进程模块句柄

最新推荐文章于 2024-06-19 10:41:30 发布
最新推荐文章于 2024-06-19 10:41:30 发布
阅读量291 收藏 1
点赞数
原文链接:http://www.cnblogs.com/jadeshu/p/10663718.html
版权

一、注意区别进程模块句柄进程内核句柄

 

二、每个可执行文件或者DLL文件被装入到某个进程地址空间后,都会有一个唯一的实例句柄,来表示装入后的可执行文件或者DLL,此时我们把这个可执行文件或者DLL叫做进程地址空间中的一个模块。

       进程模块句柄的本质就是当前模块的起始地址

 

三、如何获取进程模块句柄

    a.HMODULE  GetModuleHandle( LPCTSTR   lpModuleName)

 

   1.  如果这个函数的参数是NULL的话,那么这个函数只返回当前进程的模块地址!!

   2.  在DLL中,调用GetModuleHandle,返回的不是DLL模块的地址,而是当前进程的模块地址!

   3.  这个函数只检查本进程地址空间,不检查别的进程的地址空间。

 

获得进程中模块对应的文件名

 

 

	DWORD GetModuleFileName(
       						HMODULE        hInstance,//进程句柄
       						PTSTR               pszPath,//文件名
      						DWORD             cchPath);//pszPath指向的内存的大小

 

    b.WinMain函数中的第一个参数hInstance

 

四、如果代码位于DLL文件中,那么想知道这个DLL文件被装入进程空间后的模块地址怎么办?

    1.

 

extern “C” HANDLE __ImageBase;
int main()
{
	printf(“%x\n”,&__ImaggeBase);
	return 0;
}


    2.

 

 

void fun(HMODULE* hModule)
{
	GetModuleHandleEx(
		GET_MODULE_HANDLE_EX_FLAG_FROM_ADDRESS,
		(PCTSTR)fun,&hModule);
}



五、实例

 

#include <stdio.h>
#include <tchar.h>
#include <windows.h>
#include <locale.h>

extern "C" HANDLE __ImageBase;
int _tmain(int argc, _TCHAR* argv[])
{
	_tsetlocale(LC_ALL,_T("chs"));  //支持中文

	_tprintf(L"__ImageBase:%4x \n",&__ImageBase);

	HMODULE hMoudle = GetModuleHandle(nullptr);
	_tprintf(L"当前进程模块句柄为:%4x \n",hMoudle);

	TCHAR fileName[MAX_PATH] = {0};
	GetModuleFileName(hMoudle,fileName,MAX_PATH);
	_tprintf(L"当前进程模块文件名:%s \n",fileName);


	_gettchar();
	return 0;
}


运行结果:


 


