Win32汇编实现枚举进程(PSAPI.DLL)

最新推荐文章于 2023-08-04 17:49:58 发布
最新推荐文章于 2023-08-04 17:49:58 发布
阅读量2.1k 收藏
点赞数
分类专栏: Win32汇编(MASM) 文章标签: 汇编 path website byte query blog
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Modest/article/details/2077455
版权

EnumProcesses是PSAPI提供的导出函数,利用该函数可以在无须快照的情况下枚举进程,甚至可以枚举出一些简单的隐藏进程。本例中的枚举用到了回调过程,在回调过程中用户可以随时决定是否中断枚举,从而有效的控制枚举过程。另外,进程隐藏与否的状态也可以在回调过程的参数中取得。如果结合笔者的一篇《Win32汇编实现提升进程Debug权限的两种方法 》文章,则可以进一步扩大枚举范围。本例在XP(SP2)和Vista下测试通过。 
(声明:魏滔序原创,转贴请注明出处。)

;::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
; Win32汇编实现枚举进程(PSAPI.DLL)
; Programmed by 魏滔序                  
; WebSite: http: // www.chenoe.com        
; Blog: http: // blog.youkuaiyun.com / Modest         
;:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
    . 486                                    ;   create    32    bit   code 
    .model   flat,   stdcall               ;    32    bit   memory   model 
     option    casemap   :none               ;    case    sensitive 
        
    include    windows.inc 
    include    psapi.inc
    include    kernel32.inc 
    includelib psapi.lib
    includelib kernel32.lib     
    
    include    user32.inc 
    includelib user32.lib
    
    EnumProcs proto :DWORD
    CallProc Proto :DWORD,:DWORD,:DWORD,:DWORD
.data 
    szPSAPI          db  ' psapi.dll',0
    szGetProcessImageFileNameA db  ' GetProcessImageFileNameA',0
    text db  ' %d',0
.code 
Start:

invoke    EnumProcs,addr CallProc
invoke    ExitProcess, 0

EnumProcs    Proc dwCallProc
    LOCAL    dwProcs[ 1023 ], dwProcCount 
    LOCAL    cbNeeded, dwPID
    LOCAL    hProcess, hModule, szName[MAX_PATH]: BYTE
    LOCAL    i, dwHide,dwCancel

    Invoke    EnumProcesses,addr dwProcs, SIZEOF dwProcs,ADDR cbNeeded
        .If    EAX ! =   0

        MOV    EAX,cbNeeded
        CDQ
        MOV    ECX,  4
        IDIV    ECX 
            MOV    dwProcCount ,EAX

        MOV    dwPID,0CH
        .While     TRUE  
                Invoke    OpenProcess,PROCESS_QUERY_INFORMATION  Or  PROCESS_VM_READ,  FALSE , dwPID
                MOV    hProcess,EAX
                   .If    hProcess ! =   0

                        MOV    dwHide, TRUE
                MOV    i, 0
                        .While     TRUE
                    LEA    EAX,dwProcs
                    MOV    ECX,i
                    IMUL    ECX, 4
                    ADD    EAX,ECX
                    MOV    EAX,[EAX]
                    
                    .IF dwPID  ==  EAX
                                MOV    dwHide, FALSE
                                .Break .If  TRUE
                            .EndIf
                            
                            INC    i
                            MOV    EAX,dwProcCount 
                            .Break  .IF i  ==  EAX
                        .EndW
                        
                        Invoke    EnumProcessModules,hProcess, ADDR hModule,  4 , ADDR cbNeeded
                        .If    EAX ! =   0
                            Invoke    GetModuleFileNameEx,hProcess, hModule, addr szName, MAX_PATH
                            
                            MOV    dwCancel, FALSE
                            LEA    EAX,dwCancel
                            PUSH    EAX
                            PUSH    dwHide
                            LEA    EAX,szName
                            PUSH    EAX
                            PUSH    dwPID
                             CALL     dwCallProc
                            
                            .If    dwCancel == TRUE
                                Invoke    CloseHandle,hProcess
                                MOV    EAX, FALSE
                                RET
                            .EndIf
                            
                        .Else
                                PUSH    MAX_PATH
                                LEA    EAX,szName
                                PUSH    EAX
                                PUSH    hProcess
                                Invoke    LoadLibrary,addr szPSAPI
                                Invoke    GetProcAddress,EAX, addr szGetProcessImageFileNameA
                                 CALL     EAX
                                
                                MOV    dwCancel, FALSE
                            LEA    EAX,dwCancel
                            PUSH    EAX
                                PUSH     - 1
                            LEA    EAX,szName
                            PUSH    EAX
                            PUSH    dwPID
                             CALL     dwCallProc
                            
                            .If    dwCancel == TRUE
                                Invoke    CloseHandle,hProcess
                                MOV    EAX, FALSE
                                RET
                            .EndIf
                            
                        .EndIf
                        Invoke    CloseHandle,hProcess
                   
                   .EndIf
;                    
                    ADD    dwPID, 4
                    .Break  .IF dwPID  >  0FFFFH
            .EndW
    .EndIf
    MOV    EAX, TRUE
    RET
EnumProcs    EndP

CallProc Proc dwPID,szName,dwHide,dwCancel
    LOCAL szBuffer[ 10 ]: byte

    Invoke wsprintf,addr szBuffer,addr text,dwPID
    Invoke MessageBox, NULL, szName,addr szBuffer,MB_OK    
    
