c++ 获取进程加载的模块列表,基地址,大小

最新推荐文章于 2024-02-27 11:18:22 发布
最新推荐文章于 2024-02-27 11:18:22 发布
阅读量3.3k 收藏 7
点赞数 1
分类专栏: c/c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/y281252548/article/details/109183799
版权

 Toolhelp.h

#pragma once
// 尝试 将 delphi 翻译成 c++
#include<Windows.h>
#include<Tlhelp32.h>

class TToolhelp
{
public:
	TToolhelp(DWORD dwFlags = 0, DWORD dwProcessID = 0);
	~TToolhelp();

	BOOL CreateSnapshot(DWORD dwFlags, DWORD dwProcessID = 0);
	BOOL ProcessFirst(PPROCESSENTRY32 ppe);
	BOOL ProcessNext(PPROCESSENTRY32 ppe);
	BOOL ProcessFind(DWORD dwProcessId, PPROCESSENTRY32 ppe);

	BOOL ModuleFirst(PMODULEENTRY32 pme) ;
	BOOL ModuleNext(PMODULEENTRY32 pme);
	BOOL ModuleFind_BaseAddr(void *pvBaseAddr, PMODULEENTRY32 pme);
	BOOL ModuleFind_ModName(WCHAR * pszModName, PMODULEENTRY32 pme);

	BOOL ThreadFirst(PTHREADENTRY32  pte) ;
	BOOL ThreadNext(PTHREADENTRY32 pte) ;

	BOOL HeapListFirst(PHEAPLIST32 phl);
	BOOL HeapListNext(PHEAPLIST32 phl);
	int HowManyHeaps();

	BOOL HeapFirst(PHEAPENTRY32 phe, DWORD dwProcessID, DWORD dwHeapID ) ;
	BOOL HeapNext(PHEAPENTRY32 phe);
	int HowManyBlocksInHeap(DWORD dwProcessID, DWORD dwHeapId );
	BOOL IsAHeap(HANDLE hProcess,void * pvBlock,DWORD * pdwFlags) ;

	BOOL EnableDebugPrivilege(BOOL fEnable = TRUE);
	BOOL ReadProcessMemory(DWORD dwProcessID,void* pvBaseAddress, void* pvBuffer,
		DWORD cbRead , DWORD *pdwNumberOfBytesRead = NULL) ;


private:
	HANDLE m_hSnapshot;

};


//构造函数
TToolhelp::TToolhelp(DWORD dwFlags, DWORD dwProcessID)
{
	m_hSnapshot = INVALID_HANDLE_VALUE;
	CreateSnapshot(dwFlags, dwProcessID);
}
//析构函数
TToolhelp::~TToolhelp()
{
	if (m_hSnapshot != INVALID_HANDLE_VALUE)
	{
		CloseHandle(m_hSnapshot);
	}
}

// 建立快照
BOOL TToolhelp::CreateSnapshot(DWORD dwFlags, DWORD dwProcessID)
{
	if (m_hSnapshot != INVALID_HANDLE_VALUE)
	{
		CloseHandle(m_hSnapshot);
	}

	if (dwFlags == 0)
		m_hSnapshot = INVALID_HANDLE_VALUE;
	else
		m_hSnapshot = CreateToolhelp32Snapshot(dwFlags, dwProcessID);

	return m_hSnapshot != INVALID_HANDLE_VALUE;
}

// 进程枚举
BOOL TToolhelp::ProcessFirst(PPROCESSENTRY32 ppe)
{
	if (Process32First(m_hSnapshot, ppe) && ppe->th32ProcessID == 0)
	{
		return ProcessNext(ppe);
	}
}


BOOL TToolhelp::ProcessNext(PPROCESSENTRY32 ppe)
{
	if (Process32First(m_hSnapshot, ppe) && ppe->th32ProcessID == 0)
	{
		return ProcessNext(ppe);
	}

}


BOOL TToolhelp::ProcessFind(DWORD dwProcessId, PPROCESSENTRY32 ppe)
{
	BOOL R = ProcessFirst(ppe);
	while (R)
	{
		if (ppe->th32ProcessID == dwProcessId)
			break;
		R = ProcessNext(ppe);
	}
	return R;

}


// 模块枚举
BOOL TToolhelp::ModuleFirst(PMODULEENTRY32 pme)
{
	return Module32First(m_hSnapshot, pme);
}

BOOL TToolhelp::ModuleNext(PMODULEENTRY32 pme)
{

	return Module32Next(m_hSnapshot, pme);
}


BOOL TToolhelp::ModuleFind_BaseAddr(void *pvBaseAddr, PMODULEENTRY32 pme)
{
	BOOL R = ModuleFirst(pme);

	while (R)
	{
		if (pme->modBaseAddr == pvBaseAddr)
			break;
		R = ModuleNext(pme);

