实现通过宿主机对VMWARE虚拟机内WINDOWS系统的进程遍历数据读取,以及HOOK原理探究二 -- WINDOWS进程模块遍历

最新推荐文章于 2023-09-26 11:06:57 发布
最新推荐文章于 2023-09-26 11:06:57 发布
阅读量992 收藏 4
点赞数 4
分类专栏: VMWARE and Windows 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_67709832/article/details/125945451
版权

上文提到宿主机可以通过VMWARE获取客户机内WINDOWS内部的进程链表,此文在此基础上拓展应用获取一些可用数据。

当取得进程的CR3之后可以得到对进程所有数据的访问,在内核对象的EPROCESS可取得进程的PEB,PEB信息可查看相关文档。附录代码为32位,64位进程模块遍历

32位如下:

DWORD MemBaseClass::BrushProcessModuleList(const char *FindName)
{
	USES_CONVERSION;
	CString tempStr;
	char tempBuffer[100];
	int   FindCount=0;
	DWORD pLdrDataEntry;
	DWORD pPebLdrData;
	DWORD pListEntryStart;
	DWORD pListEntryEnd;	

	pPebLdrData		= ReadDword(MyPeb+0x0C);
	pListEntryStart = ReadDword(pPebLdrData+0x14);
	pListEntryEnd	= pListEntryStart;
	// 	DebugPrint("DDK_BrushProcessModuleList MyCr3 :0x%x",MyCr3);
	// 	DebugPrint("DDK_BrushProcessModuleList MyPeb :0x%x",MyPeb);
	// 	DebugPrint("DDK_BrushProcessModuleList pListEntryEnd:0x%x",pListEntryEnd);
	do    
	{ 		
		pLdrDataEntry = pListEntryStart+0x04;		
		DWORD DllBase = ReadDword(pLdrDataEntry+0x0c);
		if (DllBase == 0)
			break;

