ARK之进程枚举

最新推荐文章于 2024-07-24 14:44:18 发布
最新推荐文章于 2024-07-24 14:44:18 发布
阅读量2.3k 收藏 3
点赞数 1
分类专栏: 驱动学习 TuDou'sARK 文章标签: 进程枚举 ARK进程枚举 进程枚举总结
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/51591698
版权
本文详细介绍了在Windows系统中进行进程枚举的多种方法,包括CreateToolhelp32Snapshot、EnumProcesses、ZwQuerySystemInformation等API,以及通过内核级别技巧如活动链、句柄表和Csrss.exe等进行进程枚举。每种方法都有其适用场景和特点,对于系统监控和调试非常有用。
摘要由CSDN通过智能技术生成
A.进程
1. 
CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS) /  Process32First / Process32Next
void main()
{
HANDLE hSnap = CreateToolhelp32Snapshot( TH32CS_SNAPPROCESS, 0 );
if( hSnap == INVALID_HANDLE_VALUE )
{
   cout<<"Create Toolhelp false"<<endl;
   return;
}
PROCESSENTRY32 pEntry32 = {0};
pEntry32.dwSize = sizeof(PROCESSENTRY32);
bool bRes = Process32First( hSnap, &pEntry32 );
int pNums = 0;
while( bRes )
{
   pNums++;
   cout<<"PID:"<<pEntry32.th32ProcessID<<"\t"<<"Path:"<<pEntry32.szExeFile<<endl;
   bRes = Process32Next( hSnap, &pEntry32 );
}
CloseHandle( hSnap );
cout<<"Process Nums:"<<pNums<<endl;


}




2.PsApi EnumProcess 
DWORD dProcessIds[1024] = {0};
DWORD dRet = 0;
DWORD dRes = 0;


dRes = EnumProcesses( dProcessIds, sizeof(dProcessIds), &dRet );
if( dRes == 0 )
{
   cout<<"EnumProcesses1 False"<<endl;
   return;
}
int ProcessNums = dRet/sizeof(DWORD);


for( int i = 0; i < ProcessNums; i++ )
   GetProcessPathById( dProcessIds[i] );


cout<<"Process Nums:"<<ProcessNums<<endl;



3.ZwQuerySystemInformation(SystemProcessesAndThreadsInformation)5号 和16号功能SystemProcessesAndThreadsInformation
代码是R0的 但R3也可以使用
5号功能: 
NTSTATUS Status = STATUS_SUCCESS;
NtQuerySystemInformation( 5, pBuff, 0, &uRet );


pBuff = (PCHAR)ExAllocatePool( NonPagedPool, uRet );
pTemp = pBuff;


Status = NtQuerySystemInformation( 5, pBuff, uRet, NULL );
if( NT_SUCCESS(Status) )
{
  
   while( 1 )
   {
    PSYSTEM_PROCESS_INFORMATION pSystemProcessInfo = (PSYSTEM_PROCESS_INFORMATION)pTemp;
    RtlUnicodeStringToAnsiString( &ansi, &pSystemProcessInfo->ImageName, TRUE );
    DbgPrint("PId:%d\t", pSystemProcessInfo->ProcessId);
    DbgPrint("Path:%s\n", ansi.Buffer );
    RtlFreeAnsiString( &ansi );


    if( pSystemProcessInfo->NextEntryOffset == 0 )
     break;
    pTemp = pTemp+pSystemProcessInfo->NextEntryOffset;


   }


}


16号功能: 
void EnumProcessBy_16()
{
NTSTATUS Status = STATUS_SUCCESS;
PCHAR pBuff = NULL;
ULONG uNums = 0;
ULONG uRet = 0;
PSYSTEM_HANDLE_INFORMATION_EX pSystemHandle = NULL;


pBuff = (PCHAR)ExAllocatePool( NonPagedPool, 100 );


Status = ZwQuerySystemInformation( 16, pBuff, 100, &uRet );
ExFreePool( pBuff );


pBuff = (PCHAR)ExAllocatePool( NonPagedPool, uRet );


