遍历进程+遍历模块

原创 于 2020-05-29 20:55:05 发布 · 2.9k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

这篇博客介绍了如何通过CreateToolhelp32Snapshot获取进程快照以及使用Process Status Helper(psapi)库的EnumProcessModules函数遍历进程模块。作者提供了适用于32位VC6或Visual Studio的代码,能够遍历32/64位进程,但仅能枚举32位进程模块。为枚举64位模块,需要对代码进行修改,主要涉及指针转换的部分。

遍历进程有多种方法,我是用的是 CreateToolhelp32Snapshot 进程快照的方式;遍历模块我用的是 Process Status Helper 的函数,VC6需要下载 psapi.h 和相应的静态库文件,我已经上传好了。
https://pan.baidu.com/s/1AY-6J1rZ0nM4QGIy4uSVkQ
提取码:ord2

我下面的代码可以用32位的VC6或者visual studio编译,可以遍历32/64位进程,但是只能遍历32位进程的模块,因为32位编译的 EnumProcessModules 函数只能枚举32位进程的模块。如果程序是64位的,则可以枚举64位进程的模块,如果需要使程序能枚举64位进程模块,可以自行修改(要改的地方应该蛮多的,涉及指针强转的都要改)。

程序运行结果是这样的:
打印了程序和子模块的 ImageBase 和 SizeOfImage

在这里插入图片描述

代码

// EnumProcessAndModules.cpp : Defines the entry point for the console application.
//

#include "StdAfx.h"
#include <stdio.h>
#include <MALLOC.H>
#include <windows.h>
#include <LOCALE.h>
#include <TLHELP32.H>
#include <psapi.h>
#pragma comment(lib,"psapi.lib")

#include <vector>

#ifdef _UNICODE
#define _tprintf wprintf
#else
#define _tprintf printf
#endif



struct ModuleInfo
{
	TCHAR szExeFile[MAX_PATH];	// 模块文件名
	DWORD ImageBase;
	DWORD SizeOfImage;
};

struct ProcessInfo
{
	ModuleInfo MainModuleInfo;	// 主模块信息
	DWORD dwPID;				// 进程ID
	ModuleInfo *modules;		// 子模块数组
	DWORD dwModules;			// 子模块数量

// 	~ProcessInfo()
// 	{
// 		free(modules);
// 	}
};

DWORD TakeProcessSnapshot(std::vector<ProcessInfo> &processInfos);
DWORD EnumModulesHandle(HANDLE hProcess, HMODULE **lpModule);



int main(int argc, char* argv[])
{
	setlocale(LC_ALL, "");
	std::vector<ProcessInfo> processInfos;
	TakeProcessSnapshot(processInfos);
	
	for (int i = 0; i < processInfos.size(); i++)
	{
		_tprintf(TEXT("PID: %6d\t%s\n"), processInfos[i].dwPID, processInfos[i].MainModuleInfo.szExeFile);
		for (int j = 0; j < processInfos[i].dwModules; j++)
		{
			_tprintf(TEXT("\t\t%x\t%x\t%s\n"), processInfos[i].modules[j].ImageBase, processInfos[i].modules[j].SizeOfImage, processInfos[i].modules[j].szExeFile);
		}
	}
	printf("Bye\n");
	getchar();
	return 0;
}

// 枚举进程地址空间内的模块句柄,返回数组长度
DWORD EnumModulesHandle(HANDLE hProcess, HMODULE **lpModule)
{
	DWORD cbBytesNeeded = 0;
	// 备注:EnumProcessModules 函数无法枚举64位进程的模块,除非程序以64位编译
	EnumProcessModules(hProcess, NULL, 0, &cbBytesNeeded); // 计算数组大小
	*lpModule = (HMODULE *)malloc(cbBytesNeeded + 0x1000);
	EnumProcessModules(hProcess, *lpModule, cbBytesNeeded + 0x1000, &cbBytesNeeded); // 枚举模块句柄
	return cbBytesNeeded / sizeof(HMODULE);
}

// 获取当前所有进程的信息
DWORD TakeProcessSnapshot(std::vector<ProcessInfo> &processInfos)
{
	processInfos.clear();
	// 获取进程快照,得到当前所有进程的PID
	PROCESSENTRY32 pe32;
	pe32.dwSize = sizeof(PROCESSENTRY32);
	HANDLE hProcessSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	if (hProcessSnapshot == INVALID_HANDLE_VALUE)
	{
		MessageBox(NULL, TEXT("获取进程快照失败"), TEXT("Error"), MB_OK);
		return -1;
	}	
	// 遍历进程
	BOOL bNext = Process32First(hProcessSnapshot, &pe32);
	while (bNext)
	{
		ProcessInfo psi;
		memset(&psi, 0, sizeof(ProcessInfo));
		lstrcpy(psi.MainModuleInfo.szExeFile, pe32.szExeFile);
		psi.dwPID = pe32.th32ProcessID;		
		
		HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, FALSE, psi.dwPID);
		if (hProcess != NULL)
		{
			HMODULE *lpModuleHandle = NULL;
			psi.dwModules = EnumModulesHandle(hProcess, &lpModuleHandle);
			psi.modules = (ModuleInfo*)malloc(psi.dwModules * sizeof(ModuleInfo));
			MODULEINFO moduleInfo;
			for (size_t i = 0; i < psi.dwModules; i++)
			{
				GetModuleInformation(hProcess, lpModuleHandle[i], &moduleInfo, sizeof(MODULEINFO));
				//printf("\t%x\t%x\n", lpModuleHandle[i], moduleInfo.SizeOfImage);
				GetModuleFileNameEx(hProcess, lpModuleHandle[i], (psi.modules)[i].szExeFile, MAX_PATH);
				(psi.modules)[i].ImageBase = (DWORD)(lpModuleHandle[i]);
				(psi.modules)[i].SizeOfImage = moduleInfo.SizeOfImage;
			}
			free(lpModuleHandle);
		}
		processInfos.push_back(psi);
		bNext = Process32Next(hProcessSnapshot, &pe32);
	}
	return 0;
}
hambaga
关注
c++检查某个进程是否已加载某个dll
qq_36728008的博客
09-22 1533
#include &lt;TlHelp32.h&gt; #include &lt;process.h&gt; //检查某个进程是否已加载某个dll bool ProcessHasLoadDll(DWORD pid, TCHAR* dll) { HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, pid); if (INV...
X64进程遍历并获取进程主线程
qq_36453052的博客
12-03 2414
x64下windbg显示的进程结构体 1: kd> dt _SYSTEM_PROCESS_INFORMATION ole32!_SYSTEM_PROCESS_INFORMATION    +0x000 NextEntryOffset  : Uint4B    +0x004 NumberOfThreads  : Uint4B    +0x008 WorkingSetPrivateSize
准确在64系统下枚举进程模块
04-08
32进程中使用WMI枚举其他进程模块,支持32系统和64系统。
进程管理 使用CreateToolhelp32Snapshot获取系统进程
10-28
提升权限,进程结束,键盘钩子,鼠标钩子 使用CreateToolhelp32Snapshot获取系统进程 //提高权限.可结束太部分进程 BOOL CProcesskillDlg::UpdateProcessPrivilege(HANDLE hprocess,LPCTSTR lpName) { HANDLE hToken; HANDLE hProcess; LUID destLuid; int iResult; if(hprocess == NULL) hProcess = GetCurrentProcess(); else hProcess = hprocess; if ( ::OpenProcessToken( hProcess, TOKEN_ALL_ACCESS, &hToken ) ) { if ( ::LookupPrivilegeValue( NULL, lpName/*SE_DEBUG_NAME*/, &destLuid ) )
遍历某一个进程模块
charge_release的博客
08-11 2314
#include "stdafx.h" #include <windows.h> #include <TlHelp32.h> #include <locale.h> bool GetModuleList(DWORD dwPId) { HANDLE hModuleSnap = INVALID_HANDLE_VALUE; MODULEENTRY32 me32 = { siz
e语言-32进程枚举64进程模块信息
08-23
资源介绍:' WOW6432程序其实拥有64程序的全部功能,包括32注入64、枚举64进程模块、Hook64模块、调用64API等等等等....' 因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64进程,只是自己以为是32程序而已. 所以Wow64进程 里面' 既有 64环境结构,又有32环境结构, 使用api  NtWow64QueryInformationProcess64 可以获取 进程64PEB结构地址,' 使用api  NtWow64ReadVirtualMemory64 可以读取进程64内存地址的数据. 通过PEB64结构进行遍历进程64模块!资源作者:
精选资源
Windows内核驱动EPROCESS遍历进程模块
12-14
"EPROCESS遍历进程模块"这个主题涉及到的是如何在内核驱动中获取并遍历当前系统中所有进程的加载模块信息。EPROCESS结构体在Windows内核中代表一个进程,而模块则是进程执行时加载的动态链接库(DLL)或其他可执行...
