枚举进程,线程,进程模块

最新推荐文章于 2020-09-01 14:40:08 发布
最新推荐文章于 2020-09-01 14:40:08 发布
阅读量1k 收藏 3
点赞数 2
分类专栏: Windows内核研究
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44286745/article/details/104386434
版权

头文件包含及结构体声明:

#include<ntifs.h>
#include<ntdef.h>
#pragma warning(disable:4201)

#define PROCESS_ACTIVE_PROCESS_LINKS_OFFSET 0x2e8
#define THREAD_LIST_ENTRY_OFFSET 0x6a8
#define THREAD_LIST_HEAD_OFFSET 0x488
#define PROCESS_PEB_OFFSET 0x3f8
#define PEB_LDR_DATA_OFFSET 0x18
#define LDR_IN_MEMORY_ORDER_MODULE_LIST_OFFSET 0x20

PPEB PsGetProcessPeb(PEPROCESS Process);
PPEB PsGetProcessWow64Process(PEPROCESS Process);
PCHAR PsGetProcessImageFileName(IN PEPROCESS Process);

typedef VOID(*EnumThreadCallBack)(PETHREAD thread);

typedef struct _LDR_DATA_TABLE_ENTRY {
	LIST_ENTRY InLoadOrderLinks;
	LIST_ENTRY InMemoryOrderLinks;
	LIST_ENTRY InInitializationOrderLinks;
	PVOID DllBase;
	PVOID EntryPoint;//模块的进入点 DriverEntry
	ULONG SizeOfImage;
	UNICODE_STRING FullDllName;//模块的满路径
	UNICODE_STRING BaseDllName;//不带路径的模块名字
	ULONG Flags;
	USHORT LoadCount;
	USHORT TlsIndex;
	union {
		LIST_ENTRY HashLinks;
		struct {
			PVOID SectionPointer;
			ULONG CheckSum;
		};
	};
	union {
		struct {
			ULONG TimeDateStamp;
		};
		struct {
			PVOID LoadedImports;
		};
	};
} LDR_DATA_TABLE_ENTRY, * PLDR_DATA_TABLE_ENTRY;


typedef struct _LDR_DATA_TABLE_ENTRY32 {
	LIST_ENTRY32 InLoadOrderLinks;
	LIST_ENTRY32 InMemoryOrderLinks;
	LIST_ENTRY32 InInitializationOrderLinks;
	ULONG DllBase;
	ULONG EntryPoint;
	ULONG SizeOfImage;
	UNICODE_STRING32 FullDllName;
	UNICODE_STRING32 BaseDllName;
	ULONG Flags;
	USHORT LoadCount;
	USHORT TlsIndex;
	union {
		LIST_ENTRY32 HashLinks;
		struct {
			ULONG SectionPointer;
			ULONG  CheckSum;
		};
	};
	union {
		struct {
			ULONG  TimeDateStamp;
		};
		struct {
			ULONG LoadedImports;
		};
	};

	//
	// NOTE : Do not grow this structure at the dump files used a packed
	// array of these structures.
	//

} LDR_DATA_TABLE_ENTRY32, * PLDR_DATA_TABLE_ENTRY32;


typedef struct _PEB_LDR_DATA {
	PCHAR Reserved1[8];
	PVOID Reserved2[3];
	LIST_ENTRY InMemoryOrderModuleList;
} PEB_LDR_DATA, * PPEB_LDR_DATA;

函数实现:

PEPROCESS GetProcessByActiveLink(const char* name)
{
	PEPROCESS process = 0;
	PsLookupProcessByProcessId((HANDLE)4, &process);

	if (!process || !name) return 0;

	PLIST_ENTRY ListEntry = (PLIST_ENTRY)((ULONG64)process + PROCESS_ACTIVE_PROCESS_LINKS_OFFSET);

	for (PLIST_ENTRY pListEntry = ListEntry->Flink; pListEntry != ListEntry; pListEntry = pListEntry->Flink)
	{
		PEPROCESS pro = (PEPROCESS)((PCHAR)pListEntry - PROCESS_ACTIVE_PROCESS_LINKS_OFFSET);
		if (!strcmp(name, PsGetProcessImageFileName(pro)))
			return pro;
	}
	return 0;
}


VOID EnumThreadByLink(PEPROCESS process, EnumThreadCallBack callBack)
{
	if (!process || !callBack) return;