	}
	return R;
}

BOOL TToolhelp::ModuleFind_ModName(WCHAR *pszModName, PMODULEENTRY32 pme)
{
	BOOL R = ModuleFirst(pme);

	while (R)
	{
		if (lstrcmpi(pme->szModule, pszModName) == 0 ||
			lstrcmpi(pme->szExePath, pszModName) == 0) break;
		R = ModuleNext(pme);
	}
	return R;
}



// 线程枚举
BOOL TToolhelp::ThreadFirst(PTHREADENTRY32 pte)
{
	return Thread32First(m_hSnapshot, pte);
}

BOOL TToolhelp::ThreadNext(PTHREADENTRY32 pte)
{
	return Thread32Next(m_hSnapshot, pte);
}

// 内存枚举
int TToolhelp::HowManyHeaps()
{
	HEAPLIST32 hl;
	BOOL fOK;
	int R = 0;
	hl.dwSize = sizeof(HEAPLIST32);

	fOK = HeapListFirst(&hl);
	while (fOK)
	{
		R++;
		fOK = HeapListNext(&hl);
	}
	return R;

}


int TToolhelp::HowManyBlocksInHeap(DWORD dwProcessID, DWORD dwHeapId)
{
	HEAPENTRY32 he;
	BOOL fOK;

	int	R = 0;
	he.dwSize = sizeof(he);

	fOK = HeapFirst(&he, dwProcessID, dwHeapId);
	while (fOK)
	{
		R++;
		fOK = HeapNext(&he);
	}

	return R;
}

BOOL TToolhelp::HeapListFirst(PHEAPLIST32 phl)
{
	return Heap32ListFirst(m_hSnapshot, phl);
}

BOOL TToolhelp::HeapListNext(PHEAPLIST32 phl)
{
	return Heap32ListNext(m_hSnapshot, phl);
}

BOOL TToolhelp::HeapFirst(PHEAPENTRY32 phe, DWORD dwProcessID, DWORD dwHeapID)
{
	return Heap32First(phe, dwProcessID, dwHeapID);
};

BOOL TToolhelp::HeapNext(PHEAPENTRY32 phe)
{
	return Heap32Next(phe);
}


BOOL TToolhelp::IsAHeap(HANDLE hProcess, void *pvBlock, DWORD *pdwFlags)
{
	HEAPLIST32 hl;
	HEAPENTRY32 he;
	MEMORY_BASIC_INFORMATION  mbi;
	BOOL fOkHL, fOkHE;
	BOOL R = FALSE;
	hl.dwSize = sizeof(HEAPLIST32);
	he.dwSize = sizeof(HEAPENTRY32);

	fOkHL = HeapListFirst(&hl);
	while (fOkHL)
	{
		fOkHE = HeapFirst(&he, hl.th32ProcessID, hl.th32HeapID);
		while (fOkHE)
		{
			VirtualQueryEx(hProcess, &he.dwAddress, &mbi, sizeof(MEMORY_BASIC_INFORMATION));

			if (DWORD(mbi.AllocationBase) <= DWORD(pvBlock) &&
				DWORD(pvBlock) <= DWORD(mbi.AllocationBase) + mbi.RegionSize)
			{
				*pdwFlags = hl.dwFlags;
				R = TRUE;
				return R;
			};

			fOkHE = HeapNext(&he);
		}

		fOkHL = HeapListNext(&hl);
	}
}

// 提升权限
BOOL TToolhelp::EnableDebugPrivilege(BOOL fEnable)
{
	HANDLE	hToken;
	TOKEN_PRIVILEGES  tp;
	BOOL R = FALSE;


	if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToken))
	{
		tp.PrivilegeCount = 1;
		LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &tp.Privileges[0].Luid);

		if (fEnable)
			tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
		else
			tp.Privileges[0].Attributes = 0;

		AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(TOKEN_PRIVILEGES), NULL, NULL);
		R = GetLastError() == ERROR_SUCCESS;

		CloseHandle(hToken);
	}
	return R;
}

// 内存读取
BOOL TToolhelp::ReadProcessMemory(DWORD dwProcessID, void * pvBaseAddress, void * pvBuffer,
	DWORD cbRead, DWORD *pdwNumberOfBytesRead)
{
	return Toolhelp32ReadProcessMemory(dwProcessID, pvBaseAddress, pvBuffer, cbRead, pdwNumberOfBytesRead);

}

 

