GetModuleHandle

最新推荐文章于 2021-02-28 00:37:24 发布
最新推荐文章于 2021-02-28 00:37:24 发布
阅读量828 收藏 1
点赞数
本文介绍了一种在64位环境下读取进程基本信息的方法,包括使用NtWow64QueryInformationProcess64获取进程退出状态、PEB基地址等信息,以及通过NtWow64ReadVirtualMemory64读取虚拟内存,最终实现跨进程获取模块句柄的功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >


#pragma pack(8)
typedef struct _PROCESS_BASIC_INFORMATION64 {
	NTSTATUS ExitStatus;
	UINT32 Reserved0;
	UINT64 PebBaseAddress;
	UINT64 AffinityMask;
	UINT32 BasePriority;
	UINT32 Reserved1;
	UINT64 UniqueProcessId;
	UINT64 InheritedFromUniqueProcessId;
} PROCESS_BASIC_INFORMATION64;
#pragma pack()
typedef
NTSTATUS(WINAPI *pfnNtWow64QueryInformationProcess64)
(HANDLE ProcessHandle, UINT32 ProcessInformationClass,
	PVOID ProcessInformation, UINT32 ProcessInformationLength,
	UINT32* ReturnLength);
typedef
NTSTATUS(WINAPI *pfnNtWow64ReadVirtualMemory64)
(HANDLE ProcessHandle, PVOID64 BaseAddress,
	PVOID BufferData, UINT64 BufferLength,
	PUINT64 ReturnLength);
typedef
NTSTATUS(WINAPI *pfnNtWow64ReadVirtualMemory64_Bin)
(HANDLE ProcessHandle, PVOID BufferData,
	LPCTSTR ModuleName, UINT64 BufferLength,
	PUINT64 ReturnLength);
long long GetModuleHandle64(HANDLE processHandle,LPCTSTR ModuleName)
{
	PROCESS_BASIC_INFORMATION64 pbi64;
	int ret;
	long long ldr;
	long long ModuleHandle;
	long long pName;
	HMODULE NtdllModule = GetModuleHandle(L"ntdll.dll");
	pfnNtWow64QueryInformationProcess64 NtWow64QueryInformationProcess64 = (pfnNtWow64QueryInformationProcess64)GetProcAddress(NtdllModule, "NtWow64QueryInformationProcess64");
	pfnNtWow64ReadVirtualMemory64 NtWow64ReadVirtualMemory64 = (pfnNtWow64ReadVirtualMemory64)GetProcAddress(NtdllModule, "NtWow64ReadVirtualMemory64");
	pfnNtWow64ReadVirtualMemory64_Bin NtWow64ReadVirtualMemory64_Bin = (pfnNtWow64ReadVirtualMemory64_Bin)GetProcAddress(NtdllModule, "NtWow64ReadVirtualMemory64_Bin");
	ret = NtWow64QueryInformationProcess64(processHandle, 0, &pbi64, 48, 0);
	if (ret == 0)
	{
		return 0;
	}
	NtWow64ReadVirtualMemory64(processHandle, (PVOID64)(pbi64.PebBaseAddress + 24), &ldr, 8, 0);
	NtWow64ReadVirtualMemory64(processHandle, (PVOID64)(ldr + 24), &ldr, 8, 0);
	do
	{
		NtWow64ReadVirtualMemory64(processHandle, (PVOID64)(ldr + 48), &ModuleHandle, 8, 0);
		if (ModuleHandle != 0)
		{
			break;
		}
		NtWow64ReadVirtualMemory64(processHandle, (PVOID64)(ldr + 96), &pName, 8, 0);
		NtWow64ReadVirtualMemory64_Bin(processHandle, &pName, ModuleName, sizeof(ModuleName), 0);