	PLIST_ENTRY ListEntry = (PLIST_ENTRY)((ULONG64)process + THREAD_LIST_HEAD_OFFSET);

	for (PLIST_ENTRY pListEntry = ListEntry->Flink; pListEntry != ListEntry; pListEntry = pListEntry->Flink)
	{
		PETHREAD thread = (PETHREAD)((PCHAR)pListEntry - THREAD_LIST_ENTRY_OFFSET);
		callBack(thread);
	}
}


PVOID GetProcessModuleByName(PEPROCESS process,wchar_t* name)
{
	KAPC_STATE ApcState;
	PVOID reAddr = 0;
	PPEB peb = 0;

	if (!process || !name) return 0;

	BOOLEAN IsWow64 = (PsGetProcessWow64Process(process) != NULL) ? TRUE : FALSE;

	if (IsWow64)
		peb = PsGetProcessWow64Process(process);
	else
		peb = PsGetProcessPeb(process);

	if (peb == NULL) return 0;

	KeStackAttachProcess(process, &ApcState);

	if (IsWow64)
	{
		PLIST_ENTRY32 ListHeader;
		PLIST_ENTRY32 CurrentListEntry;
		PLDR_DATA_TABLE_ENTRY32 LdrDataTable;

		ULONG ldr = *(ULONG*)((PCHAR)peb + PEB32_LDR_DATA_OFFSET);
		ListHeader = (PLIST_ENTRY32)((PCHAR)ldr + LDR32_IN_MEMORY_ORDER_MODULE_LIST_OFFSET);

		CurrentListEntry = (PLIST_ENTRY32)ListHeader->Flink;
		while (CurrentListEntry != ListHeader)
		{
			LdrDataTable = CONTAINING_RECORD(CurrentListEntry, LDR_DATA_TABLE_ENTRY32, InMemoryOrderLinks);

			//KdPrint(("Base:%p \t %ws\n", LdrDataTable->DllBase, LdrDataTable->BaseDllName.Buffer));

			if (!_wcsicmp(name, (const wchar_t*)LdrDataTable->BaseDllName.Buffer))
			{
				KdPrint(("Base:%p \t %ws\n", LdrDataTable->DllBase, LdrDataTable->BaseDllName.Buffer));
				reAddr = (PVOID)LdrDataTable->DllBase;
				break;
			}
			CurrentListEntry = (PLIST_ENTRY32)CurrentListEntry->Flink;
		}
	}
	else
	{
		PLIST_ENTRY ListHeader;
		PLIST_ENTRY CurrentListEntry;
		PLDR_DATA_TABLE_ENTRY LdrDataTable;
		UNICODE_STRING UnicodeName = { 0 };

		RtlInitUnicodeString(&UnicodeName, name);
		PPEB_LDR_DATA ldr = *(PPEB_LDR_DATA*)((PCHAR)peb + PEB64_LDR_DATA_OFFSET);
		ListHeader = (PLIST_ENTRY)((PCHAR)ldr + LDR_IN_MEMORY_ORDER_MODULE_LIST_OFFSET);

		CurrentListEntry = ListHeader->Flink;
		while (CurrentListEntry != ListHeader)
		{
			LdrDataTable = CONTAINING_RECORD(CurrentListEntry, LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks);

			if (RtlEqualUnicodeString(&UnicodeName, &LdrDataTable->BaseDllName, TRUE))
			{
				KdPrint(("Base:%p \t %wZ\n", LdrDataTable->DllBase, &LdrDataTable->BaseDllName));
				reAddr = LdrDataTable->DllBase;
				break;
			}
			CurrentListEntry = CurrentListEntry->Flink;
		}
	}

	KeUnstackDetachProcess(&ApcState);

	return reAddr;
}

 

