通过进程ID获取基地址

最新推荐文章于 2024-02-27 11:18:22 发布
原创 最新推荐文章于 2024-02-27 11:18:22 发布 · 7.2k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#null #module #buffer #system

本文介绍如何通过进程ID获取其基地址。程序通过创建进程快照,遍历模块,通常首个模块即为进程基地址。利用MODULEENTRY32结构体进行读取,通过模块名称匹配找到目标。

下面代码是通过进程ID来获取进程的基地址,创建一个进程快照后,读取进程模块,一般情况下第一个模块就是进程的基地址,下面的程序通过模块的字符串匹配来找到基地址。通过MODULEENTRY32来读取,下面是代码:

#include <Windows.h>
#include <Tlhelp32.h>
#include <stdio.h>

HMODULE fnGetProcessBase(DWORD PID);
DWORD GetLastErrorBox(HWND hWnd, LPSTR lpTitle) ;

int main()
{
	HMODULE hModule = fnGetProcessBase(6520);
	printf("%X",hModule);
	return 0;
}

HMODULE fnGetProcessBase(DWORD PID)
{
	//获取进程基址
	HANDLE hSnapShot;
	//通过CreateToolhelp32Snapshot和线程ID,获取进程快照
	hSnapShot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, PID);
	if (hSnapShot == INVALID_HANDLE_VALUE)
	{
		GetLastErrorBox(NULL,"无法创建快照");
		return NULL;
	}
	MODULEENTRY32 ModuleEntry32;
	ModuleEntry32.dwSize = sizeof(ModuleEntry32);
	if (Module32First(hSnapShot, &ModuleEnt
最低0.47元/天 解锁文章
c++ 获取进程加载的模块列表,基地址,大小
全粘工程师
10-20 3819
Toolhelp.h #pragma once // 尝试 将 delphi 翻译成 c++ #include<Windows.h> #include<Tlhelp32.h> class TToolhelp { public: TToolhelp(DWORD dwFlags = 0, DWORD dwProcessID = 0); ~TToolhelp(); BOOL CreateSnapshot(DWORD dwFlags, DWORD dwProcessID = .
读取进程基址
04-02
读取进程基址.ec
[源码和文档分享]获取指定进程的加载基址
qq_38474647的博客
12-25 568
背景 之前,自己写过一个进程内存分析的小程序,其中,就有一个功能是获取进程在内存中的加载基址。由于现在Windows系统引入了ASLR (Address Space Layout Randomization)机制,加载程序时候不再使用固定的基址加载。VS默认是开启基址随机化的,我们也可以设置它使用固定加载基址。至于什么是ASLR?或者ASLR有什么作用?本...
获取进程基址
热门推荐
物知馆
05-17 1万+
有很多种方法可以获得进程空间的基址: 方法一:在x86上,可以直接用汇编语言来获得: HINSTANCE ins = NULL; __asm { mov eax, fs:[0x30]; mov eax, DWORD PTR [eax+8]; mov ins, eax; } return bRet; ins就是当前进程的基址。 然而在x64
C++实现获取模块在进程中地址
06-04
这个代码会列出指定进程ID进程中所有模块及其基地址。注意,实际使用时需要根据实际情况调整模块数组的大小,因为不同进程可能加载了不同的模块数量。 在Linux系统中,获取模块地址的方法略有不同。你可以使用`/...
getprocessinfo 获取进程模块信息.rar_getprocessin_优化算法_获取_获取 进程_进程信息
09-23
`EnumProcessModules`函数用于枚举指定进程的所有模块,返回一个模块句柄数组,而`GetModuleBaseName`则根据模块句柄获取模块的基地址和名称。结合这两个函数,我们可以得到进程加载的所有模块及其基本信息。 优化...
枚举进程获取qq号
05-22
这些API函数提供了丰富的信息,如进程ID(PID)、进程名以及进程基地址等。另外,`EnumProcesses`和`EnumProcessModules`也是常用的枚举进程和其模块的方法,它们更简洁且易于使用。 对于获取QQ号,这通常涉及到...
获取进程的基址
经典的误导的专栏
12-06 8644
直接上我写KingDom Rush外挂的代码,一开始想法是直接在内存中定位到关键汇编代码,直接在内存中改写就可以了。 发现基址和定位的关键汇编地址没有任何联系,可能是随机分配的缘故吧。不过还是纪录一下这种方法 #include #include #include #include using namespace std; bool changeAsm(HANDLE mproc, DWORD
查找游戏基址
03-10
本文档 详细介绍怎么查找游戏基址 让您一目了然
怎样获得某个进程的内存基地址
weixin_30563917的博客
07-22 808
#include <iostream> #include <windows.h> #include <Tlhelp32.h.> using namespace std; int main() { HANDLE h= CreateToolhelp32Snapshot(8, 780); MODULEENTRY32 me; ...
Windows编程 - 获取运行程序的基地址
weixin_34220623的博客
02-13 669
获取运行程序的基地址(base address) 本文地址:http://blog.youkuaiyun.com/caroline_wendy/article/details/19162821 加载到进程地址空间的每一个可执行文件(exe)或动态链接库(dll), 都包含一个实例句柄(HINSTANCE); (w)WinMain的hInstanceExe参数的实际...
获取指定进程的加载基址