易语言遍历进程模块
08-21
易语言遍历进程模块源码系统结构:GetDword,GetWord,GetEaxDword,遍历模块,WideCharToMultiByte,LocalAlloc,LocalFree, ======窗口程序集1 || ||------GetDword || ||------GetWord || ||------GetEaxDword || ||----...
易语言源码易语言遍历进程模块源码.rar
02-22
易语言源码易语言遍历进程模块源码.rar 易语言源码易语言遍历进程模块源码.rar 易语言源码易语言遍历进程模块源码.rar 易语言源码易语言遍历进程模块源码.rar 易语言源码易语言遍历进程模块源码.rar 易语言源码...
精选资源
Linux编写内核模块新增系统调用遍历进程树--基于Ubuntu20.04.03LTS实现
02-18
利用该系统调用能够遍历系统当前所有进程的任务描述符,并按进程父子关系将这些描述符所对应的进程id(PID)组织成树形结构显示。 实验环境: Ubuntu 20.04.03 LTS,Kernel Version 5.13.0(截至2022年2月18日Ubuntu...
精选资源
易语言遍历进程模块源码-易语言
06-13
在易语言中,遍历进程模块是一项基础但重要的技术,它涉及到操作系统层面的进程管理和信息获取。在这个场景下,"易语言遍历进程模块源码"指的是使用易语言编写的一段程序,该程序能够列举并获取当前系统中运行的所有...
Windows进程模块查看器-支持3264进程
05-06
本工具通过读取进程PEB数据遍历进程所加载的模块信息,包括模块名,模块路径,模块基地址等信息,支持6432进程
32进程枚举64进程模块信息
06-02
资源介绍:。' WOW6432程序其实拥有64程序的全部功能,包括32注入64、枚举64进程模块、Hook64模块、调用64API等等等等....' 因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64进程,只是自己以为是32程序而已. 所以Wow64进程 里面。' 既有 64环境结构,又有32环境结构, 使用api  NtWow64QueryInformationProcess64 可以获取 进程64PEB结构地址,。' 使用api  NtWow64ReadVirtualMemory64 可以读取进程64内存地址的数据. 通过PEB64结构进行遍历进程64模块!。资源作者:。@iokey。资源下载:。Tags:64进程
【超详细】遍历Windows进程模块
weixin_33778544的博客
11-11 1632
直奔主题 摘要上一篇文章详细介绍了如何 遍历Windows进程。这篇文章主要是对获取的系统进程作进一步处理,依次遍历每一个进程中使用的模块!主要是用到了Module32First以及Module32Next两个函数,思路就是在之前的进程外层循环中新增一个模块内层循环 具体思路(1).使用CreateToolhelp32Snapshot以及...
通过PEB遍历进程模块(x64/wow4)
HXD1C6001的博客
11-14 662
未整理 转载于:https://www.cnblogs.com/IMRIVER/p/9960785.html
遍历 进程
weixin_34365417的博客
08-26 135
BOOL Crar2Dlg::FindProcess(CString ProcessName) { HANDLE handle=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); BOOL ret = FALSE; PROCESSENTRY32* info=new PROCESSENTRY32;//声明进程信息变量 ...
32 64 获得进程peb的方法
aijuzhou1959的博客
02-14 684
基于上一篇文章,大概了解了peb的获取方法,但是那个方法只能获得当前进程的PEB,不能获得其他的进程的PEB。根据那个思想,获得其他进程PEB则需要注入,得到进程信息,然后进程间通信,将信息返回来,经过考虑,这个方法太复杂。 下面介绍的方法是 用了一个未公开的函数NtQueryInformationProcess,获得进程信息,然后去读对方进程ReadProcessMemory。 结...
GetModuleFileNameEx遍历获取64bit程序路径失败的一种解决方法(Win7-64-bit)
weixin_30500473的博客
04-26 398
根据官方的说法: For the best results use the following table to convert paths. Windows 2000 = GetModuleFileNameEx()Windows XP x32 = GetProcessImageFileName()Windows XP x64 = GetProcessImageFileName()Window...
32程序下调用64函数——进程32模式与64模式切换
aijuzhou1959的博客
08-01 716
之前学习的32进程中调用64进程函数的知识整理一下,也就是32模式与64模式之间的切换。 相关博客:http://www.cnblogs.com/lanrenxinxin/p/4821152.html 这个博客中提到了github上的开源库,我在另一份开源项目中也看到了个库,可以切换3264。 如果对这个功能具体实现比较感兴趣的朋友可以看看下面的内容。 我阅读了源码...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值