		DWORD
最低0.47元/天 解锁文章
crazy590
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
驱动开发:内核CR3切换读写内存
CSDN
09-25 1万+
首先CR3是什么,CR3是一个寄存器,该寄存器内保存有页目录表物理地址(PDBR地址),其实CR3内部存放的就是页目录表的内存基地址,运用CR3切换可实现对特定进程内存地址的强制读写操作,此类读写属于有痕读写,多数驱动保护都会将这个地址改为无效,此时CR3读写就失效了,当然如果能找到CR3的正确地址,此方式也是靠谱的一种读写机制。至于进程CR3改掉了读取不到该寄存器该如何处理,这里我找到了一段参考代码,可以实现寻找CR3地址这个功能。结构,查找结构的方法也很简单,依次遍历进程并对比进程名称即可得到。
75. 进程管理 - vmstat 统计虚拟内存信息
stevenchen1989的博客
03-14 252
开篇词 显示虚拟内存的统计信息。   虚拟内存模式字段 内核区域虚拟内存字段 字段 描述 r 可运行进程数。 b 不间断睡眠进程数。 内存区域虚拟内存字段 字段 描述 swpd 已使用的虚拟内存。 free 空闲内存数。 buff 已使用的内存缓冲数。 cache 已使用的内存缓存数。 inact 非活跃的内存数。 active...
C/C++遍历进程模块
热门推荐
CSDN
07-16 1万+
这段代码的目的是通过遍历进程模块快照,查找到QQ音乐进程,并打印出其模块名。这段代码使用了Windows的Toolhelp32Snapshot API,遍历给定进程模块快照并打印模块信息。这段代码的目的是获取指定进程模块信息,并打印出模块的文件名。这段代码使用了Windows API来获取指定进程模块信息,并打印出模块名。函数,将分配的内存空间作为模块句柄数组传入,并传入先前获取的字节数。函数获取第一个模块的信息,返回一个布尔值表示是否成功。表示进程的ID,将获取该进程模块信息。
如何使用vmstat获取系统进程、内存、分页、块IO、陷入和 CPU 活动信息?
m0_57236802的博客
06-08 706
是一个非常有用的命令行工具,用于收集和报告关于操作系统的各种信息,包括进程,内存,分页,块IO,陷入(traps),以及 CPU 活动。提供了大量有用的信息,但它不能提供关于单个进程的详细信息。如果你需要此类信息,可能需要使用。不过,如果你希望以一定的间隔收集报告,可以将时间间隔(以秒为单位)作为参数传递给。命令报告的信息包括进程,内存,分页,块IO,陷入和 CPU 的信息。以上命令将每5秒钟收集一次系统状态,并在屏幕上显示。以上命令将每5秒钟收集一次系统状态,总共收集10次。这会显示当前系统的状态。
Windows下利用HOOK进程挂起实现的桌面锁屏
01-20
Windows操作系统,开发一款桌面锁屏程序可以利用高级编程技术来实现,如HOOK进程挂起等。本文将深入探讨这些技术,并结合Qt库,介绍如何构建这样的应用。 首先,我们来理解“HOOK”。HOOKWindows API提供的...
C/C++-数据结构-进程保护-操作系统大作业
02-04
进程保护、进程过滤的小工程、主要亮点是在内核对操作系统的用户进行管理. 功能描述: 应用层功能: 遍历进程,调用NativeAPI NtQuerySystemInformation遍历进程。 与内核对应的程序进行通信,通过进程名进行...
windows_hook.rar_Hook windows api_hook 系统api_windows hook_wind
09-24
windows hookHOOK API是指截获特定进程系统对某个API函数的调用,使得API的执行流程转向指定的代码。Windows下的应用程序都建立在API函数至上,所以截获API是一项相当有用的技术,它使得用户有机会干预其它应用...
编程技术_Windows 内核级进程隐藏侦测技术-综合文档
05-19
Windows操作系统,内核级进程隐藏侦测技术是一种高级的计算机安全技术,它涉及到操作系统的核心层,主要用于检测和防止恶意软件通过隐藏进程来规避安全软件的检测。本技术主要针对那些试图通过修改系统内核行为...
虚拟机磁盘文件如何在宿主机系统读取文件的方法
05-24
虚拟机磁盘文件如何在宿主机系统读取文件的方法虚拟机磁盘文件如何在宿主机系统读取文件的方法
windows-hook.rar_hook_windows hook
09-24
Windows操作系统,"Hook"是一种技术,允许开发者在系统或应用程序的关键点插入代码,以监控和处理特定的事件。Windows Hook系统级编程的重要工具,它可以捕获并处理系统事件,例如键盘输入、鼠标点击等。在本...
[源码和文档分享]编程实现遍历进程遍历线程遍历进程加载模块
qq_38474647的博客
12-25 161
背景 在我们开发程序的时候,经常需要在程序实现遍历进程遍历线程和遍历进程加载模块等获取系统信息的操作。 本文是基于Win32 API函数实现这三个常用操作,当然,方法肯定不止有一种。比如,我写的《在VS2013编程使用WMI》这篇文章,使用的是WMI去遍历进程的。 现在,我把这个小程序实现的思路以及实现过程,写成文档分享给大...
VC实现进程遍历的四种方法
09-19 6108