m0_46135508的博客
07-13 5174
背景之前,自己写过一个进程内存分析的小程序,其中,就有一个功能是获取进程在内存中的加载基址。由于现在Windows系统引入了ASLR (Address Space Layout Randomization)机制,加载程序时候不再使用固定的基址加载。VS默认是开启基址随机化的,我们也可以设置它使用固定加载基址。至于什么是ASLR?或者ASLR有什么作用?本文就不深入探讨了,感兴趣的,可以自己私下了解了解。 本文就是开发这样的一个小程序,使用两种方法来获取获取指定进程的加载基址...
获取进程基址小技巧(傀儡进程
Sven的忘却日记
07-29 2165
创建傀儡进程时,一般需要以挂起模式创建进程,然后调用未导出NT函数NtQueryInformationProcess来获取目标进程的PEB地址,拿到PEB地址后,再通过ReadProcessMemory获取目标进程的PEB数据,最后NtUnMapViewOfSection,传入PEB结构中的ImageBaseAddress来卸载目标进程的内存。 其实可以直接通过GetThreadContext这个...
在C++中找到进程中所加载的某一模块的基地址
最新发布
qq_35320456的博客
02-27 2621
在C++中找到进程中所加载的某一模块的基地址
进程基本概念、进程地址空间
guorong520的博客
03-31 5753
强调内容今天来谈一谈进程的一些基本概念,认识一些进程状态,重新认识一下程序地址空间(进程地址空间),进程调度算法,环境变量等属性。 一、进程 1.什么是进程? 程序的一个执行实例,正在执行的程序,是一个担当分配系统资源的实体,系统资源包括CPU时间、内存等。 2.linux中的PCB 进程信息被放在一个叫做进程控制块(process control block)的数据结构中,存储进程的属...
python根据进程句柄找基地址
04-03
Python中可以使用ctypes库来实现根据进程句柄找基地址的功能。具体步骤如下: 1. 导入ctypes库,使用windll加载kernel32.dll库。 ```python import ctypes kernel32 = ctypes.windll.kernel32 ``` 2. 使用OpenProcess函数打开指定进程句柄。 ```python process_handle = kernel32.OpenProcess(0x1F0FFF, False, process_id) ``` 其中,0x1F0FFF表示打开进程的权限,process_id进程ID。 3. 使用EnumProcessModules函数获取指定进程的模块句柄列表。 ```python module_handles = (ctypes.c_ulong * 1024)() module_handles_count = ctypes.c_ulong() kernel32.EnumProcessModules(process_handle, ctypes.byref(module_handles), ctypes.sizeof(module_handles), ctypes.byref(module_handles_count)) ``` 其中,1024表示最多获取1024个模块句柄,module_handles为模块句柄列表,module_handles_count为实际获取的模块数量。 4. 遍历模块句柄列表,使用GetModuleInformation函数获取模块信息。 ```python for i in range(module_handles_count.value): module_info = MODULEINFO() kernel32.GetModuleInformation(process_handle, module_handles[i], ctypes.byref(module_info), ctypes.sizeof(module_info)) # 处理模块信息 ``` 其中,MODULEINFO为模块信息结构体,包括模块基地址和大小等信息。 5. 根据模块信息和进程句柄计算基地址。 ```python base_address = module_info.lpBaseOfDll + address_offset ``` 其中,address_offset为相对于模块基地址的偏移量。 完整代码示例: ```python import ctypes kernel32 = ctypes.windll.kernel32 # 定义模块信息结构体 class MODULEINFO(ctypes.Structure): _fields_ = [("lpBaseOfDll", ctypes.c_void_p), ("SizeOfImage", ctypes.c_ulong), ("EntryPoint", ctypes.c_void_p)] def get_base_address(process_id, address_offset): # 打开进程句柄 process_handle = kernel32.OpenProcess(0x1F0FFF, False, process_id) if not process_handle: return None # 获取模块句柄列表 module_handles = (ctypes.c_ulong * 1024)() module_handles_count = ctypes.c_ulong() kernel32.EnumProcessModules(process_handle, ctypes.byref(module_handles), ctypes.sizeof(module_handles), ctypes.byref(module_handles_count)) # 遍历模块句柄列表,获取模块信息 for i in range(module_handles_count.value): module_info = MODULEINFO() kernel32.GetModuleInformation(process_handle, module_handles[i], ctypes.byref(module_info), ctypes.sizeof(module_info)) if module_info.lpBaseOfDll: # 计算基地址 base_address = module_info.lpBaseOfDll + address_offset return base_address return None ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值