VC++实现枚举进程与模块

最新推荐文章于 2023-05-23 16:11:31 发布
最新推荐文章于 2023-05-23 16:11:31 发布
阅读量545 收藏
点赞数
[cpp] 
#pragma once 
#define _WIN32_WINNT 0x0500  
#include"windows.h" 
#include"tlhelp32.h" 
#include"stdio.h" 
#include"NativeApi.h" 
#include"wchar.h" 
#include"psapi.h"//SDK6.0 
#pragma comment(lib,"psapi.lib")SDK6.0,不知道为什么 vc6好像没有自带这个头文件?? 
 
int GetUserPath(WCHAR* szModPath); 
BOOL GetProcessModule(DWORD dwPID) 

    BOOL bRet    =    FALSE; 
    BOOL bFound    =    FALSE; 
    HANDLE hModuleSnap = NULL; 
    MODULEENTRY32 me32 ={0}; 
     
    hModuleSnap = ::CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,dwPID);//创建进程快照 
    if(hModuleSnap == INVALID_HANDLE_VALUE) 
    {    
        printf("获取模块失败!\n"); 
        return FALSE; 
    } 
     
    me32.dwSize = sizeof(MODULEENTRY32); 
    if(::Module32First(hModuleSnap,&me32))//获得第一个模块 
    { 
        do{ 
             
            printf("方法1列模块名:%s\n",me32.szExePath); 
        }while(::Module32Next(hModuleSnap,&me32)); 
    }//递归枚举模块 
     
     
    CloseHandle(hModuleSnap); 
    return bFound; 

bool ForceLookUpModule(DWORD dwPID) 

     
    typedef DWORD( WINAPI *FunLookModule)( 
        HANDLE ProcessHandle, 
        DWORD BaseAddress, 
        DWORD MemoryInformationClass, 
        DWORD MemoryInformation, 
        DWORD MemoryInformationLength, 
        DWORD ReturnLength ); 
    HMODULE hModule = GetModuleHandle ("ntdll.dll" ) ; 
    if(hModule==NULL) 
    {  
        return FALSE; 
    } 
    FunLookModule ZwQueryVirtualMemory=(FunLookModule)GetProcAddress(hModule,"ZwQueryVirtualMemory"); 
    if(ZwQueryVirtualMemory==NULL) 
    { 
        return FALSE; 
    } 
    HANDLE hProcess=OpenProcess(PROCESS_QUERY_INFORMATION,1,dwPID); 
    if(hProcess==NULL) 
        return FALSE; 
    PMEMORY_SECTION_NAME Out_Data=(PMEMORY_SECTION_NAME)    malloc(0x200u); 
    DWORD retLength; 
    WCHAR Path[256]={0}; 
    wchar_t wstr[256]={0}; 
     
    for(unsigned int i=0;i<0x7fffffff;i=i+0x10000) 
    {  
        if( ZwQueryVirtualMemory(hProcess,(DWORD)i,2,(DWORD)Out_Data,512,(DWORD)&retLength)>0) 
        {  
            if(!IsBadReadPtr((BYTE*)Out_Data->SectionFileName.Buffer,1)) 
            { 
                if(((BYTE*)Out_Data->SectionFileName.Buffer)[0]==0x5c) 
                { 
                    if(wcscmp(wstr, Out_Data->SectionFileName.Buffer)) 
                         
                    {    
                        _wsetlocale(0,L"chs");               
                        GetUserPath(Out_Data->SectionFileName.Buffer); 
                        wprintf(L"方法2列模块%s\n",Out_Data->SectionFileName.Buffer); 
                         
                    } 
                    wcscpy(wstr,   Out_Data->SectionFileName.Buffer); 
                } 
                 
