Ring 3层枚举进程的四种方法

最新推荐文章于 2025-03-24 07:51:34 发布
最新推荐文章于 2025-03-24 07:51:34 发布
阅读量6.4k 收藏 2
点赞数 2
分类专栏: c/c++ windows编程 文章标签: Windows枚举进程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sinat_34260423/article/details/54236801
版权
本文详细介绍了在Windows环境下枚举进程的四种方法:1) 使用CreateToolhelp32Snapshot();2) 利用EnumProcesses();3) 通过WTSEnumerateProcesses();4) 通过ZwQuerySystemInformation()。每种方法都提供了相应的C++代码示例,展示了如何获取和打印进程ID及名称。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.CreateToolhelp32Snapshot()。这一种是比较常见的,利用进程快照进行枚举进程,主要利用CreateToolhelp32Snapshot()、Process32First()和 Process32Next()三个函数。下面直接上代码: 
// CreateToolhelp32Snapshot.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <Windows.h>
#include <tlhelp32.h>

int main()
{
	//创建快照句柄,CreateToolhelp32Snapshot()函数返回当前运行的进程快照句柄
	HANDLE ToolHelpHandle = NULL;

	//PROCESSENTRY32结构体记录当前进程的一些信息,其中dwSize必须指定大小,大小为当前结构体大小
	PROCESSENTRY32 ProcessEntry32 = { 0 };
	ProcessEntry32.dwSize = sizeof(PROCESSENTRY32);
	
	ToolHelpHandle = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	if (ToolHelpHandle == INVALID_HANDLE_VALUE)
	{
		return FALSE;
	}
	
	BOOL bOk = Process32First(ToolHelpHandle, &ProcessEntry32);
	while (bOk)
	{
		printf("PID:\t0x%X,", ProcessEntry32.th32ProcessID);
		printf("\tName:\t%S\r\n", ProcessEntry32.szExeFile);
		bOk = Process32Next(ToolHelpHandle, &ProcessEntry32);
	}

	CloseHandle(ToolHelpHandle);
	ToolHelpHandle = INVALID_HANDLE_VALUE;
    return 0;
}
2.EnumProcesses()。利用Psapi下EnumProcesses()函数进行枚举进程,该方法有可能得不到某些进程的名称,下面是代码: 
#include "stdafx.h"
#include <Windows.h>
#include <Psapi.h>

#define MAXPROCESSES 1024

void PrintProcessNameAndID(DWORD ProcessID);
int main()
{
	// 定义参数,EnumProcesses有三参数,接收进程标示符的数组,数组大小,数组返回字节数(真实接收数组的大小)

	DWORD Processes[MAXPROCESSES], Size, ProcessesNumber;

	if (!EnumProcesses(Processes, sizeof(Processes), &Size))
	{
		return 1;
	}


	//计算进程总数

	ProcessesNumber = Size / sizeof(DWORD);

