位和64位进程
05-06
本工具通过读取进程PEB数据遍历进程加载模块信息,包括模块名,模块路径,模块基地址等信息,支持64位和32位进程
进程模块查看工具
09-01
小工具,可方便查看windows进程,并能详细列出进程所使用的模块以及DLL。
C++调用WMI遍历进程
06-15
详细演示了C++调用WMI遍历进程的整个过程,有详细注释,代码可以直接复用。
ZwQuerySystemInformation查找进程文件句柄
03-25
ZwQuerySystemInformation查找文件句柄
精选_编程实现遍历进程遍历线程遍历进程加载模块_源码打包
03-06
在IT领域,编程实现遍历进程遍历线程以及遍历进程加载模块是一项重要的技能,尤其是在系统管理和性能监控方面。这些操作通常涉及到操作系统的核心层面,对于理解和调试应用程序的运行行为至关重要。本压缩包文件...
易语言遍历进程模块源码-易语言
06-13
在易语言中,遍历进程模块是一项基础但重要的技术,它涉及到操作系统层面的进程管理和信息获取。在这个场景下,"易语言遍历进程模块源码"指的是使用易语言编写的一段程序,该程序能够列举并获取当前系统中运行的所有...
详细遍历Windows进程
weixin_34391445的博客
11-11 2054
摘要 遍历系统进程常用的有三种方式 头文件<Tlhelp32.h>,先使用CreateToolhelp32Snapshot创建系统快照,即拷贝一份系统所有进程的信息到指定的结构体PROCESSENTRY32中,然后使用Process32First和Process32Next获得每一个进程详细信息。需要注意的是编译成32位程...
遍历进程+遍历模块
hambaga的博客
05-29 2737
遍历进程有多种方法,我是用的是 CreateToolhelp32Snapshot 进程快照的方式;遍历模块我用的是 Process Status Helper 的函数,VC6需要下载 psapi.h 和相应的静态库文件,我已经上传好了。 https://pan.baidu.com/s/1AY-6J1rZ0nM4QGIy4uSVkQ 提取码:ord2 我下面的代码可以用32位的VC6或者visual studio编译,可以遍历32/64位进程,但是只能遍历32位进程模块,因为32位编译的 EnumProce
vb.net Process32First和Module32First
weixin_34292287的博客
12-12 777
Friend Const PROCESS_ALL_ACCESS = &H1F0FFF = 2035711 Friend Const PROCESS_VM_READ = &H10 Friend Const PROCESS_VM_WRITE = &H20 Friend Const PAGE_READONLY = &H2 Friend Const PAGE_READWRI...
c++ 遍历服务进程
09-22
Windows操作系统中,可以使用任务管理器来遍历服务进程。 首先,打开任务管理器。可以通过在任务栏上右键点击任务栏空白处,然后选择“任务管理器”来打开。或者可以使用组合键Ctrl+Shift+Esc来直接打开任务管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值