控制台 main  demo

// ConsoleApplication1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//

#include "pch.h"
#include <iostream>
#include <windows.h>
#include <Tlhelp32.h>
#include"Toolhelp.h"


using namespace std;

int main()
{
	setlocale(LC_ALL, "chs");
	MODULEENTRY32 meme;
	meme.dwSize = sizeof(MODULEENTRY32);
	BOOL fmOk;
	TToolhelp(NULL).EnableDebugPrivilege(TRUE);
	TToolhelp thModules =  TToolhelp(TH32CS_SNAPALL, 716);//进程号
    fmOk = thModules.ModuleFirst(&meme);
	while (fmOk)
	{
		// 模块
		wprintf(L"模块基址:十进制 %d ,十六进制 0x%x ,模块大小:%d,模块名称:%s\n", meme.modBaseAddr,meme.modBaseAddr, meme.modBaseSize, meme.szModule);
	    // 下一模块
	    fmOk = thModules.ModuleNext(&meme);

	}
	TToolhelp(NULL).EnableDebugPrivilege(FALSE);
	int a;
	cin >> a;

	return 0;
}

 

黑贝是条狗
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
C++ 获取进程CPU占用率
01-20
核心代码 // 时间转换 static __int64 file_time_2_utc(const FILETIME* ftime) { LARGE_INTEGER li; li.LowPart = ftime->dwLowDateTime; li.HighPart = ftime->dwHighDateTime; return li.QuadPart; } // 获得CPU的核数 static int get_processor_number() { SYSTEM_INFO info; GetSystemInfo(&info); return (int)info
C++ 获取Windows可用串口列表
06-20
1.本测试软件可使用vs2010+qt4.8直接运行 2.如无运行环境,直接在C++的环境中,使用本软件中的前两个函数即可 3.本软件展示了如何快速的获取windows下,可以串口列表 4.注意:本程序仅仅展示了如何获取列表,并不包含连接串口代码
C++中找到进程中所的某一模块地址
最新发布
qq_35320456的博客
02-27 481
C++中找到进程中所的某一模块地址
C++获取CPU进程源码.zip
06-11
C++获取CPU进程源码
Linux内核笔记006 - 交换分区
北观止的博客
10-13 664
1. 交换分区概念 一个cpu,同一时刻只能执行一条指令,执行某个进程时,其它进程一定是停止状态。那么,当cpu切换到进程B运行时,如果系统中已经没有空闲的物理内存页面了,内核就会选择一个其它进程占用的物理内存页面,将其内容备份到磁盘上,这样就可以先腾出来给当前正在运行的进程B使用了,这个过程叫做"页面换出",当切换到进程A运行时,再重新分配一个物理内存页面(如果也没有空闲物理内存页面,同样执行换出操作),并且从磁盘上恢复换出的内容,这个过程叫做"页面换入"。用于备份内存数据的磁盘空间,就是"交换..
c++进程获取模块地址_虚拟化(5):地址翻译
weixin_35688303的博客
01-16 791
首先先回顾了下cpu的LDE模式的思路,主要就是在大多数时间让程序直接在硬件上运行,但是在一些关键功能上,比如硬件访问,进程调度上能够让os得到控制,从而实现了高效运行的同时也能保证对系统的控制。这一章要说的内存控制也是一样的思路,我们需要一些本的硬件的支持,在这之上让os能够高效的实现vm.并且我们实现的vm也是需要有很好的扩展性,因为对程序来说,内存的变化是非常频繁的。为了实现vm,我们会使...
C++实现获取模块进程地址
06-04
C++实现获取模块进程地址C++实现获取模块进程地址C++实现获取模块进程地址C++实现获取模块进程地址C++实现获取模块进程地址C++实现获取模块进程地址
C++ 获取进程中某模块的入口地址(也是 PE文件头 地址
LYSM
08-02 5095
HMODULE GetProcessModuleHandle(DWORD pid, CONST TCHAR* moduleName){ // 根据 PID 、模块名(需要写后缀,如:".dll"),获取模块入口地址。 MODULEENTRY32 moduleEntry; HANDLE handle = NULL; handle = ::CreateToolhelp32Sna...
获取自身驱动的模块地址大小长度
追逐光芒,追随内心
10-28 526
//功能:模块址,模块大小 VOID GetKernelModuleBase(PULONG64 KrnlBase, PULONG64 KrnlSize) { NTSTATUS status; ULONG size; char* pDrvName; PSYSTEM_MODULE_INFORMATION moduleinfo; PSYSTEM_MODULE_INFORMATION_ENTRY moduleinfoentry; status = NtQuerySystemInformation(.
C++ 找到进程中所的某一模块地址
白话机器学习
05-06 3012
MEMORY_BASIC_INFORMATION typedef struct _MEMORY_BASIC_INFORMATION {    PVOID BaseAddress;    PVOID AllocationBase;    DWORD AllocationProtect;    DWORD RegionSize;    DWORD State;    DWORD Prot
获取模块长度
friendan的专栏
11-16 3967
