ProcessHaceker 进程模块枚举

最新推荐文章于 2024-06-07 12:27:53 发布
最新推荐文章于 2024-06-07 12:27:53 发布
阅读量372 收藏
点赞数
分类专栏: 杂项 processhacker 文章标签: 进程模块枚举
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/maomao171314/article/details/126060094
版权 
FORCEINLINE
NTSTATUS
PhGetProcessBasicInformation(
    _In_ HANDLE ProcessHandle,
    _Out_ PPROCESS_BASIC_INFORMATION BasicInformation
)
{
    return NtQueryInformationProcess(
        ProcessHandle,
        ProcessBasicInformation,
        BasicInformation,
        sizeof(PROCESS_BASIC_INFORMATION),
        NULL
    );
}

#define FIELD_OFFSET(type, field)    ((LONG)(LONG_PTR)&(((type *)0)->field))
#define UFIELD_OFFSET(type, field)    ((DWORD)(LONG_PTR)&(((type *)0)->field))
#define PTR_ADD_OFFSET(Pointer, Offset) ((PVOID)((ULONG_PTR)(Pointer) + (ULONG_PTR)(Offset)))

NTSTATUS PhpEnumProcessModules(
    _In_ HANDLE ProcessHandle,
   // _In_ PPHP_ENUM_PROCESS_MODULES_CALLBACK Callback,
    _In_opt_ PVOID Context1,
    _In_opt_ PVOID Context2
)
{
    NTSTATUS status;
    PROCESS_BASIC_INFORMATION basicInfo;
    PPEB_LDR_DATA ldr;
    PEB_LDR_DATA pebLdrData;
    PLIST_ENTRY startLink;
    PLIST_ENTRY currentLink;
    ULONG dataTableEntrySize;
    LDR_DATA_TABLE_ENTRY currentEntry;
    ULONG i;

    // Get the PEB address.
    status = PhGetProcessBasicInformation(ProcessHandle, &basicInfo);

    if (!NT_SUCCESS(status))
        return status;

    // Read the address of the loader data.
    status = NtReadVirtualMemory(
        ProcessHandle,
        PTR_ADD_OFFSET(basicInfo.PebBaseAddress, FIELD_OFFSET(PEB, Ldr)),
        &ldr,
        sizeof(PVOID),
        NULL
    );

    if (!NT_SUCCESS(status))
        return status;

    // Read the loader data.
    status = NtReadVirtualMemory(
        ProcessHandle,
        ldr,
        &pebLdrData,
        sizeof(PEB_LDR_DATA),
        NULL
    );

    if (!NT_SUCCESS(status))
        return status;

    if (!pebLdrData.Initialized)
        return STATUS_UNSUCCESSFUL;

   // if (WindowsVersion >= WINDOWS_8)
        dataTableEntrySize = LDR_DATA_TABLE_ENTRY_SIZE_WIN8;
    //else
    //    dataTableEntrySize = LDR_DATA_TABLE_ENTRY_SIZE_WIN7;

    // Traverse the linked list (in load order).

    i = 0;
    startLink = (PLIST_ENTRY)PTR_ADD_OFFSET(ldr, FIELD_OFFSET(PEB_LDR_DATA, InLoadOrderModuleList));
    currentLink = pebLdrData.InLoadOrderModuleList.Flink;

#define PH_ENUM_PROCESS_MODULES_LIMIT 0x800

    while (
        currentLink != startLink &&
        i <= PH_ENUM_PROCESS_MODULES_LIMIT
        )
    {
        PVOID addressOfEntry;

        addressOfEntry = CONTAINING_RECORD(currentLink, LDR_DATA_TABLE_ENTRY, InLoadOrderLinks);
        status = NtReadVirtualMemory(
            ProcessHandle,
            addressOfEntry,
            &currentEntry,
            dataTableEntrySize,
            NULL
        );

        if (!NT_SUCCESS(status))
            return status;

        printf("name : %S \n", currentEntry.FullDllName.Buffer);

        // Make sure the entry is valid.
        if (currentEntry.DllBase)
        {
            // Execute the callback.
            //if (!Callback(
            //    ProcessHandle,
            //    &currentEntry,
            //    addressOfEntry,
            //    Context1,
            //    Context2
            //))
            //    break;
        }