Status = ZwQuerySystemInformation( 16, pBuff, uRet, NULL );
if( NT_SUCCESS(Status) )
{
   ULONG index = 0;
   LONG PId = -1;
   pSystemHandle = (PSYSTEM_HANDLE_INFORMATION_EX)pBuff;
   uNums = pSystemHandle->NumberOfHandles;


   for(; index < uNums; index++ )
   {
    if( pSystemHan
最低0.47元/天 解锁文章
zhuhuibeishadiao
关注
专栏目录
关于PsGetProcessImageFileName获取结果不全的问题
Think88666的博客
09-21 1938
最近在使用该例程时发现一个问题,其返回值并不完整,返回名称是残缺不全的15字节,
ARK之杀进程这点小事-有线程补充
zhuhuibeishadiao
06-07 3125
A.NtTerminateProcess B.涂改内存    //内存清0 C.卸载模块 //free ntdll.dll或主模块 D.窗口攻击 //发close quit 洪水 或 SetParant 这演示SetParant R3 如果要这么做的话最好在内核中使用更底层的函数 这提一下枚举窗口 使用EnumWinodws是调用内核中NtUserBuildHwndList 这个函数
HOOK SwapContext 枚举隐藏进程(学习笔记4)(1)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-26 1166
HOOK SwapContext 枚举隐藏进程(学习笔记4) 作者:windows内核安全技术站A盾电脑防护 dump 文件接收:asm32asm@gmail.com " style="text-decoration:none; color:rgb(69,82,95)">A盾电脑防护 | 分类: 分类:进程 | 标签: | 2012-2-21 作 者: bzhkl
鸿蒙next开发:方舟字节码基本原理规范
最新发布
DMZDAMS的博客
07-24 900
​方舟字节码中,除寄存器和累加器之外,还存在全局变量、模块(module)命名空间和模块变量、词法环境和词法变量、补丁变量4种值存储方式。指令可以使用这4种储值位置中的值作为入参。
ark是什么
weixin_30825199的博客
04-08 799
https://github.com/QuadHex/ARK/releases 0.8.0版本网络使用evpp 调用 https://www.jianshu.com/p/9f09928829ba 转载于:https://www.cnblogs.com/hshy/p/10668623.html
方舟等级生成工具_让恐龙感受被支配的恐惧!《方舟:生存进化》手游沙盒挑战无极限...
weixin_39954464的博客
12-14 252
很自由但肝度却很高,这应该是现有的沙盒游戏玩家们所遇到的最大问题了。虽然说在大量的沙盒游戏中都会出一个上帝模式,让玩家自由自在的创造自己想要建造的建筑物,但玩过沙盒游戏的玩家在玩一段时间这个模式之后都会感到无聊,原因在于没有挑战性,生存才是沙盒游戏的最好玩的一点。对此,《方舟:生存进化》手游的设计师们就提出了一个脑洞大,但却很合理的建议,这一举措也使得《方舟:生存进化》手游成功的从同类型游戏当中脱...
驱动开发:内核监控进程与线程回调
m0_56069948的博客
10-23 617
系统中监控进程与线程可以使用微软提供给我们的两个新函数来实现,此类函数的原理是创建一个回调事件,当有进程或线程被创建或者注销时,系统会通过回调机制将该进程相关信息优先返回给我们自己的函数待处理结束后再转向系统层。那么会提示连接的设备没有发挥作用,我们则成功拦截了这次打开,当然如果在打开进程之前扫描其特征并根据特征拒绝进程打开,那么就可以实现一个简单的防恶意程序,进程监控在防恶意程序中也是用的最多的。如上,该函数只有两个参数,第一个参数是回调函数,第二个参数是是否注销,通常在驱动退出时可以传入。
驱动开发:内核枚举进程与线程ObCall回调
「 虚幻私塾」
10-22 190
首先我们需要定义好结构体,结构体是微软公开的,如果有其它需要请自行去微软官方去查。线程回调,之所以放在一起来讲解是因为这两中回调在枚举是都需要使用通用结构体。中我们通过特征码定位实现了对注册表回调的枚举,本篇文章。的枚举,如果是想要输出线程句柄,则只需要替换代码中的。就可以拿到链表头结构,得到后将其解析为。代码部分的实现很容易,由于进程与。所以放在一起来讲解最好不过。运行这段驱动程序,即可得到。运行这段驱动程序,即可得到。将教大家如何枚举系统中的。即可,修改后的代码如下。的枚举很容易,直接通过。
linxer大牛的ARK工具: XueTr.020 (类似冰刃的软件)
02-18