	//打印各个进程

	for (int i = 0; i < ProcessesNumber; i++)
	{
		if (Processes[i] !=
最低0.47元/天 解锁文章
使用WTSEnumerateProcesses枚举进程--Ring3枚举进程
KOOKNUT的博客
05-09 1189
接下来介绍的这种枚举当前系统进程方法是通过wtsapi32.dll提供的API来实现。主要用到了以下两个函数: WTSOpenServerA WTSEnumerateProcessesA 我们来简单介绍一下这两个函数: /*************************************** *WTSOpenServer函数打开指定终端服务器的句柄 *pServerName:指向终端服务器的NetBIOS名称的指针。 **************************************
R3下,遍历所有进程的伪句柄表,关闭指定句柄
被遗弃的庸才博客
10-20 1749
之所以产生这个想法,是在删除文件的时候有时会提示文件被占用了,然后让我们先关闭之后在来删除,但是我怎么知道哪个进程打开了我的文件? 于是就去网上了找了一份代码然后改了改,接着来说说是怎么实现功能的。首先我们需要遍历所有的进程,所有要找到遍历进程的代码。 //遍历进程 WCHAR * szServerName = NULL; HANDLE WtsServerHandle = WTSOp...
JavaDay16:枚举,Properties,三架构
m0_49553291的博客
08-10 385
枚举,Properties,三架构枚举定义固定数量的对象枚举的定义switch caseProperties读取properties内容写Properties内容案例三架构 枚举 定义固定数量的对象 public class TraLightColor { public static TraLightColor red = new TraLightColor(); public static TraLightColor green = new TraLightColor(); public st
C# 技术使用笔记:枚举类型(enum)使用详解
最新发布
caifox的博客
03-24 2641
枚举(enum)是 C# 中的一种特殊的数据类型,它允许开发者定义一组命名的常量。通过使用枚举,可以提高代码的可读性和可维护性,同时避免使用魔法数字(magic numbers)等难以理解的值。在 C# 中,枚举的定义使用enumenum 枚举名称枚举成员1,枚举成员2,...Monday,Tuesday,Wednesday,Thursday,Friday,Saturday,Sunday默认情况下,枚举的底数据类型是int,并且枚举成员的值从 0 开始,依次递增。在上面的例子中,
进程枚举
CButtonST的专栏
08-16 825
各种进程枚举方法 方法一:使用工具库(Tool Help Library)函数 这是一种历史最悠久、也是最基本的方法(从Windows 95开始就支持这种方法)。这些API函数中,最重要的当属CreateToolhelp32Snapshot,它的函数原型如下: HANDLE WINAPI CreateToolhelp32Snapshot( DWORD dwFlags, DWORD
枚举进程
GyaoG的专栏
10-18 718
枚举进程 1、通过系统快照完成枚举系统进程 #include #include #include int main() { PROCESSENTRY32 processEntry = {0}; HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); //创建进程(TH32CS_SNAPPROCESS
【漏洞通告】Windows 内核信息泄漏漏洞CVE-2021-31955
爱国小白帽
06-29 2913
漏洞名称 : Windows 内核信息泄漏漏洞 组件名称 : Windows 影响范围 : Windows 10 21h1/20h2/1809/1909/2004 Windows Server 2016 20h2/2004 Windows Server 2019 漏洞类型 : 信息泄漏 利用条件 : 1、用户认证:不需要用户认证 2、触发方式:远程 综合评价 : 1、用户认证:不需要用户认证 2、触发方式:本地 漏洞分析 1 组件****介绍 Microsoft Windows操作系统是美国微软公司研发的一
ring0驱动上实现 隐藏进程(无进程 无端口 无服务)的简单demo.zip
01-24
在IT领域,尤其是在系统安全和恶意软件分析中,"ring0驱动上实现隐藏进程"是一种高级技术,它涉及到操作系统内核级别的编程。Ring0是CPU执行级别中的最高权限级别,通常只允许操作系统核心和设备驱动程序访问。...
ring3代码可靠地枚举Windows进程.pdf
03-24
2. **ToolHelp32**: ToolHelp32库提供了另一种枚举进程方法,主要包括`Process32First()`和`Process32Next()`这两个函数。它们能够帮助我们获取进程列表,并迭代获取每个进程的信息。 3. **...
ring0驱动级 隐藏进程 的源代码_在驱动通过替换ssdt地址表中的api函数来隐藏进程
01-25
当用户模式的应用程序调用系统服务,如创建或枚举进程时,这些调用会通过SSDT映射到相应的内核模式函数。因此,通过修改SSDT,我们可以替换或hook这些函数,从而改变其行为。 在隐藏进程的具体操作中,我们需要关注...
VB 枚举隐藏进程
chenhui530的专栏
10-09 4656
这篇文章是我翻译了两篇VC文章结合在一起的成果~具体是翻译的文章出处我也不清楚,我也是在网络上找到的希望原作者见谅!此文章是通过获取内核数据枚举EPROCESS结构来枚举进程的.所以现在大部分隐藏进程的程序都可以有一一列出来.在有的机器上运行可能会出错.由于时间关系我只写了检查注释如果有不懂的大家请在这里留言我会一一作答.下面是VB源码:VERSION 5.00Begin VB.Form
VC++枚举系统当前进程例子
05-06
VC++枚举系统当前进程例子
枚举系统中正在运行的进程
02-06
枚举系统中正在运行的进程,包括了几种方法:快照、psapi.dll提供的API、wtsapi32.dll提供的API、ntdll.dll提供的API.
通过VAD树枚举进程DLL(通过processID)
03-20
通过VAD树枚举进程DLL,VAD(Virtual address descriptor) 是一棵平衡二叉搜索树。管理着一个进程的虚拟内存。当然其中也包含着一个进程的dll模块信息
利用服务枚举进程
weixin_30763397的博客
09-11 180
枚举进程方法有许多,简单说一下它们的优缺点。 1.利用CreateToolhelp32Snapshot来枚举,这是最常用,也最简单的方法了,不用多说。 2.利用ZwQuerySystemInformation从ntdll.dll中获取,需要定义结构体SYSTEM_PROCESS_INFORMATION,还有对应的函数指针,但是要注意一点,申请内存之后,要判断ZwQuerySystemInfo...
c语言获取进程 所属用户名,获取进程所属用户名
weixin_42501077的博客
05-23 1011
引用库#include #pragma comment( lib, "Wtsapi32.lib" )直接给出遍历函数void EnumProcessUserName(){DWORDdwCount= 0;PWTS_PROCESS_INFOpi= { 0 };inti= 0;DWORDdwSize= 0;charusername[128]= { 0 };SID_NAME_USEnameuse= Sid...
几种获取进程列表的方法
张兆春的博客
07-18 4113
1.CreateToolhelp32Snapshot法: // ////////////////////////////////////////////////////////////////////////// // // CreateToolhelp32Snapshot 法            #include // /////////////////
Chrome 0 day漏洞利用链
HBohan的博客
07-13 297
远程代码执行漏洞利用 所有的攻击活动都是通过Chrome浏览器执行的。虽然研究人员无法获取漏洞利用的JS代码,但是研究人员根据相关攻击活动的时间轴推测出了利用的漏洞——CVE-2021-21224。此外,研究人员还推测攻击者使用JS文件以及正则测试来开发漏洞利用,并用于攻击活动。 权限提升漏洞利用 CVE-2021-31955 CVE-2021-31955漏洞是ntoskrnl.exe中的一个信息泄露漏洞。该漏洞与Windows操作系统的一个特征SuperFetch有关。SuperFetch是在Wind.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值