枚举windows全系列(98 NT 2000以及后系列)进程--3

最新推荐文章于 2025-07-01 15:20:02 发布
最新推荐文章于 2025-07-01 15:20:02 发布
阅读量2.1k 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: windows winapi module null file callback
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/conhacker/article/details/530600
这段代码展示了如何使用WinAPI函数遍历Windows NT系统下的所有进程,包括获取进程ID,模块信息,并特别处理NTVDM.EXE进程内的16位任务。通过加载PSAPI.DLL和VDMDBG.DLL库,调用相关函数实现进程和模块的枚举。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#ifndef WINNT_PROCESS
#define WINNT_PROCESS
#define WIN32_LEAN_AND_MEAN

#include "StdAfx.h"
#include <windows.h>
#include <vdmdbg.h>
#include <psapi.h>

//全局变量,保存进程数目
strings FunProcessCount;

//Windows NT Functions
typedef BOOL (WINAPI *ENUMPROCESSES)(
          DWORD * lpidProcess,  // array to receive the process identifiers
          DWORD cb,       ;       // size of the array
          DWORD * cbNeeded      // receives the number of bytes returned
          );

typedef BOOL (WINAPI *ENUMPROCESSMODULES)(
            HANDLE hProcess,      // handle to the process
            HMODULE * lphModule,  // array to receive the module handles
            DWORD cb,             // size of the array
            LPDWORD lpcbNeeded    // receives the number of bytes returned
            );

typedef DWORD (WINAPI *GETMODULEFILENAME)(
            HANDLE hProcess,  // handle to the process
            HMODULE hModule,  // handle to the module
            LPTSTR lpstrFileName, // array to receive filename
            DWORD nSize   // size of filename array.
            );

typedef DWORD (WINAPI *GETMODULEBASENAME)(
            HANDLE hProcess,  // handle to the process
            HMODULE hModule,  // handle to the module
            LPTSTR lpstrFileName, // array to receive base name of module
            DWORD nSize   // size of module name array.
            );

typedef INT (WINAPI *VDMENUMTASKWOWEX)(
            DWORD dwProcessId, // ID of NTVDM process
            TASKENUMPROCEX fp, // address of our callback function
            LPARAM lparam);  // anything we want to pass to the callback function.


BOOL WINAPI show_processNT(DWORD dwThreadId,
                     WORD hMod16,
                     WORD hTask16,
                     PSZ pszModName,
                     PSZ FileName,
                     LPARAM lpUserDefined)
{
 FunProcessCount.push_back(FileName);
    return TRUE;
}

void show_process (char const *FileName, DWORD ProcessID)
{
 FunProcessCount.push_back(FileName);
}

void WinNT_Process(strings &ProcessList)
{
 int iResult = 0;
 //char string[256];
 enum { max_num = 1024 };
 DWORD process_ids [max_num];
 DWORD num_processes;
    HANDLE psapi;
 HANDLE vdmdbg;
 
    ENUMPROCESSES       EnumProcesses;
    GETMODULEFILENAME   GetModuleFileName;
    ENUMPROCESSMODULES  EnumProcessModules; 
 VDMENUMTASKWOWEX VDMEnumTaskWOWEx;
 GETMODULEBASENAME GetModuleBaseName;


 psapi = LoadLibrary("PSAPI.DLL");
    vdmdbg = LoadLibrary("VDMDBG.DLL");
 
 if ( NULL == psapi || NULL == vdmdbg )
        return;
 
 VDMEnumTaskWOWEx = (VDMENUMTASKWOWEX)GetProcAddress(
        (HINSTANCE)vdmdbg, "VDMEnumTaskWOWEx");
 
 EnumProcesses =(ENUMPROCESSES)GetProcAddress(
  (HINSTANCE)psapi, "EnumProcesses");
 
 GetModuleFileName = (GETMODULEFILENAME)GetProcAddress(
  (HINSTANCE)psapi, "GetModuleFileNameExA");
 
 GetModuleBaseName = (GETMODULEBASENAME)GetProcAddress(
  (HINSTANCE)psapi, "GetModuleBaseNameA");
 