            } 
             
        } 
    } 
    CloseHandle(hProcess); 
    return TRUE; 
     

int GetUserPath(WCHAR* szModPath) 
{    //\Device\HarddiskVolume1,  
     
    WCHAR Path[256]={0}; 
    WCHAR* Temp3=new WCHAR[3];   
    Temp3[2]='\0';   
    Temp3[1]=':'; 
    THead* phead=new THead; 
    phead->Next=NULL; 
    phead->Num=szModPath[22]; 
    for(int i='C';i<='Z';i++) 
    {Temp3[0]=i; 
    if(QueryDosDeviceW(Temp3,Path,30)) 
        if(phead->Num==Path[22]) 
        {   
            phead->Disk=(WCHAR)i; 
            break; 
        } 
         
    } 
        
       szModPath[0]=phead->Disk; 
       szModPath[1]=':'; 
       szModPath[2]='\0'; 
       wcscpy(Path,szModPath+23); 
       wcscat(szModPath,Path); 
        
       delete phead; 
       delete Temp3;  
        
       return 0; 

BOOL EnableDebugPrivilege(BOOL fEnable)//这个用于提权的 
{   
    BOOL fOk = FALSE;    
    HANDLE hToken; 
     
    if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES,&hToken)) 
    {    
        TOKEN_PRIVILEGES tp; 
        tp.PrivilegeCount = 1; 
        LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &tp.Privileges[0].Luid); 
        tp.Privileges[0].Attributes = fEnable ? SE_PRIVILEGE_ENABLED : 0; 
        AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(tp), NULL, NULL); 
        fOk = (GetLastError() == ERROR_SUCCESS); 
        CloseHandle(hToken); 
    } 
    else 
    { 
        return 0; 
    } 
    return(fOk); 

 
void EnumModlueAll(DWORD dwPID) 
{    
    HANDLE hProcess=OpenProcess(PROCESS_ALL_ACCESS,false,dwPID); 
    if(hProcess==INVALID_HANDLE_VALUE) 
    { printf(" open process failed!\n"); 
    return; 
    } 
    DWORD size=0,ret=0; 
    EnumProcessModules(hProcess,NULL,size,&ret); 
    HMODULE *parry=(HMODULE*)malloc(ret+4); 
    memset(parry,0,ret+4); 
    if(EnumProcessModules(hProcess,parry,ret+4,&ret)) 
    { 
        char* path=new char[MAX_PATH]; 
        memset(path,0,MAX_PATH); 
        UINT i=0; 
         
        while(GetModuleFileNameEx(hProcess,parry[i],path,MAX_PATH)) 
        { 
            printf("方法3模块:%s\n",path); 
            memset(path,0,MAX_PATH); 
            i++; 
        } 
        delete path; 
         
    } 
    free(parry); 
     
    CloseHandle(hProcess); 

 
void EnumModuleEx(DWORD dwPID) 
{    
    DWORD status; 
    HMODULE hMod=GetModuleHandle("ntdll.dll"); 
    RTLCREATEQUERYDEBUGBUFFER RtlCreateQueryDebugBuffer=(RTLCREATEQUERYDEBUGBUFFER )GetProcAddress(hMod,"RtlCreateQueryDebugBuffer"); 
    RTLQUERYPROCESSDEBUGINFORMATION RtlQueryProcessDebugInformation=(RTLQUERYPROCESSDEBUGINFORMATION)GetProcAddress(hMod,"RtlQueryProcessDebugInformation"); 
    RTLDESTROYDEBUGBUFFER RtlDestroyQueryDebugBuffer =(RTLDESTROYDEBUGBUFFER )GetProcAddress(hMod,"RtlDestroyQueryDebugBuffer"); 
    if((hMod==NULL)||(RtlDestroyQueryDebugBuffer==NULL)||(RtlQueryProcessDebugInformation==NULL)||(RtlCreateQueryDebugBuffer==NULL)) 
    { 
        printf("函数定位失败!\n"); 
        return ; 
    }    
     
