使用ZwQueryVirtualMemory枚举进程模块

最新推荐文章于 2021-04-29 03:58:17 发布
原创 最新推荐文章于 2021-04-29 03:58:17 发布 · 5.9k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#hex #attributes #image #integer #string #basic

该博客介绍了如何使用ZwQueryVirtualMemory函数枚举指定进程的模块信息,包括模块名称、基地址和大小等。通过读取内存、检查DOS和NT头以及解析UNICODE_STRING来获取详细信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 Public Sub PrintProcessModules(ByVal dwProcessId As Long)
    Dim ntStatus As Long
    Dim objCid As CLIENT_ID
    Dim objOa As OBJECT_ATTRIBUTES
    Dim hProcess As Long
    Dim dwVirtualAddr As Long
    Dim pName As UNICODE_STRING1
    Dim dwRet As Long
    Dim intRet As Integer
    Dim strModuleName As String
    Dim pDosHeader As IMAGE_DOS_HEADER
    Dim pNtHeaders As IMAGE_NT_HEADERS
    Dim dwImageSize As Long
    Dim MemoryBase As MEMORY_BASIC_INFORMATION
    objOa.Length = Len(objOa)
    objCid.UniqueProcess = dwProcessId
    ntStatus = NtOpenProcess(hProcess, PROCESS_QUERY_INFORMATION Or PROCESS_VM_READ, objOa, objCid)
    If hProcess = 0 Then
        hProcess = GetHandleByProcessId(dwProcessId)
        If hProcess = 0 Then
            Exit Sub
        End If
    End If
    dwVirtualAddr = &H1000
    Do While dwVirtualAddr <> &H7FFF0000
        ntStatus = ZwQueryVirtualMemory(hProcess, dwVirtualAddr, 0, VarPtr(MemoryBase), LenB(MemoryBase), dwRet)
        If NT_SUCCESS(ntStatus) Then
            If MemoryBase.AllocationBase = 0 Then
                dwVirtualAddr = dwVirtualAddr + MemoryBase.RegionSize
                dwVirtualAddr = dwVirtualAddr + MemoryBase.RegionSize Mod &H1000
                GoTo NextLoop
            Else
                ntStatus = ZwQueryVirtualMemory(hProcess, dwVirtualAddr, 2, VarPtr(pName), LenB(pName), dwRet)
                If NT_SUCCESS(ntStatus) Then
                    ReadProcessMemory hProcess, ByVal MemoryBase.AllocationBase, pDosHeader, LenB(pDosHeader), ByVal 0&
                    If pDosHeader.Magic <> &H5A4D Then
                        dwVirtualAddr = dwVirtualAddr + MemoryBase.RegionSize
                        dwVirtualAddr = dwVirtualAddr + MemoryBase.RegionSize Mod &H1000
                        GoTo NextLoop
                    End If
                    ReadProcessMemory hProcess, ByVal MemoryBase.AllocationBase + pDosHeader.lfanew, pNtHeaders, LenB(pNtHeaders), ByVal 0&
                    If pNtHeaders.Signature <> IMAGE_NT_SIGNATURE Then
                        dwVirtualAddr = dwVirtualAddr + MemoryBase.RegionSize
                        dwVirtualAddr = dwVirtualAddr + MemoryBase.RegionSize Mod &H1000
                        GoTo NextLoop
                    End If
                    strModuleName = Left(pName.pBuffer, InStr(pName.pBuffer, vbNullChar) - 1)
                    'Debug.Print strModuleName; MemoryBase.AllocationBase; pNtHeaders.OptionalHeader.ImageSize
                    If MemoryBase.Type = &H1000000 Then
                        Form1.List1.AddItem strModuleName & ";" & Hex(MemoryBase.AllocationBase) & ";" & Hex(pNtHeaders.OptionalHeader.ImageSize) & ";State:" & Hex(MemoryBase.State) & ";Type:" & Hex(MemoryBase.Type) & ";AllocationProtect:" & Hex(MemoryBase.AllocationProtect) & ";Protect:" & Hex(MemoryBase.Protect)
                    End If
                    'dwVirtualAddr = dwVirtualAddr + pNtHeaders.OptionalHeader.ImageSize
                    dwVirtualAddr = MemoryBase.AllocationBase + pNtHeaders.OptionalHeader.ImageSize
                    dwVirtualAddr = dwVirtualAddr + pNtHeaders.OptionalHeader.ImageSize Mod &H1000
                Else
                    dwVirtualAddr = dwVirtualAddr + MemoryBase.RegionSize
                    dwVirtualAddr = dwVirtualAddr + MemoryBase.RegionSize Mod &H1000
                End If
            End If
        Else
            dwVirtualAddr = dwVirtualAddr + &H1000
        End If
NextLoop:
    Loop
    NtClose hProcess
End Sub
chenhui530
关注
使用ZwQueryVirtualMemory枚举进程模块支持x64
zhuhuibeishadiao
05-02 8065
#include "stdio.h" #include "windows.h"typedef struct _LSA_UNICODE_STRING { USHORT Length; USHORT MaximumLength; PWSTR Buffer; } LSA_UNICODE_STRING, *PLSA_UNICODE_STRING, UNICODE_STRING, *PUNICO
准确在64位系统下枚举进程模块
04-08
本节将详细介绍如何在64位系统中,包括32位和64位进程使用Windows Management Instrumentation(WMI)来枚举其他进程模块。 首先,我们需要理解WMI是什么。WMI是Windows操作系统内置的一种管理系统资源和收集...
