Windows 10 x64 Ring0 遍历进程

已于 2023-04-09 11:57:41 修改
阅读量231 收藏
点赞数 1
分类专栏: 底层 C\C++ 功能函数 文章标签: c++ 开发语言
于 2023-03-25 11:36:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zcy5157912/article/details/129764767
版权

原理:进程PID都为4的整数倍

#include<ntifs.h>
#include <ntddk.h>
#include <stdio.h>
#include <stdlib.h>
#include<windef.h>
#include <winapifamily.h> 
#include <ntimage.h>
#include<wdm.h>
NTKERNELAPI NTSTATUS PsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS *Process);
NTKERNELAPI PCHAR PsGetProcessImageFileName(PEPROCESS Process);
VOID TraverseProcess() {
	NTSTATUS s = 0;
	PEPROCESS pe = NULL;
	for (size_t i = 0; i < 100000; i+=4)
	{
		s = PsLookupProcessByProcessId((HANDLE)i, &pe);
		if (NT_SUCCESS(s)){
		DbgPrint("ProcessName:%s,PID:",PsGetProcessImageFileName(pe),s)
		}
		pe = NULL;
		}
	}
}
海鸥的诀别诗
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
进程+遍模块
hambaga的博客
05-29 2719
进程有多种方法,我是用的是 CreateToolhelp32Snapshot 进程快照的方式;遍模块我用的是 Process Status Helper 的函数,VC6需要下载 psapi.h 和相应的静态库文件,我已经上传好了。 https://pan.baidu.com/s/1AY-6J1rZ0nM4QGIy4uSVkQ 提取码:ord2 我下面的代码可以用32位的VC6或者visual studio编译,可以遍32/64位进程,但是只能遍32位进程的模块,因为32位编译的 EnumProce
64位系统下进程的内存布局
lwoyvye
12-01 8580
环境 操作系统:ubuntu15.04 物理内存:4G 测试程序 #include<stdio.h> #include<stdlib.h>int a; int b=1;main() { int n = 0; char *p1 = NULL; char *p2 = NULL; const int s = 10; p1 = (char*)malloc(200
ring0层监视进程与线程
吾无法无天的博客
02-17 572
项目属性--->链接器---->命令行的其他选项加入 /INTEGRITYCHECK #include <ntifs.h> #include <ntddk.h> VOID CreateProcessNotifyEx( _Inout_ PEPROCESS Process, _In_ HANDLE ...
进程的4种方法
windless0530的专栏
04-17 1万+
原贴也是转帖,只不过此人没给原链接……http://pegasus827.bokee.com/6213525.html P.S. 在98系统上,估计只有第一种方法有效。  方法一 第一种方法是大家比较熟悉的通过ToolHelp Service提供的API函数来实现。这里用到了3个关键的函数:CreateToolhelp32Snapshot(),Process32Fi
x64驱动 遍 PspCidTable 枚举隐进程和线程
LYSM
06-05 2828
介绍 PspCidTable 是一个内核句柄表,存放进程和线程的内核对象(EPROCESS 和 ETHREAD),并通过 PID 和 TID 进行索引(所以进程ID和线程ID不可能相同),ID 号以 4 递增。 获取 PspCidTable 地址 win7: PsLookupProcessByProcessId(被导出) -> PspCidTable win10: PsLookupProcessByProcessId(被导出) -> PspReferenceCidTableEntry -&g
进程内存
qq_41490873的博客
11-30 994
// inject.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include<Windows.h> #include <stdio.h> #define STATUS_UNSUCCESSFUL (0xc0000001) #define STATUS_INFO_LENGTH_MISMATCH 0xc0000004 #define NT_SUCCESS(x) ((x) >= 0) typedef enum _PROCESSINFOCLAS
Windows x86/ x64 Ring3层注入Dll总结
09-30
Windows x86/x64 Ring3层注入Dll总结】 在Windows操作系统中,Ring3层指的是用户模式,这是应用程序运行的层次。Dll注入是一种技术,它允许一个进程将自己的代码(通常是一个动态链接库,Dll)注入到另一个进程中...
ring0驱动开发Rootkit隐藏进程.zip
01-25
ring0驱动开发Rootkit隐藏进程.zip
ring0驱动层上实现 隐藏进程(无进程 无端口 无服务)的简单demo.zip
01-24