    PDEBUG_BUFFER Buffer=RtlCreateQueryDebugBuffer(0,FALSE); 
    status=RtlQueryProcessDebugInformation(dwPID,PDI_MODULES ,Buffer); 
    if(status<0) 
    {  
        printf("RtlQueryProcessDebugInformation函数调用失败,进程开了保护\n"); 
         
        return ; 
    } 
    ULONG count=*(PULONG)(Buffer->ModuleInformation); 
    ULONG hModule=NULL; 
    PDEBUG_MODULE_INFORMATION ModuleInfo=(PDEBUG_MODULE_INFORMATION)((ULONG)Buffer->ModuleInformation+4); 
    for(ULONG i=0;i<count;i++) 
    { 
        printf("方法4列出的模块:%s\n",ModuleInfo->ImageName); 
        ModuleInfo++; 
    } 
     
    RtlDestroyQueryDebugBuffer(Buffer);  
     
     

void EnumSelfModule() 

    void *PEB         = NULL, 
        *Ldr         = NULL, 
        *Flink       = NULL, 
        *p           = NULL, 
        *BaseAddress = NULL, 
        *FullDllName = NULL; 
    printf("列举自身模块!\n"); 
    __asm 
    { 
        mov     eax,fs:[0x30] 
            mov     PEB,eax 
    } 
    printf( "PEB   = 0x%08X\n", PEB ); 
    Ldr   = *( ( void ** )( ( unsigned char * )PEB + 0x0c ) ); 
    printf( "Ldr   = 0x%08X\n", Ldr ); 
    Flink = *( ( void ** )( ( unsigned char * )Ldr + 0x0c ) ); 
    printf( "Flink = 0x%08X\n", Flink ); 
    p     = Flink; 
    do 
    { 
        BaseAddress = *( ( void ** )( ( unsigned char * )p + 0x18 ) ); 
        FullDllName = *( ( void ** )( ( unsigned char * )p + 0x28 ) ); 
        printf( "p     = 0x%08X 0x%08X ", p, BaseAddress ); 
        wprintf( L"%s\n", FullDllName ); 
        p = *( ( void ** )p ); 
    } 
    while ( Flink != p ); 
    return; 
     

 
#define PAGE_SIZE 0x1000 
void  Search(); 
bool IsValidModule(ULONG i); 
bool PrintModule(); 
void main(); 
bool IsValidModule(byte* i) 
{   if(IsBadReadPtr((void*)i,sizeof(IMAGE_DOS_HEADER))) 
return false; 
IMAGE_DOS_HEADER *BasePoint=(IMAGE_DOS_HEADER *)i; 
PIMAGE_NT_HEADERS32 NtHead=(PIMAGE_NT_HEADERS32)(i+BasePoint->e_lfanew); 
if(IsBadReadPtr((void*)NtHead,PAGE_SIZE)) 
return false; 
if((NtHead->FileHeader.Characteristics&IMAGE_FILE_DLL)==0)//过滤掉。exe文件 
return false; 
if(NtHead->OptionalHeader.Subsystem==0x2) 
return true; 
if(NtHead->OptionalHeader.Subsystem==0x3) 
return true; 
return false; 

 
void Search() 
{   printf("暴力搜索列举模块!\n"); 
UCHAR* i=(PUCHAR)0x10000000; 
int Num=0; 
for(;i<(PUCHAR)0x7ffeffff;i+=PAGE_SIZE) 
{    
    if(IsValidModule(i)) 
    { 
        printf("\t\t find a module at %08x\n",i); 
        Num++; 
    }    
     

printf("\t\t total find module :%03d\n",Num);    
 

void main() 

    EnableDebugPrivilege(true); 
    EnumModlueAll(4228); 
    ForceLookUpModule(4228); 
    getchar(); 
    GetProcessModule(4228); 
    EnumModuleEx(4228); 
    getchar(); 
    EnumSelfModule(); 
    getchar(); 
    Search(); 
    printf("按任意键退出........"); 
    getchar(); 