        currentLink = currentEntry.InLoadOrderLinks.Flink;
        i++;
    }

    return status;
}

C++ 获取父进程PID
RootSuper
12-22 2188
我们可以使用ntddl.dll中有一个函数叫NtQueryInformationProcess,用它可以将指定类型的进程信息拷贝到某个缓冲。其原型如下:NTSYSAPI NTSTATUS NTAPI NtQueryInformationProcess ( IN HANDLE ProcessHandle, // 进程句柄 IN PROCESSINFOCLASS InformationClass, //
枚举进程模块
守夜人--的专栏
11-27 2050
 typedef BOOL (_stdcall *ENUMPROCESSES)(DWORD* pProcessIds,DWORD cb,DWORD* pBytesReturned); typedef BOOL (_stdcall *ENUMPROCESSMODULES)(HANDLE hProcess,HMODULE* lphModule,DWORD cb,LPDWORD lpcbNeeded);
ProcessHacker实现原理(一)
yjz1409276的专栏
01-09 4623
枚举进程:调用NtQuerySystemInformation函数,第一个参数为SystemProcessInformation(枚举值 = 5),第二个参数返回类型SYSTEM_PROCESS_INFORMATION。原型如下: typedef struct _SYSTEM_PROCESS_INFORMATION {     ULONG NextEntryOffset;     ULON
VC获取父进程PID
Koma的主页
11-26 1万+
VC获取父进程PID,深度遍历至父结点Demo
漫谈兼容内核之十九:Windows线程间的强相互作用
周寅的专栏
03-13 2039
     在现代的计算机系统中,一项作业(Job)往往需要多个进程或线程的协作,而操作系统则要为进程或线程间的协作提供基础设施和机制上的支持。操作系统、特别是内核,提供什么样的设施和手段,系统中的进程之间和线程之间就会有什么样的相互作用。如果把一个系统比作一个社会,那么系统中的进程和线程就好像是社会中的成员。成员的行为和成员之间的关系有其“社会性”的一面、即互相影响的一面。例如一个线程的调度优先级
易语言API枚举进程模块源码
06-06
枚举进程模块是编程中一个常见的任务,它允许程序员获取正在运行的进程所加载的所有动态链接库(DLL)或其他模块的信息。在Windows操作系统中,这个功能通常通过API调用来实现。 "易语言"是中国本土开发的一款...
32位进程枚举64位进程模块信息
06-02
' WOW64的32位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等....' 因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程,只是自己以为是32...
易语言-32位进程枚举64位进程模块信息
06-29
' WOW64的32位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等.... ' 因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程,只是自己以为是32...
枚举64位进程模块+查询64位进程的线程所属模块文件路径-易语言
06-12
该源码是 eWOW64Ext v1.21 的一个演示例子,完全使用了 eWOW64Ext 的方法 来枚举64位进程模块; 提供了两种方法来cha询64位进程的线程所属模块文件路径,该功能还没有易语言 方面的开源资料,本次为首次开源。
VC进程模块枚举及查看管理器
03-17
内容索引:VC/C++源码,系统相关,进程,枚举,远程卸载 VC++编写的进程模块查看器,用于枚举系统的所有进程及其所挂接的所有模块,并实现了枚举进程、远程卸载指定进程模块、搜索指定进程的功能。上边的截图。此外,这...
在cmd启动一个win32程序,printf把信息输出到启运它的那个CMD窗口
weixin_30569001的博客
03-05 599
#define ProcessBasicInformation 0 typedef struct { DWORD ExitStatus; DWORD PebBaseAddress; DWORD AffinityMask; DWORD BasePriority; ULONG UniqueProcessId; ULONG Inherite...
遍历进程模块
125096
01-22 2668
#include #include #include #define ProcessBasicInformation 0 #define NT_SUCCESS(Status) (((NTSTATUS)(Status)) >= 0) typedef struct _PROCESS_BASIC_INFORMATION { NTSTATUS ExitStatus; PVOID PebB
NtQueryInformationProcess用法
热门推荐
yiyefangzhou24的专栏
03-12 2万+
<br />      从所周知,在Windows NT/2000系统的API黑洞之一便是NTDLL.DLL,此DLL包含了许多未公开的API函数。本文将列举一、二,并以如何获取任何指定进程的父进程ID为例作为示范。<br />   NTDLL.DLL中有一个函数叫NtQueryInformationProcess,用它可以将指定类型的进程信息拷贝到某个缓冲。其原型如下:<br />NTSYSAPI<br />NTSTATUS<br />NTAPI<br />NtQueryInformationProces
进程遍历-NtQuerySystemInformation枚举
最新发布
hide_in_darkness的博客
06-07 902
​ 数组中下一项的开头是上一项的地址加上 NextEntryOffset 成员中的值。​ HandleCount 成员包含有问题的进程正在使用的句柄总数;​ PeakWorkingSetSize 成员包含进程的工作集的峰值大小(以 KB 为单位)​ BasePriority 成员包含进程的基优先级,即在关联进程中创建的线程的起始优先级。​ PeakVirtualSize 成员包含进程使用的虚拟内存的峰值大小(以字节为单位)​ VirtualSize 成员包含进程使用的虚拟内存的当前大小(以字节为单位)
C++ 修改指定进程 PEB 中路径和命令行信息实现进程伪装
LYSM
06-24 3084
背景 所谓的进程伪装,指的修改任意一个指定进程的信息,是它的信息在系统中的显示是另一个进程的信息,这样看来,指定的进程就像是被伪装的进程一样,因为进程信息相同,但实际上,它还是原来的进程,做着原来的进程操作。 函数介绍 NtQueryInformationProcess NTSTATUS WINAPI NtQueryInformationProcess( _In_ HANDLE ProcessHandle, // 要获取信息的进程的句柄。
进程遍历(枚举),模块遍历,线程遍历,进程链表,线程链表,模块链表
fzy20062008的专栏
08-07 1860
关键字: R3 Peb.Ldr,PEB_LDR_DATA NtQuerySystemInformation,ZwQueryInformationProcess, CreateToolhelp32Snapshot,EnumProcesses,EnumProcessModules ReadProcessMemory,NtReadProcessMemory kernel32.dll,psa...
枚举windows进程模块的几种方法—PEB内核结构详解
阔野的专栏
11-18 5427
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载的模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载的模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程进程加载的模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h heade...
获取任意进程的命令行参数
yu_sn0w的博客
10-19 1413
来源网络,亲测有效Delphi 2009 unit Unit2; interface     function GetProcessCmdLine(PID: Cardinal): string; implementation uses Windows; const   SystemHandleInformation = 16;   ProcessBasicInformation = 0...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值