VC++实现枚举进程与模块

最新推荐文章于 2021-04-12 20:27:26 发布
最新推荐文章于 2021-04-12 20:27:26 发布
阅读量5.6k 收藏 1
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 信息安全 创业与励志 VC++编程技术 Windows8 Visual C++2010编程技术 互联网创业 Visual Studio2012
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/itcastcpp/article/details/8107293
本文展示了如何使用VC++通过不同方法枚举进程和其加载的模块,包括利用CreateToolhelp32Snapshot、EnumProcessModules、RtlQueryProcessDebugInformation等API,以及提权、遍历PEB等技术。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#pragma once
#define _WIN32_WINNT 0x0500 
#include"windows.h"
#include"tlhelp32.h"
#include"stdio.h"
#include"NativeApi.h"
#include"wchar.h"
#include"psapi.h"//SDK6.0
#pragma comment(lib,"psapi.lib")////SDK6.0,不知道为什么vc6好像没有自带这个头文件??

int GetUserPath(WCHAR* szModPath);
BOOL GetProcessModule(DWORD dwPID)
{
    BOOL bRet    =    FALSE;
    BOOL bFound    =    FALSE;
    HANDLE hModuleSnap = NULL;
    MODULEENTRY32 me32 ={0};
	
    hModuleSnap = ::CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,dwPID);//创建进程快照
    if(hModuleSnap == INVALID_HANDLE_VALUE)
	{   
		printf("获取模块失败!\n");
		return FALSE;
	}
	
    me32.dwSize = sizeof(MODULEENTRY32);
    if(::Module32First(hModuleSnap,&me32))//获得第一个模块
	{
		do{
			
			printf("方法1列模块名:%s\n",me32.szExePath);
		}while(::Module32Next(hModuleSnap,&me32));
	}//递归枚举模块
	
	
	CloseHandle(hModuleSnap);
	return bFound;
}
bool ForceLookUpModule(DWORD dwPID)
{
	
	typedef DWORD( WINAPI *FunLookModule)(
		HANDLE ProcessHandle,
		DWORD BaseAddress,
		DWORD MemoryInformationClass,
		DWORD MemoryInformation,
		DWORD MemoryInformationLength,
		DWORD ReturnLength );
	HMODULE hModule = GetModuleHandle ("ntdll.dll" ) ;
	if(hModule==NULL)
	{ 
		return FALSE;
	}
    FunLookModule ZwQueryVirtualMemory=(FunLookModule)GetProcAddress(hModule,"ZwQueryVirtualMemory");
	if(ZwQueryVirtualMemory==NULL)
	{
		return FALSE;
	}
	HANDLE hProcess=OpenProcess(PROCESS_QUERY_INFORMATION,1,dwPID);
最低0.47元/天 解锁文章