yazi1297
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
VC++ 枚举进程模块信息
09-14
Vc++ 枚举进程模块信息, 调试可用, 酷似 冰刃,当然功能不如冰刃。
C/C++遍历某进程模块
热门推荐
CSDN
07-16 1万+
这段代码的目的是通过遍历进程模块快照,查找到QQ音乐进程,并打印出其模块名。这段代码使用了Windows的Toolhelp32Snapshot API,遍历给定进程模块快照并打印模块信息。这段代码的目的是获取指定进程模块信息,并打印出模块的文件名。这段代码使用了Windows API来获取指定进程模块信息,并打印出模块名。函数,将分配的内存空间作为模块句柄数组传入,并传入先前获取的字节数。函数获取第一个模块的信息,返回一个布尔值表示是否成功。表示进程的ID,将获取该进程模块信息。
C/C++ Windows API——枚举进程、结束进程及提升权限
司马懿的西山居
10-21 1万+
// EnumProcessDemo.cpp : 定义控制台应用程序的入口点。 //#include "stdafx.h" #include <Windows.h> #include <TlHelp32.h>//CreateToolhelp32Snapshot #include <Psapi.h>//EnumProcessesbool GetPrivileges() { // 取得当前进程
基于visual c++之windows核心编程代码分析(19)枚举进程以及进程加载模块信息
尹成的技术博客
12-17 2995
我们进行Windows安全编程的时候,经常需要检测进程,我们来实践一下枚举进程进程加载模块。请见代码实现与注释分析。  /* 头文件 */ #include #include #include #include /* 预处理声明 */ #pragma comment (lib, "psapi.lib") /* 函数声明 */ VOID WINAPI EnumProcess1(); VOI
枚举当前进程的几种方法(总结)
简单的快乐
09-07 2192
///1获取当前进程这种方法也很常见,通过MSDN就可以找到例子代码,它是通过Psapi.dll提供的API函数EnumProcesses和EnumProcessModules来实现。有一点要说明的是,Visual Studio提供的SDK包里没有提供相应的Psapi.h和与之相对应的导入库,当时就很纳闷,MSDN里的例子居然编译不通,后来才发现,编译时根本找不到“psapi.h”。呵呵,还好,M
VC++ 枚举所有进程信息
03-15
接着,`EnumProcessModules`函数用于枚举进程中的模块,而`GetModuleBaseName`则用于获取模块的基本名称,也就是进程的可执行文件名。 请注意,为了获取更详细的进程信息,如CPU使用率、内存占用等,可能还需要使用...
vc++进程与端口的映射 源代码
03-28
6. **EnumProcessModules()** 和 **GetModuleFileNameEx()**:这些API用于枚举进程中的模块,并获取模块文件名,从而了解进程可能使用的库,如Winsock库。 7. **代码实践**:在"vc++进程与端口的映射 源代码"的场景...
VC进程模块枚举及查看管理器
03-17
内容索引:VC/C++源码,系统相关,进程,枚举,远程卸载 VC++编写的进程模块查看器,用于枚举系统的所有进程及其所挂接的所有模块,并实现枚举进程、远程卸载指定进程模块、搜索指定进程的功能。上边的截图。此外,这...
四种方法实现VC枚举系统当前进程.doc
05-31
本文将详细介绍四种在VC++环境中实现枚举系统进程的方法。这四种方法分别利用了Windows API中的ToolHelp服务、Psapi库以及Win32 API的底层机制。 **方法一:使用ToolHelp服务** ToolHelp服务提供了几个关键的API...
EnumProcessModules 使用 获取进程的路径
07-08 8167
EnumProcessModules Function获得指定进程中所有模块的句柄。语法BOOL WINAPI EnumProcessModules(in   HANDLE hProcess,out  HMODULE *lphModule,in   DWORD cb,out  L
VC++枚举系统当前进程例子
05-06
VC++枚举系统当前进程例子
准确在64位系统下枚举进程模块
04-08
在32位进程中使用WMI枚举其他进程模块,支持32位系统和64位系统。
实现获取指定进程中特定模块枚举以及得到该模块入口地址等信息。
qq1429147544的博客
05-23 232
HMODULE GetProcessModuleHandle(DWORD pid, CONST TCHAR* moduleName){ // 根据 PID 、模块名(需要写后缀,如:".dll"),获取模块入口地址。// 获取进程快照中包含在th32ProcessID中指定的进程的所有的模块实现获取指定进程中特定模块枚举以及得到该模块入口地址等信息。