// 获取模块长度 DWORD GetModuleLen(HMODULE hModule) { PBYTE pImage = (PBYTE)hModule; PIMAGE_DOS_HEADER pImageDosHeader; PIMAGE_NT_HEADERS pImageNtHeader; pImageDosHeader = (PIMAGE_DOS_HEADER)pImage; if
获取模块.dll文件 址+偏移的 助手6.0
08-10
获取模块.dll文件 址+偏移的 助手6.0 例如:CE或者MD[+0053618]=“00653618”
c++获取进程信息列表进程所调用的dll列表
09-04
主要介绍了c++获取进程信息列表进程所调用的dll列表,大家参考使用吧
获取模块路径——C++
xiaopei_yan的博客
06-08 1217
有时候,我们想获取模块或本动态库的路径,而不是运行路径,下面这个函数就可满足: #include<Windows.h> #include<string> using namespace std; const string& GetModulePath(const HMODULE hMod) { static string st_strModulePath; if(st_strModulePath.size()<1) {
C/C++ 学习日记5:获取进程里的指定模块地址 源码
二狗子的Blog
09-03 2756
直接上源码,对应什么库以及函数的作用,自己查MSDN 在此感谢群里的三位大佬 //取指定进程PID里DLL的地址 HMODULE GetProcessModuleHandle(DWORD pid, CONST TCHAR* moduleName) { MODULEENTRY32 moduleEntry; HANDLE handle = NULL; handle = ::...
游戏外挂之c++获取其它进程模块
qq_20751857的博客
03-08 2567
踩坑## 使用使用进程快照的方式,一定注意,如果游戏是64位,c++程序也一点在x64架构打包,不然获取快照失败,拿不到进程模块址。 代码后面有空补上。
C/C++ 获取线程入口地址模块
CSDN
07-16 7263
今天检测的特征是向 YY语音 里插入了一段自己的代码(创建了新的线程),而这个新的线程不在原有的模块内,所以思路就是遍历 YY.exe 这个进程中的所有线程,如果这个线程没有对应的模块,那么就说明这个线程是可疑的。大多数恶意代码为了隐藏自己的行踪都会附到某个进程中,在这个进程内申请一块内存区域来存放它的代码,毕竟隐藏的再好,代码也要有的,不然你让 CPU 运行什么 …
C++获取当前模块的路径(dll/exe)
Oh~Why not!
02-05 1万+
最近整理了一些获取当前模块路径的代码,都是通过调用 GetModuleFileName() 来获取 DWORD WINAPI GetModuleFileName( _In_opt_ HMODULE hModule, _Out_ LPTSTR lpFilename, _In_ DWORD nSize ); hModule [i
获取进程
热门推荐
物知馆
05-17 1万+
有很多种方法可以获得进程空间的址: 方法一:在x86上,可以直接用汇编语言来获得: HINSTANCE ins = NULL; __asm { mov eax, fs:[0x30]; mov eax, DWORD PTR [eax+8]; mov ins, eax; } return bRet; ins就是当前进程址。 然而在x64
C++获取进程中的线程ID ②通过线程ID获取所在的模块地址
06-11
要通过线程ID获取所在的模块地址,可以使用Windows API中的 `EnumProcessModules` 和 `GetModuleInformation` 函数。以下是一个示例代码: ```c++ #include <windows.h> #include <iostream> #include <psapi.h> int main() { DWORD processId = GetCurrentProcessId(); HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, FALSE, processId); if (hProcess == NULL) { std::cout << "Error: OpenProcess failed.\n"; return 1; } DWORD threadId = 1234; // 假设要获取的线程ID为1234 HANDLE hThread = OpenThread(THREAD_QUERY_INFORMATION, FALSE, threadId); if (hThread == NULL) { std::cout << "Error: OpenThread failed.\n"; CloseHandle(hProcess); return 1; } HMODULE hModules[1024]; DWORD cbNeeded; if (EnumProcessModules(hProcess, hModules, sizeof(hModules), &cbNeeded)) { for (int i = 0; i < (cbNeeded / sizeof(HMODULE)); i++) { MODULEINFO mi; if (GetModuleInformation(hProcess, hModules[i], &mi, sizeof(mi))) { if (mi.lpBaseOfDll <= hThread && hThread < (mi.lpBaseOfDll + mi.SizeOfImage)) { std::cout << "Thread " << threadId << " is in module " << (LPVOID)hModules[i] << std::endl; break; } } } } CloseHandle(hThread); CloseHandle(hProcess); return 0; } ``` 在这个示例代码中,我们先打开当前进程和要查询的线程,然后使用 `EnumProcessModules` 函数获取当前进程中所有模块的句柄,使用 `GetModuleInformation` 函数获取每个模块址和大小,然后遍历每个模块,判断线程是否在该模块范围内。如果找到了线程所在的模块,就输出该模块地址。 注意,这个示例代码假设需要查询的线程ID为1234,你需要将它替换为你实际需要查询的线程ID。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑贝是条狗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值