    ;以下5行用来决定是否继续枚举
    mov ecx,dwCancel 
    assume ecx:ptr 
    push  TRUE    ;←-如果为FALSE则继续枚举,TRUE则停止,所以在本例中仅枚举出第一个进程。
    pop [ecx]
    assume    ecx: nothing
    
    ret
CallProc endp

 End     Start
DLL注入学习总结
bcbobo21cn的专栏
04-23 2935
dll注入 所谓DLL[1]  注入就是将一个DLL放进某个进程的地址空间里,让它成为那个进程的一部分。要实现DLL注入,首先需要打开目标进程。 中文名 dll注入 外文名 hRemoteProcess 意    义 将一个DLL放进进程的地址空间里 方    法 打开目标进程 例: hRemoteProcess = OpenProcess( PROCESS_CREATE_THREAD |
psapi.h,paspi.dll
10-30
这是做多媒体的很有用的东东啊,其中包括头文件,动态库和lib文件,很适用!
枚举进程汇编
lwglucky的专栏
06-08 1518
;----------------;编译模式="CON";----------------.386.model flat, stdcalloption casemap :noneinclude windows.incinclude user32.incinclude kernel32.incinclude masm32.incinclude Psapi.incincludelib user
使用Psapi接口查看进程状态
weixin_33725807的博客
11-24 225
2019独角兽企业重金招聘Python工程师标准>>> ...
枚举进程——PspCidTable zz
摸爬滚打
05-05 1053
http://blog.csdn.net/strongxu/article/details/4959757 看Windows内核情景分析的时候看到讲PspCidTable中会保存每个进程和线程的CID,就在想可以通过这个表来获取到每个进程的PID及相关信息,然后网上一搜,已经有N多人通过这种方法来获取进程列表了,Iceword也是有这种方法来枚举进程的。Anyway,还是自己实现一遍吧。
Windows API一日一练(88)EnumProcesses函数
yuanjinxiu
12-12 97
当你开发的软件在用户那里运行出错了,想怎么办呢?当然是希望把出错时候的运行环境信息生成报表,然后再Email回来查看了。这里就介绍一个函数可以把当时运行环境的进程全部找到,然后可以输出每个进程的信息。当然,这个函数也可以使用到杀病毒软件里,用来查看可疑的进程信息。 函数EnumProcesses声明如下: BOOL WINAPI EnumProcesses ( DWOR...
枚举windows进程模块的几种方法—PEB内核结构详解
阔野的专栏
11-18 5387
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载的模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载的模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程进程加载的模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h heade...
W32dsm8.93.rar
03-26
3. **Psapi.dll**: 进程和服务API库,它提供了查询和操作进程信息的功能,如获取进程内存使用情况、枚举进程模块等。这在系统监控、性能分析和调试中非常有用。 4. **W32dsm8.93+.exe**: 这看起来像是W32dsm的一个...
wdasm中文版 反汇编工具
09-26
Psapi.dll】是另一个Windows系统组件,主要负责进程和服务的相关操作,如获取进程和线程的信息,以及枚举进程中的模块。在逆向工程中,这个库常被用来获取目标程序加载的动态链接库信息,从而更好地理解程序的依赖...
网络上流传的 进程手术刀1.0版及源代码
09-07
进程技术用到了PSAPI(枚举进程),TOOLHELP32(枚举线程),远线程(释放模块)。本人比较满意的一点是用了远线程,一开始仿照原先作的远线程例子写了很麻烦需要动态调用的线程函数,结果弄了半天不行,后来又用IDA反汇编...
Windows系统进程状态支持模块psapi.dll
09-24
Windows系统进程状态支持模块psapi.dll
汇编语言 枚举列出所有网卡.zip
01-29
汇编语言 枚举列出所有网卡.zip
枚举的书写,超级无敌重点(枚举的作用)
Richard_666的博客
03-31 469
package com.mmall.common; import com.google.common.collect.Sets; import java.util.Set; /** */ public class Const { public static final String CURRENT_USER = "currentUser"; public static...
枚举型enum汇编解释
最新发布
HsiaoShawn的博客
08-04 185
可以看出枚举型变量最终都被编译成了数字,也就是整型。枚举型本质是整型,只是以字符串的形式组成便于理解。
c# 利用 psapi.dll 下的函数 EmptyWorkingSet 整理内存
hatch gavin的专栏
12-16 2825
c# 利用 psapi.dll 下的函数 EmptyWorkingSet 整理内存,类似360加速球的功能。
未分类--Windows API--EnumProcesses
Coperator
03-11 994
原文来自MSDN Library for Visual Studio 2008 SP1,翻译部分仅为个人观点,想要看更多信息请看MSDN,如有版权问题请联系QQ 643166601,邮件643166601@qq.com   EnumProcesses Function Retrieves the process identifier for each process object in th
EnumProcesses()枚举进程
晴天的专栏
04-25 8608
参照msdn的例子,用EnumProcesses()枚举进程并输入进程名和句柄。以下代码在vs2008中测试通过: #include "stdafx.h" #include #include "psapi.h" #pragma comment (lib, "psapi.lib ") void MyEnumProcess() { // Get the list of proce
EnumProcesses枚举系统中所有的进程 使用注意事项
我的地盘你做不了主
11-07 1298
<br />一般在stdafx.h头文件中添加<br />#include"psapi.h"<br />#pragma comment(lib,"psapi.lib")<br /> <br />然后再工程中要添加进psapi.dll    psapi.lib   psapi.h 三个文件<br /> <br />然后在使用EnumProcesses地方就可像MSDN中那样直接使用了
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值