C/C++:Windows编程—创建进程、终止进程枚举进程枚举线程、枚举DLL
重庆李四
01-20 6028
进程、线程及DLL枚举API介绍 无论是枚举进程还是枚举进程中的DLL文件,方法都是相同的,都是通过创建指定的相关快照,再通过循环逐条获取快照的内容。类似的枚举线程、枚举堆都是相同的方法,差别只是在创建快照时的参数不同,逐条获取快照的内容时的API函数不同而已。 枚举进程的API函数:CreateToolhelp32Snapshot()、Process32First()、Process32Next...
C++枚举进程的方法
钟斌的博客
08-15 6396
主要使用的下面几个函数: 1、CreateToolhelp32Snapshot 2、Process32First 3、Process32Next 所以要引用下面的头文件: #include 枚举进程的代码如下: // 枚举系统当前所有进程信息 // 并把信息输出到工程目录下EnumInfo_ToolHelp_process.txt BOOL EnumProcessInfo()
windows C++ 遍历进程线程以及进程加载的模块
qq_43179054的博客
02-03 1445
本文是基于Win32 API函数实现遍历进程、遍历线程和遍历进程加载模块等获取系统信息的操作。
四种方法实现VC枚举系统当前进程
weixin_33912445的博客
08-30 280
    在Windows 2000以上的MS操作系统,通过Windows的任务管理器可以列出当前系统的所有活动进程(如图1所示),在Windows XP中,更是在控制台下增加了一条Tasklist命令,让系统下的所有进程无所遁行(如图2所示)。这一切是怎么实现的呢?  图 1  图 2 引用侯捷大师在《深入浅出MFC》的一句话,“知其然而不知其所以然,真不是个好办法”。既然如此,我们干脆自己...
完美的线程注入和卸载
山寨3D的专栏
01-30 871
unit Unit1;interfaceuses  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,  Dialogs, StdCtrls;type  TForm1 = class(TForm)    Button1: TButton;    Button2: TButton;   
vc++ 枚举所有串口
最新发布
07-28
vc 是 Visual C++ 编程语言的简称,可以用于开发 Windows 系统的应用程序。 在 Visual C++ 中,要枚举所有串口,可以使用 Win32 API 来完成。以下是一种实现方法: 首先,需要引入 Windows.h 头文件,该头文件包含了访问串口的相关函数和结构体。 然后,使用 CreateFile 函数打开串口,通过遍历端口号来获取每个串口的句柄。例如,端口号 COM1 对应的句柄为"\\\\.\\COM1"。 接着,使用 GetCommState 函数获取当前串口的配置信息,可以得到波特率、数据位、奇偶校验等参数。 随后,将获取到的串口信息存储到一个数组中,即可完成所有串口的枚举。 最后,使用 CloseHandle 函数关闭串口句柄,释放资源。 下面是示例代码: ```cpp #include <Windows.h> #include <iostream> int main() { for (int i = 1; i <= 255; i++) { std::string portName = "\\\\.\\COM" + std::to_string(i); HANDLE hPort = CreateFile( portName.c_str(), GENERIC_READ | GENERIC_WRITE, 0, NULL, OPEN_EXISTING, 0, NULL ); if (hPort != INVALID_HANDLE_VALUE) { DCB dcb; if (GetCommState(hPort, &dcb)) { std::cout << "串口号: COM" << i << std::endl; std::cout << "波特率: " << dcb.BaudRate << std::endl; std::cout << "数据位: " << dcb.ByteSize << std::endl; std::cout << "奇偶校验: " << dcb.Parity << std::endl; std::cout << std::endl; } CloseHandle(hPort); } } return 0; } ``` 上述代码通过遍历从 COM1 到 COM255 的端口号,打开每个串口并获取其配置信息,并将其输出到控制台。 总结:以上就是使用 Visual C++ 枚举所有串口的方法及示例代码。通过遍历端口号、使用相应的 Win32 API 函数可以实现串口的枚举
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值