 EnumProcessModules = (ENUMPROCESSMODULES)GetProcAddress(
  (HINSTANCE)psapi, "EnumProcessModules");
 
 if (
  NULL == VDMEnumTaskWOWEx ||
  NULL == EnumProcesses  ||
  NULL == GetModuleFileName ||
  NULL == GetModuleBaseName ||
  NULL == EnumProcessModules  )
 {
        return;
 }
 int success = EnumProcesses(process_ids, sizeof(process_ids),&num_processes);
 
    num_processes /= sizeof(process_ids[0]);
 
    if ( !success )
 {
        return ;
    } 
 
    for ( unsigned i=0; i<num_processes; i++)
 { 
        HANDLE process = OpenProcess(
            PROCESS_QUERY_INFORMATION | PROCESS_VM_READ,
            FALSE,
            process_ids[i]);
  
        HMODULE modules[max_num];
        DWORD num_modules;
        char file_name[MAX_PATH];
  
        iResult = EnumProcessModules(process,modules,sizeof(modules), &num_modules);
  if(!iResult)
  {
   continue;
   iResult = GetLastError();
  }
  
        num_modules /= sizeof(modules[0]);

  
  
        if (GetModuleFileName(process,modules[0],file_name,sizeof(file_name)))
        {
   show_process(file_name, process_ids[i]);
   
   GetModuleBaseName(process,modules[0],file_name,sizeof(file_name));
   
            if ( 0 == _stricmp(file_name, "NTVDM.EXE"))
            {
                // We've got an NT VDM -- enumerate the processes
                // it contains.
                VDMEnumTaskWOWEx(process_ids[i], show_processNT, (long)&num_processes);
            }
        }
  else
  {
   continue;
   iResult = GetLastError();
  }
        CloseHandle(process);
    }
 //拷贝所有的进程到主程序进程句柄
 /*vector<string>::iterator tete;
 for(tete=FunProcessCount.begin();tete!=FunProcessCount.end();tete++)
 {
  printf("%s/n",(*tete).c_str());
  //cout<<(*tete).c_str()<<endl; 
 }*/
 //copy(FunProcessCount.begin(),FunProcessCount.end(),ProcessList.begin());
 ProcessList.clear();
 ProcessList = FunProcessCount;
 