	} while (ModuleHandle != 0);
	return ModuleHandle;
}

 

liveownworld
关注
自用 x86 GetProcAddress + GetModuleHandle
hambaga的博客
01-01 868
写项目时自己实现了这两个函数,记录下来以后方便复习。 // 从PEB的_PEB_LDR_DATA里获取已加载模块的句柄 HMODULE GetLoadedModuleW(LPCWSTR lpModuleName) { typedef struct _UNICODE_STRING { USHORT Length; USHORT MaximumLength; PWSTR Buffer; } UNICODE_STRING, *PUNICODE_STRING; typedef struct _
C# 远过程外部调用 LoadLibrary、GetModuleHandle、GetProcAddress、FreeLibrary
11-17 7157
本类可以很方便的实现“远过程外部调用”获取、卸载、导入外部对象的动态链接库 且包括特俗的获取模块函数,调用“LoadLibrary / 导入动态链接库”到外部对象,可 能会被安全软件认定为注入行为,需要注明的是本类代码在x86下编写,且在代码 中大量使用了x86 asm / auto,所以尽量以x86平台编译且需要操作的是x86 / 32bit 的外部对象 当然本类只作参考与学习 在本类中
还原x64跨进程"GetModuleHandle+GetProcAddress"实现过程(纯内存)
06-25
本文将深入探讨一个具体的x64架构下的跨进程实现方法,即通过"GetModuleHandle"和"GetProcAddress"函数来动态获取并执行其他进程中的函数。这种方法在纯内存环境中尤其适用,因为不需要依赖任何文件系统交互。 首先...
QT工程中找不到GetModuleHandle
最新发布
07-03
我们正在处理一个关于在Qt项目中使用GetModuleHandle函数的问题。用户报告说无法识别或找不到该函数的定义。根据提供的引用,我们知道GetModuleHandle是一个Windows API函数,用于获取模块的句柄。解决方案:1.包含...
易语言源码易语言32位进程调用64位DLL函数源码.rar
03-30
易语言源码易语言32位进程调用64位DLL函数源码.rar 易语言源码易语言32位进程调用64位DLL函数源码.rar 易语言源码易语言32位进程调用64位DLL函数源码.rar 易语言源码易语言32位进程调用64位DLL函数源码.rar 易语言源码易语言32位进程调用64位DLL函数源码.rar 易语言源码易语言32位进程调用64位DLL函数源码.rar
GetModuleHandle函数
刘昊峰的博客
09-04 2284
 GetModuleHandle VB声明 Declare Function GetModuleHandle Lib "kernel32" Alias "GetModuleHandleA" (ByVal lpModuleName As String) As Lon
关于GetModuleHandle函数
03-05 506
该函数被声明为:HMODULE GetModuleHandle(PCTSTR pszModule);如果调用参数pszModule为NULL,则该函数返回当前调用进程的句柄。如果指定了一个以0结尾的字符串,那么函数返回该字串指定的可执行文件或者DLL的句柄。 
WinAPI-函数GetModuleHandle
文天大人
12-26 468
怀念二抱三抱
1.GetModuleHandle 获取一个特定的应用程序或动态链接库的模块句柄
xionglifei123的博客
06-16 3770
HMODULE GetModuleHandle( LPCTSTRlpModuleName);   功能说明  GetModuleHandle 获取一个特定的应用程序或动态链接库的模块句柄,且这个模块必须已经被加载到调用者的进程空间中。 参数说明 lpModuleName 模块名称 返回值 如执行成功成功,则返回模块句柄。零表示失败。通
【转发】GetModuleHandle——windows API 函数
Littledede的专栏
02-22 1802
<br />  VC声明:<br />       HMODULE GetModuleHandle (LPCTSTR lpModuleName); <br />功能说明 <br />  获取一个应用程序或动态链接库的模块句柄 <br />参数说明<br />  lpModuleName 模块名称 <br />返回值<br />  如执行成功成功,则返回模块句柄。零表示失败。通过GetLastError获得错误信息 <br />  如: <br />       GetModuleHandle(NULL); 
getmodulehandle java_【转发】GetModuleHandle——windows API 函数 | 学步园
weixin_32884263的博客
02-28 412
VC声明:HMODULE GetModuleHandle (LPCTSTR lpModuleName);  功能说明获取一个应用程序或动态链接库的模块句柄参数说明lpModuleName 模块名称返回值如执行成功成功,则返回模块句柄。零表示失败。通过GetLastError获得错误信息如:GetModuleHandle(NULL);// 这将返回自身应用程序句柄GetModuleHandle(...
GetModuleHandle用法
专注打造自动化测试流水线
04-15 4797
用法:invoke   GetModuleHandle,lpModuleName 说明:获取模块句柄,就是程序装入内存的首地址。 1) invoke  GetModuleHandle,NULL   :获取本模块句柄。 2) szUserDll        db                ‘user32.dll’,0        invoke   GetModuleHandle,ad
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值