ZwQueryVirtualMemory枚举进程模块
qq_36453052的博客
11-23 483
////////////////////////////////////////////////////////////////////////// #include #include #include #include using namespace std; typedef enum _MEMORY_INFORMATION_CLASS {     MemoryB
ZwQueryVirtualMemory枚举进程模块
推理小孩的博客
02-20 850
ZwQueryVirtualMemory枚举进程模块   ZwQueryVirtualMemory算是枚举进程方法中的黑科技吧,主要是该方法可以检测出隐藏的模块(类似IceSword)。   代码VS2015测试通过   再次奉上源码链接:https://github.com/Arsense/WindowsCode/tree/master/ZwQu...
易语言API枚举进程模块源码
06-06
3. **循环枚举**:`EnumProcessModules`函数会返回模块的数量,我们可以使用循环遍历这个数组,调用`GetModuleBaseName`和`GetModuleFileNameEx`获取每个模块的名称和路径。 4. **错误处理**:在调用API时,需要...
32位进程枚举64位进程模块信息
06-02
' WOW64的32位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等....' 因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程,只是自己以为是32...
易语言API枚举进程模块源码-易语言
06-13
在Windows操作系统中,有大量的API函数可供开发者使用,包括枚举进程模块的功能。 枚举进程模块是指获取一个正在运行的进程加载的所有动态链接库(DLL)或者其他模块的信息。这在调试、安全分析和系统监控等...
ZwQueryVirtualMemory暴力枚举进程模块
weixin_30889885的博客
03-22 739
0x01 前言   同学问过我进程体中EPROCESS的三条链断了怎么枚举模块,这也是也腾讯面试题。我当时听到也是懵逼的。   后来在网上看到了一些内存暴力枚举的方法ZwQueryVirtualMemory。 0x02 使用ZwQueryVirtualMemory暴力枚举模块 NTSTATUS NtQueryVirtualMemory(HANDLE ProcessHandl...
易语言API枚举进程模块
07-22
易语言API枚举进程模块源码,API枚举进程模块,Enum,Unicode转Ansi,ZwQueryVirtualMemory_mbi,ZwQueryVirtualMemory_msn,ReadProcessMemory_idh,ReadProcessMemory_inh,CopyMemory_msn,WideCharToMultiByte,CopyMemory_mbi,OpenProcess,RtlAdjustPrivilege,
【易语言】枚举进程模块源码
07-28
【易语言】枚举进程模块源码。
易语言-32位进程枚举64位进程模块信息
06-29
' WOW64的32位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等.... ' 因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程,只是自己以为是32位程序而已. 所以Wow64进程 里面 ' 既有 64位环境结构,又有32位环境结构, 使用api  NtWow64QueryInformationProcess64 可以获取 进程的64位PEB结构地址, ' 使用api  NtWow64ReadVirtualMemory64 可以读取进程的64位内存地址的数据. 通过PEB64结构进行遍历进程的64位模块!
[E语言]枚举进程模块(例程)源码
10-22
[E语言]枚举进程模块(例程)源码 [E语言]枚举进程模块(例程)源码
E语言枚举64位进程模块源码
09-10
E语言枚举64位进程模块,纯API调用.来枚举32和64位进程进程模块.
linux 枚举进程,ZwQueryVirtualMemory枚举进程模块
weixin_39911066的博客
04-29 526
ZwQueryVirtualMemory算是枚举进程方法中的黑科技吧,主要是该方法可以检测出隐藏的模块(类似IceSword)。代码VS2015测试通过好的下面我们进入正题 这个没有深入研究 就是简单测试读了下代码 很久了 忘记差不多了 所以只是整理献上一个比较好的其他博友的1常见的枚举进程模块的方法有CreateToolhelp32Snaphot,Module32First,Module32Ne...
ZwQueryVirtualMemory遍历进程模块
qq_36453052的博客
11-22 1060
;=============================================================================== ;use ZwQueryVirtualMemory to enum Modules of a process ;subsystem:console ;OS Platform:tested on Windows XP Professi
VC++实现枚举进程模块
yazi1297的专栏
07-22 652
[cpp]  #pragma once  #define _WIN32_WINNT 0x0500   #include"windows.h"  #include"tlhelp32.h"  #include"stdio.h"  #include"NativeApi.h"  #include"wchar.h"  #include"psapi.h"//SDK6.0  #pragma c
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值