 FreeLibrary((HINSTANCE)vdmdbg);
 FreeLibrary((HINSTANCE)psapi); 
}

#endif

conhacker
关注
Windows98/NT服务
铜板的专栏
03-27 2179
  每个操作系统都需要有在后台执行任务的方法,无论是谁正在使用这部机器,这些任务都可以继续运行,后台任务可以处理各种重要的服务,包括系统的或者用户的。例如,一个信使服务可以监控网络,并且在接收到另一台机子的信息时,可以显示一个对话框。一个发送和接收传真的应用需要在启动的时候运行,并且不断地监控负责传真的modem,看有没有传真进来。一个家庭的或者办公室的安全程序,用来控制一件检测设备时,它需要不时
GetModuleBaseName()与GetModuleFileNameEx()函数用法
Alan_Program的博客
06-21 2393
MSDN上面原文: GetModuleBaseName() The GetModuleBaseName function retrieves the base name of the specified module. //GetModuleBaseName函数检索指定模块的基本名称。 DWORD GetModuleBaseName( HANDLE hProcess, // handle...
VC++实现Windows进程信息枚举
最新发布
weixin_42560991的博客
07-01 580
Windows操作系统中,进程是系统进行资源分配和调度的基本单位。每个进程都包含了一组代码、数据、资源和状态信息。进程的执行必须由操作系统提供支持,这通常涉及处理器调度、内存管理、文件系统访问以及其他资源的分配。Windows API(Application Programming Interface,应用程序编程接口)是一系列预定义函数、协议和工具的集合,供开发者用来创建Windows平台下的应用程序。这些API按照功能可以分为图形、网络、系统、文件处理等多个类别。
GetModuleFileName函数的用法
没有蛀牙lm的博客
11-07 2万+
函数功能:获取exe可执行文件的绝对路径。 用法:通过获取到exe的路径,可以获取到程序路径下(父路径或者子路径)的一些其它文件路径。 char buff[MAX_PATH]; //用于存放获取的路径信息。 GetModuleFileName(NULL,buff,MAX_PATH); //第一个参数为句柄,NULL则指向当前程序。第二个参数用于存放地址的指针,第三个参数,系统自带的宏定义。不用管。
GetModleFileName和GetModuleBaseName的区别
离,路的尽头还很远...
09-28 8735
GetModleFileName返回进程名包含路径 GetModuleBaseName返回进程名不包含路径 下面是获取当前进程名的方法 GetModleFileName(NULL, lpText, sizeof(lpText)); GetModuleBaseName(GetCurrentProcess(), NULL, lpText, sizeof(lpText)); 使用GetModuleBa
2014-03-13周四:返回进程名函数:GetModleFileName和GetModuleBaseName的区别
勿忘初心,安得始终
03-13 1919
转自:http://blog.csdn.net/love3s/article/details/8029173 GetModleFileName返回进程名包含路径 GetModuleBaseName返回进程名不包含路径 下面是获取当前进程名的方法 GetModleFileName(NULL, lpText, sizeof(lpText)); GetModuleBaseName
给出GetModuleBaseName的c++示例
weixin_42596214的博客
01-17 153
#include <Windows.h> #include <TlHelp32.h> #include <tchar.h> int _tmain(int argc, _TCHAR* argv[]) { DWORD dwPID; _tprintf(_T("输入进程ID: ")); _tscanf(_T("%u"), &amp;dw...
使用GetModuleFileName函数获取当前程序所在目录
热门推荐
milanleon的专栏
01-10 3万+
GetModuleFileName() 获取当前进程已加载模块的文件的完整路径,该模块必须由当前进程加载。如果想要获取另一个已加载模块的文件路径,可以使用GetModuleFileNameEx函数。     函数原型: DWORD WINAPI GetModuleFileName( _In_opt_  HMODULE hModule, //应用程序或DLL模块实例句柄,NULL则为获取
VC获取进程的cpu使用率、内存、线程数、句柄数等信息
深之JohnChen的专栏
09-07 6890
//ProcessInfoCollect.h //进程信息采集 #pragma once //枚举进程 typedef BOOL(_stdcall *ENUMPROCESS)( DWORD *pProcessIds, //指向进程ID数组链 DWORD cb, //ID数组的大小,用字节计数 DWORD *pBytesReturned //返回的字...
无法定位程序输入点K32Get Module File Name Ex于动态链接库KERNEL32.dll上 的错误解析
小米的修行之路
03-13 3万+
这里我要讨论的是在 WinSDK v7.0中的一些不友好的错误。如果你是一名开发者,并且当前使用的是VS2010编译器自带的 WinSDK v7.0,那么个别时候当你执行程序时,可能遇到这样的错误提示:The procedure entry point K32*** could not be located in the dynamic link library KERNEL32.dll中文版本的...
获取进程全路径方法(支持xp、win7、win10系统)
深之JohnChen的专栏
06-14 5743
获取进程全路径方法(支持xp、win7、win10系统)获取进程的全路径的函数包括GetModuleFileNameEx、GetProcessImageFileName、QueryFullProcessImageName。这三个函数的原型:DWORD GetModuleFileNameEx(HANDLE hProcess,HMODULE hModule,LPTSTR lpFilename,DWOR...
GetModuleFileNameEx遍历获取64bit程序路径失败的一种解决方法(Win7-64-bit)
weixin_30500473的博客
04-26 383
根据官方的说法: For the best results use the following table to convert paths. Windows 2000 = GetModuleFileNameEx()Windows XP x32 = GetProcessImageFileName()Windows XP x64 = GetProcessImageFileName()Window...
Linux下实现动态库so获取自身工作路径(类似Windows下GetModelFileName函数)
buknow的博客
04-19 5950
在项目中,需要对已有的动态库封装成JNI库,但在java程序测试中发现有某些动态库一直加载不成功,在网上通用的设置路径方法都试过了(包括/etc/ld.so.conf、LD_LIBRARY_PATH等等),还是不成功,最终在尝试了我能找到的各种方法之后,终于最后一种实现了我所想要的功能。 所需功能大概是:我需要在动态库so中获取得到当前动态库所在的路径,然后可以将此路径设置为工作路径,最后再设置...
Windows NT环境下进程枚举技术详解
根据您提供的文件信息,虽然文件的具体内容未给出,但从标题、描述和标签中可以推断出,文件内容很可能与在Windows NT(如Windows NT 4.0、Windows 2000Windows XP等早期版本)环境下进程枚举的方法和技巧有关。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值