增加了枚举窗口,和对窗口的操作 3.增加了禁止待机、注销、关机和重启功能 2009-01-26 0.16版本: 1.界面语言自适应(在中文操作系统上是中文,其它操作系统是英文) 2.注册表部分引入了Hive分析,默认是不开启...
通过进程ID得到进程
weixin_34074740的博客
09-20 376
在内核中,通过进程ID,得到进程名称,有多种方法。 我使用了两种方法,第一种是使用ZwOpeProcess得到句柄 然后ObReferenceObjectByHandle函数得到PEPROCESS结构,然后 char *ProcessName = (char*)EProcess + 0x174; 第二种方法是得到PEPROCESS结构之后,使用PsGetProcess...
[内核安全7]内核级的进程的监控
輚至消亡
02-17 809
0. 导言 进程的监控可以通过挂钩SSDT表中的NtOpenProcess来实现,但是现在这种方式已经不怎么用了,因为不稳定在者可能会被认为是恶意软件。微软知道这个问题所以为我们提供了专门的内核接口来实现这种功能。 1. PsSetCreateProcessNotifyRoutine 通过PsSetCreateProcessNotifyRoutine来监控进程, 该内核函数有个升级版PsSetCreateProcessNotifyRoutineEx。这个升级版功能更强大但只能在Vista版本以后使用,
驱动 进程回调中修改导入表插入DLL (只做了一点儿修正不算原创)
落笔飞花笑百生的博客
04-27 879
 //虽然现在对很多程序的注入都一点儿问题 ,不过一般的程序还是能注入的 最好建议使用zwCreateThreadEX来注入 好处你懂的= =我修正了判断EXE名字 因为 直接用PsGetImageFileNmae 会获取名字不完整因为某结构中只保存了16 char的 内容 不同系统 还不一样= = 所有就用这个 还有就是 卸载驱动会蓝屏= =因为 系统在回调数组中找到了指向我们这回调函数
windows 内核下获取进程路径
10-09 658
windows 内核下获取进程路径 思路:1):在EPROCESS结构中获取。此时要用到一个导出函数:PsGetProcessImageFileName,申明如下: NTSYSAPI UCHAR * PsGetProcessImageFileName( __in PEPROCESS Process ); 此函数获取的是一个简单的进程名,...
进程挂靠后使用PsGetCurrentProcessId获取的进程ID不准
Sven的忘却日记
06-01 1871
如题,在使用KeStackAttachProcess挂靠到目标进程后,又调用了一系列子函数,此时并没有把EPROCESS传进去。 PEPROCESS pProcess = NULL; KAPC_STATE apc; NTSTATUS status = PsLookupProcessByProcessId((HANDLE)pid, &pProcess); if (NT_SUCCESS(status)) { KeStackAttachProcess(pProcess, &apc);
通过GetProcessNameByProcessId得到进程路径
kernweak的博客
07-19 3981
写主防时,为了拿到进程路径,所以查询发现一种发现一种方式是通过PID,调用PsLookupProcessByProcessId(ProcessId, &ProcessObj)拿到进程的EPROCESS,然后PsGetProcessImageFileName(ProcessObj)拿到进程进程路径。 现在看下PsLookupProcessByProcessId资料 kd> u P...
pjf获得SwapContext地址方法的解析
misterliwei的专栏
12-21 5535
pjf获得SwapContext地址方法的解析 在用hook SwapContext法来检查隐藏进程时,首要条件是获得SwapContext的地址。Pjf在博文 ([1]) 中提出了使用线程KernelStack中保存的地址来获得SwapContext地址的方法。本文主要来解析此法。注意本文中正在运行的、即将被换出的线程我们称为旧线程;即将换进的线程称为新线程。 SwapConte
PsGetProcessImageFileName
weixin_34308389的博客
06-29 2876
今天才知道居然还有个PsGetProcessImageFileName函数 以前都是读取EPROCESS的偏移0x174 转载于:https://www.cnblogs.com/fanzi2009/archive/2010/07/27/1786099.html
ARK3399芯片技术规格与应用解析
"ark3399芯片是 Ark Micro Technologies Inc. 生产的一款微处理器,主要应用于倒车影像系统和智能小车的研发。该芯片的规格文档版本为V1.0,发布时间为2010年11月。 ark3399芯片支持USB2.0 PC Camera Controller功能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值