在IT领域,尤其是在系统安全和恶意软件分析中,"ring0驱动层上实现隐藏进程"是一种高级技术,它涉及到操作系统内核级别的编程。Ring0是CPU执行级别中的最高权限级别,通常只允许操作系统核心和设备驱动程序访问。...
内核线程注入x64
11-22
驱动程序在Ring0运行,可以访问所有系统资源,包括其他进程的地址空间。 接下来,我们讨论如何“Attach”到目标进程。在Windows系统中,驱动程序可以通过 ZwOpenProcess 函数获得目标进程的句柄,这允许我们对目标...
C/C++ 遍进程内存块
CSDN
07-16 1万+
它使用了Windows API函数来遍指定进程的所有内存块,并输出每个内存块的相关信息。该代码可以帮助了解目标进程的内存布局,以及各个内存块的属性。的函数,用于枚举指定进程的所有内存块。该代码使用Windows API函数实现了遍指定进程的内存块的功能,并输出了每个内存块的地址、大小和保护属性等信息。使用循环遍内存块的向量,并输出每个内存块的相关信息,包括基地址、分配基地址、内存块大小、内存块状态、内存保护属性等。在主函数中,创建了一个进程快照句柄,用于获取当前系统中的进程信息。
C/C++ 扫描特定进程内存状态
m0_46135508的博客
09-03 893
C/C++ 扫描特定进程内存状态 扫描内存分页情况: #include <iostream> #include <windows.h> VOID ScanMemory(HANDLE hProc) { SIZE_T stSize = 0; PBYTE pAddress = (PBYTE)0; SYSTEM_INFO sysinfo; MEMORY_BASIC_INFORMATION mbi = { 0 }; //获取页的大小 ZeroMemory(&sysinf
windows 64位程序获取虚拟内存总结
sz76211822的专栏
04-08 942
1.32位进程获取的虚拟内存的最大数是4G。64位获取虚拟内存的最大数是140737488224256,换算成16进制是0x7FFFFFFE0000 2.双内存条机器调用api函数最好使用GlobalMemoryStatusEx 3.64位的exe调用api函数最好使用GlobalMemoryStatusEx 4.在cmd里面输入systeminfo可以查看虚拟内存、物理内存、处理器以及其他信息 5.MEMORYSTATUSEX结构体的ullTotalPageFile成员变量对应虚拟内存的最大值
C/C++遍进程的模块
热门推荐
CSDN
07-16 1万+
这段代码的目的是通过遍进程和模块快照,查找到QQ音乐进程,并打印出其模块名。这段代码使用了Windows的Toolhelp32Snapshot API,遍给定进程的模块快照并打印模块信息。这段代码的目的是获取指定进程的模块信息,并打印出模块的文件名。这段代码使用了Windows API来获取指定进程的模块信息,并打印出模块名。函数,将分配的内存空间作为模块句柄数组传入,并传入先前获取的字节数。函数获取第一个模块的信息,返回一个布尔值表示是否成功。表示进程的ID,将获取该进程的模块信息。
关于C/C++读写64位内存的实例笔记
qq_31265889的博客
09-01 7248
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 关于C/C++读写64位内存的实例笔记前言1.引入库2.定义变量3.实际读写操作最后 前言 ReadProcessMemory和WriteProcessMemory这两个函数几乎是所有跨进程读写内存都要用到的函数,目前网站上大多数案例都为32位进程读写,无法读取到64位内存信息。 本文主要就C/C++中的ReadProcessMemory和WriteProcessMemory这两个函数对于x64进程的内存读写操作进行说明。 提示:以下是
枚举进程的内存块
zzz3265的专栏
11-10 3673
#include "ProcMemInfo.h" #include "../NSimple.h" #include CProcMemInfo::CProcMemInfo() { Init(); } CProcMemInfo::~CProcMemInfo() { } BOOL CProcMemInfo::Init() { m_pMinAddr = NSys::GetSystemInfo()->lpMinimumApplicationAddress;
GetModuleFileNameEx遍获取64bit程序路径失败的一种解决方法(Win7-64-bit)
weixin_30500473的博客
04-26 322
根据官方的说法: For the best results use the following table to convert paths. Windows 2000 = GetModuleFileNameEx()Windows XP x32 = GetProcessImageFileName()Windows XP x64 = GetProcessImageFileName()Window...
通过PEB遍进程模块(x64/wow4)
HXD1C6001的博客
11-14 527
未整理 转载于:https://www.cnblogs.com/IMRIVER/p/9960785.html
WindowsRing0级进程保护组件:SSDT HOOK技术实现
Windows操作系统中,实现进程保护通常需要深入到系统的核心层,即Ring0级别。这篇文档详细介绍了如何利用SSDT(System Service Descriptor Table,系统服务描述符表)HOOK技术来设计和实现一个Ring0级别的进程保护...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

海鸥的诀别诗

谢谢,龙咬会继续努力的!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值