吾无法无天
关注
专栏目录
C# 枚举进程模块
芳华如梦
07-17 3101
// namespace eMod {     using System;     using IO = System.IO;     using System.Collections.Generic;     using System.Text;     using System.Diagnostics;     using System.Runtime.InteropServ
NTAPI枚举指定进程中指定模块创建的线程
热门推荐
Rprop
01-24 3万+
代码示例了如何使用API枚举指定进程中指定模块创建的线程, 注意该方案存在一定局限性, 就是模块的起始地址和线程起始地址之间的关系无法保证, 可能存在漏掉的.
枚举进程模块
守夜人--的专栏
11-27 2034
 typedef BOOL (_stdcall *ENUMPROCESSES)(DWORD* pProcessIds,DWORD cb,DWORD* pBytesReturned); typedef BOOL (_stdcall *ENUMPROCESSMODULES)(HANDLE hProcess,HMODULE* lphModule,DWORD cb,LPDWORD lpcbNeeded);
C++ 枚举进程中的线程
LYSM
09-01 1064
CreateToolhelp32Snapshot HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); if(hProcessSnap == INVALID_HANDLE_VALUE){ cout << "创建进程快照失败" << endl; return FALSE; } PROCESSENTRY32 process = {sizeof(PROCESSENTRY32)}; for(Proc
枚举特定进程的所有线程列表
goingup的专栏
08-17 4542
The following example obtains a list of running threads for the specified process. First, the RefreshThreadList function takes a snapshot of the currently executing threads in the system using the Cre
准确在64位系统下枚举进程模块
04-08
在32位进程中使用WMI枚举其他进程模块,支持32位系统和64位系统。
枚举64位进程模块+查询64位进程线程所属模块文件路径-易语言
06-12
该源码是 eWOW64Ext v1.21 的一个演示例子,完全使用了 eWOW64Ext 的方法 来枚举64位进程模块; 提供了两种方法来cha询64位进程线程所属模块文件路径,该功能还没有易语言 方面的开源资料,本次为首次开源。
API枚举进程模块.rar
04-04
1. **CreateToolhelp32Snapshot**: 这个函数创建一个进程快照,可以用来枚举进程线程。我们需要指定TH32CS_SNAPMODULE标志,以便捕获进程模块信息。 2. **Module32First** 和 **Module32Next**: 这两个函数配合...
枚举进程 线程 模块 句柄 取CPU信息 缓存 页文件信息等等
01-18
枚举进程 线程 模块 句柄 取CPU信息 缓存 页文件信息等等
易语言API枚举进程模块源码.rar
06-27
总之,这个压缩包提供了学习易语言API调用、进程模块管理的一个实际案例,适合对易语言有一定基础的开发者深入研究,或者对Windows API和系统级编程感兴趣的初学者参考学习。通过实践,可以提升对系统级编程的理解和...
易语言源码易语言枚举进程所有句柄源码.rar
03-31
在本压缩包文件"易语言源码易语言枚举进程所有句柄源码.rar"中,包含了一个易语言编写的程序,该程序主要用于枚举并显示当前系统中的所有进程句柄。下面我们将详细探讨这个知识点。 1. **进程和句柄**: - **进程*...
C# 枚举计算机上的进程
04-23
C# 枚举计算机上的进程C# 枚举计算机上的进程C# 枚举计算机上的进程C# 枚举计算机上的进程C# 枚举计算机上的进程
简易任务管理器(附带源码)可枚举、关闭进程、句柄、线程
03-13
简易任务管理器 可枚举、关闭进程、句柄、线程等 附带易语言源码 效果图 http://bbs.eyuyan.com/UploadFile/2010-2/201021519265860568.gif
ZwQuerySystemInformation枚举进程线程的软件源码
04-10
ZwQuerySystemInformation枚举进程线程VB很实用的源码,精心挑选的精品源码
驱动内Enum所有进程线程
weixin_34265814的博客
04-22 379
#ifdef __cplusplus extern "C" { #endif #include <ntddk.h> #ifdef __cplusplus } #endif #define PROCESSNAME_OFFSET 0x174 #define NTOPENPROCESS_SIGN 0x7a #define NTOPENPROCES...
进程遍历(枚举),模块遍历,线程遍历,进程链表,线程链表,模块链表
fzy20062008的专栏
08-07 1699
关键字: R3 Peb.Ldr,PEB_LDR_DATA NtQuerySystemInformation,ZwQueryInformationProcess, CreateToolhelp32Snapshot,EnumProcesses,EnumProcessModules ReadProcessMemory,NtReadProcessMemory kernel32.dll,psa...
进程模块枚举与隐藏
Catch me if you can
05-11 2527
整理
枚举当前进程的几种方法(总结)
简单的快乐
09-07 2246
///1获取当前进程这种方法也很常见,通过MSDN就可以找到例子代码,它是通过Psapi.dll提供的API函数EnumProcesses和EnumProcessModules来实现。有一点要说明的是,Visual Studio提供的SDK包里没有提供相应的Psapi.h和与之相对应的导入库,当时就很纳闷,MSDN里的例子居然编译不通,后来才发现,编译时根本找不到“psapi.h”。呵呵,还好,M
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吾无法无天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值