方法一 第一种方法是大家比较熟悉的通过ToolHelp Service提供的API函数来实现。 这里用到了3个关键的函数:CreateToolhelp32Snapshot(),Process32First()和Process32Next()。下面给出了关于这三个函数的原形和
、C++反作弊对抗实战 (进阶篇 —— 3.遍历进程模块(默认))
Koma的主页
03-03 411
3.遍历进程模块(默认),利用常规的CreateToolhelp32Snapshot、Module32First、Module32Next三个函数来遍历
C/C++ 进程/线程/模块遍历
CSDN
06-09 9820
另外,Windows系统进程模块信息可能因系统版本和配置不同而有所差异,可能无法获取某些系统进程的信息。需要注意的是,要获取指定进程模块列表,当前进程需要有足够的权限。注意,该代码只能在Windows系统上运行,并需要以管理员权限运行,以获取完整的进程信息。注意,该代码只能在Windows系统上运行,并需要以管理员权限运行,以获取完整的进程信息。注意,该代码只能在Windows系统上运行,并需要以管理员权限运行,以获取完整的模块信息。表示获取进程信息的快照,第个参数0表示获取当前系统进程信息。
【原创】VMware Workstation查看虚拟机实际使用的内存量并通过PID找到对应的虚拟机
最新发布
DCTANT的博客
09-26 4490
由于虚拟机占用了大量电脑内存,但是我得知道是哪个虚拟机占用了特别多的内存,但是怎么才能找到呢?看我这篇即可找到答案!
linux free命令详解
huangyimo的专栏
05-07 556
free 命令显示系统内存的使用情况,包括物理内存、交换内存(swap)和内核缓冲区内存。如果加上 -h 选项,输出的结果会友好很多:有时我们需要持续的观察内存的状况,此时可以使用 -s 选项并指定间隔的秒数:free -h -s 3上面的命令每隔 3 秒输出一次内存的使用情况,直到你按下 ctrl + c。(Ubuntu 16.04 默认的 free 版本有 bug,使用 -s 选项时报错,所...
VmWare 与 宿主主机通信 STEP BY STEP (适用于初学者)
u011877833的专栏
11-07 2397
基本原理虚拟机有三种通信方式,如下图所示 1. Bridged(桥接模式) 在桥接模式下,VMware虚拟出来的操作系统就像是局域网的一独立的主机,它可以访问网内任何一台机器不过你需要多于一个的IP地址,并且需要手工为 虚拟系统配置IP地址子网掩码,而且还要和宿主机器处于同一网段,这样虚拟系统才能和宿主机器进行通信 如果你想利用VMware在局域网内新建一个虚拟服务
windows 内核Hook函数做到禁止创建进程
05-31
Windows 内核,可以通过修改进程创建的回调函数来实现禁止创建进程。具体来说,可以使用 PsSetCreateProcessNotifyRoutineEx 函数注册一个回调函数,每当有新的进程创建时就会调用该回调函数。在回调函数,可以检查当前进程的信息,如果不符合要求,则可以返回拒绝创建进程的错误码。 以下是一个简单的示例代码: ``` VOID MyCreateProcessNotifyRoutineEx( _Inout_ PEPROCESS Process, _In_ HANDLE ProcessId, _In_opt_ PPS_CREATE_NOTIFY_INFO CreateInfo ) { UNREFERENCED_PARAMETER(ProcessId); if (CreateInfo != NULL && CreateInfo->FileOpenNameAvailable) { UNICODE_STRING processName = CreateInfo->ImageFileName; if (RtlCompareUnicodeString(&processName, &L"not_allowed_process.exe", TRUE) == 0) { CreateInfo->CreationStatus = STATUS_ACCESS_DENIED; } } } NTSTATUS DriverEntry( _In_ PDRIVER_OBJECT DriverObject, _In_ PUNICODE_STRING RegistryPath ) { UNREFERENCED_PARAMETER(RegistryPath); PsSetCreateProcessNotifyRoutineEx(MyCreateProcessNotifyRoutineEx, FALSE); return STATUS_SUCCESS; } ``` 在上述代码,我们注册了一个名为 MyCreateProcessNotifyRoutineEx 的回调函数,每当有新的进程创建时就会调用该函数。在函数,我们检查了进程的文件名,如果是 not_allowed_process.exe,则返回 STATUS_ACCESS_DENIED,拒绝创建进程。最后,在 DriverEntry 函数调用 PsSetCreateProcessNotifyRoutineEx 函数注册回调函数即可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

crazy590

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值