200万优质内容无限畅学
VC 枚举进程
xbmoxia的专栏
01-02 1284
有时我们在使用VC开发时,根据需要偶尔需要查看系统当前正在运行中的所有的进程,此时,可以使用VC开发中给我们提供的一种方法——枚举进程,以下介绍两个实例,主要是通过查看网上其他网友的文章,以及在MSDN上面搜索后本人再进行整理得到的历程。具体的话可以查看每个例子给出相应的网站。         以下每个例子都在VC2010测试通过!   第一个例子:给当前系统运行的所有进程“拍个照”,然后逐
枚举进程加载的所有的模块
天使的薄荷
01-21 1879
 自己写了一个任务管理器,是因为发现冰刃不能在vista下面使用,但是因为工作原因,经常要分析进程加载的模块,但是还没有特别好用的工具,要不乱七八糟的功能太乱,要不就是启动太慢,下面是根据进程id枚举进程加载的所有模块的一个函数void GetAllModules(DWORD dW/*进程id*/){ CString strModule; BOOL                     bF
VC++ 枚举进程模块信息
09-14
Vc++ 枚举进程模块信息, 调试可用, 酷似 冰刃,当然功能不如冰刃。
四种方法实现VC枚举系统当前进程
weixin_33912445的博客
08-30 328
    在Windows 2000以上的MS操作系统,通过Windows的任务管理器可以列出当前系统的所有活动进程(如图1所示),在Windows XP中,更是在控制台下增加了一条Tasklist命令,让系统下的所有进程无所遁行(如图2所示)。这一切是怎么实现的呢?  图 1  图 2 引用侯捷大师在《深入浅出MFC》的一句话,“知其然而不知其所以然,真不是个好办法”。既然如此,我们干脆自己...
VC++ 枚举所有进程信息
03-15
摘要:VC/C++源码,系统相关,枚举进程 运行环境:Windows/Visual C/C++
VC++实现进程模块信息枚举分析
VC++ 枚举进程模块信息的知识点主要包括以下几个方面: ...以上代码和内容详细介绍了使用VC++枚举进程模块信息的技术点,包括其背后的理论知识、实现方法、潜在的应用场景以及安全相关的注意事项。
VC++实现枚举当前进程的简易示例分析
在Windows系统中,可以通过调用特定的Windows API(应用程序编程接口)来实现枚举进程的功能。常用的API包括: - CreateToolhelp32Snapshot:创建一个系统快照,用于捕获系统当前状态下的进程、线程、模块等信息。...
VC++实现Windows进程枚举方法源码解析
枚举进程方面,VC++主要会调用如下两个重要的API函数: #### 2.1 CreateToolhelp32Snapshot `CreateToolhelp32Snapshot`函数可以用来创建系统中进程和线程的快照。它能够捕获当前系统中所有的进程信息,并返回一...
VC枚举系统进程 WINAPI: CreateToolhelp32Snapshot
没用的阿吉
05-08 387
#include <iostream> #include <Windows.h> #include <TlHelp32.h> /* HANDLE WINAPI CreateToolhelp32Snapshot( DWORD dwFlags, //系统快照要查看的信息类型 DWORD th32ProcessID //指向要获取进程快照的ID,获取系...
VC如何枚举系统当前进程listprocess
04-02
VC如何枚举系统当前进程listprocess 代码完整
VC++枚举系统当前进程例子
05-06
VC++枚举系统当前进程例子
[windows 驱动开发] r0 枚举进程
LYSM
04-12 632
#include "ntddk.h" typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation, // 0 SystemProcessorInformation, // 1 SystemPerformanceInformation, // 2 SystemTimeOfDayInformation,
Win64 驱动内核编程-25.X64枚举和隐藏内核模块
天使也掉毛
03-26 4822
X64枚举和隐藏内核模块     在 WIN64 上枚举内核模块的人方法:使用 ZwQuerySystemInformation 的第 11 号功能和枚举 KLDR_DATA_TABLE_ENTRY 中的 InLoadOrderLinks 双向链表;隐藏内核模块的通用方法是把指定的驱动对象从 KLDR_DATA_TABLE_ENTRY中的 InLoadOrderLinks 双向链表上摘除。 X
枚举进程模块
qq_41490873的博客
08-25 376
在winternl.h中定义了PEB 和TEB typedef struct _PEB_LDR_DATA { BYTE Reserved1[8]; PVOID Reserved2[3]; LIST_ENTRY InMemoryOrderModuleList; } PEB_LDR_DATA, *PPEB_LDR_DATA; typedef struct _LDR_DATA_TABLE_ENTRY { PVOID Reserved1[2]; LIST_ENTRY InM
驱动下Wow64栈回溯和进程模块枚举
anhkgg的专栏
09-27 3483
很久没写驱动代码,最近又摸了一下。 在驱动中回溯调用栈,找到特定模块,获取模块地址、大小、路径等信息,然后…。 堆栈回溯 驱动中通常使用RtlWalkFrameChain来获取调用栈信息,接口如下: ULONG RtlWalkFrameChain(OUT PVOID *Callers, IN ULONG Count, IN ULONG Flags); //Callers一个PVOID数组,保存栈中...
枚举进程 模块 堆栈
x
10-22 377
void walkProcess() { HANDLE hSnap = CreateToolhelp32Snapshot( TH32CS_SNAPPROCESS, 0 ); if(hSnap == INVALID_HANDLE_VALUE) return; PROCESSENTRY32 p32; p32.dwSize = sizeof(PROCES...
VC++消息钩子编程
热门推荐
尹成的技术博客
10-23 1万+
一、消息钩子的概念 1、基本概念    Windows应用程序是基于消息驱动的,任何线程只要注册窗口类都会有一个消息队列用于接收用户输入的消息和系统消息。为了拦截消息,Windows提出了钩子的概念。钩子(Hook)是Windows消息处理机制中的一个监视点,钩子提供一个回调函数。当在某个程序中安装钩子后,它将监视该程序的消息,在指定消息还没到达窗口之前钩子程序先捕获这个消息。这样就有机会对此
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

尹成

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值