转载于:https://www.cnblogs.com/jadeshu/p/10663718.html

易语言 取进程PID/进程句柄/进程模块句柄纯代码源码
02-22
易语言纯代码取 进程PID 进程句柄 进程模块句柄(CE查找的进程名加偏移就相当于模块句柄加偏移)
windows笔记-进程句柄
weixin_30628801的博客
08-31 98
进程的实例句柄 加载到进程地址空间的每个可执行文件或DLL文件均被赋予一个独一无二的实例句柄(基地址)。可执行文件的实例作为(w)WinMain的第一个参数hinstExe来传递(可执行文件的映像加载到的基地址是由链接程序决定的。)。 对于加载资源的函数调用来说,通常都需要该句柄的值。例如,若要从可执行文件的映象来加载图标资源,需要调用下面这个函数: HICONLoadIcon...
模块句柄进程句柄的区别?
l198738655的博客
02-21 1318
在WINDOWS下,模块指的是EXEDLL等数据加载到内存中的影像,模块句柄又是比较特殊的,它跟一般的句柄不一样,模块句柄指向的就是EXEDLL等的在内存的位置(就是指向它们的数据起始位置);进程句柄只是WINDOWS用来标识某个进程的ID值罢了,在内部,WINDOWS使用一种类似MAP的技术来进行映射的,就是通过这个进程句柄来找到指定进程在内存的位置。
Windows进程中的句柄
maomao171314的专栏
12-12 806
1 Windows进程中的句柄句柄是一个对象引用,同一个对象在不同的环境下可能有不同的引用(句柄)值。句柄仅在一个进程范围内有效。 HANDLE_TABLE 结构的定义: typedef struct _HANDLE_TABLE { ULONG_PTR TableCode;//指向句柄表的存储结构 struct _EPROCESS *QuotaProcess;//句柄表的内存资源记录在此进程中 HANDLE UniqueProcessId;//创建进程的ID,用于回...
Windows进程模块查看器-支持32位64位进程
05-06
本工具通过读取进程PEB数据遍历进程所加载的模块信息,包括模块名,模块路径,模块基地址等信息,支持64位32位进程
易语言取窗口进程线程句柄等源码
06-06
在IT领域,尤其是在Windows系统编程中,理解操作窗口、进程线程的句柄是非常重要的基础知识。易语言作为一款中国本土开发的编程语言,提供了一种简单易学的方式来实现这些功能。下面,我们将深入探讨易语言如何...
易语言源码易语言枚举进程所有句柄源码.rar
03-31
在本压缩包文件"易语言源码易语言枚举进程所有句柄源码.rar"中,包含了一个易语言编写的程序,该程序主要用于枚举并显示当前系统中的所有进程句柄。下面我们将详细探讨这个知识点。 1. **进程句柄**: - **进程*...
进程句柄,PID及线程
热门推荐
hs5570的博客
02-28 1万+
进程(process) 进程是一个正在运行的程序 进程里可以包括多个模块(DLL,OCX,等) 进程是表示资源分配的的基本概念,又是调度运行的基本单位,是系统中的并发执行的单位。 一个任务就是一个进程(Process),比如打开一个浏览器就是启动一个浏览器进程,打开一个记事本就启动了一个记事本进程,打开两个记事本就启动了两个记事本进程。 线程(Thread) 单个进程中执行中每个任务就是一...
进程句柄方面的问题
earthbig的专栏
11-06 850
为何用GetCurrentProcess()得到的句柄总是0FFFFH?用GetParent()总是得到NULL?还有,请问怎么改变当前窗口的标题?
易语言对象取进程ID
07-22
易语言对象取进程ID源码,对象取进程ID
易语言 取进程路径.ec 模块
05-13
进程路径取进程路径取进程路径取进程路径
易语言通过句柄获取信息
05-11
易语言通过句柄获取信息,可以获取到标题,等各种信息。
系统中进程句柄的问题
安宁的专栏
09-23 727
主  题:   请教系统中进程句柄的问题
进程句柄表-2
m0_73452266的博客
03-20 923
进程句柄表的概念,以及使用到的函数
windows核心编程-进程句柄如何获得
qq_22423659的博客
11-25 1481
进程句柄不同于进程内核对象的句柄 进程内核对象句柄:代表整个进程进程句柄:exe或者dll装入某个进程的地址空间,有唯一的实例句柄,也可以叫做模块句柄 进程句柄的本质是进程模块进程地址空间中的首地址! 一:GetModuleFileName DWORD WINAPI GetModuleFileName( _In_opt_ HMODULE hModule, //进程句柄
逆向学习Windows篇:进程句柄操作详解
Web安全工具库
06-19 1642
本节课在线学习视频(网盘地址,保存后即可免费观看):​​。
进程PID取窗口句柄+进程名称取PID
07-23 2712
本来想用这个取CF的句柄,结果辛辛苦苦弄好的代码,CF里测试返回结果是0 NND不过可以取QQ句柄...(*^__^*) 嘻嘻…unit Unit1;interfaceusesWindows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,Dialogs, StdCtrls, TLhelp32;
通过进程号与模块名获取模块句柄
成长需要沉淀。
07-23 522
CreateToolhelp32Snapshot() 也是可以快照某个进程的所有模块的。
进程模块句柄
最新发布
04-11
<think>好的,我需要帮助用户解决如何在不同进程间获取模块句柄的问题。首先,我需要理解用户的具体需求。用户提到跨进程模块句柄,可能是指在一个进程中获取另一个进程加载的某个模块(比如DLL)的句柄。根据引用中的信息,特别是引用3提到的一些方法,比如使用OpenProcessGetModuleHandle,但GetModuleHandle只能获取当前进程模块句柄,所以跨进程可能需要其他方法。 接下来,我需要回顾一下Windows API中相关的函数。通常,获取模块句柄可以使用GetModuleHandle或GetModuleHandleEx,但这些函数只适用于当前进程。对于跨进程的情况,可能需要枚举目标进程模块列表,然后获取特定模块的基地址等信息。例如,使用ToolHelp API中的CreateToolhelp32Snapshot、Module32FirstModule32Next来遍历目标进程模块。 另外,引用3中提到通过进程ID获取进程句柄的方法是OpenProcess,这可能是一个起点。用户需要先获取目标进程句柄,然后才能枚举其模块。此外,用户可能需要使用GetProcAddress来获取函数地址,但这通常是在同一进程内,跨进程可能需要注入代码或者使用远程线程,但这样可能比较复杂。 然后,我需要考虑如何安全地实现这一点。例如,使用ToolHelp API来枚举模块,这样不需要注入代码,相对安全。或者,使用PSAPI中的EnumProcessModules函数,这也是一种方法。但需要注意的是,这些方法需要适当的权限,比如PROCESS_QUERY_INFORMATIONPROCESS_VM_READ权限,因此在调用OpenProcess时需要请求这些权限。 接着,示例代码方面,用户可能需要一个C/C++的示例,展示如何打开目标进程,枚举其模块,并找到特定模块的基地址(即模块句柄)。代码步骤可能包括:获取进程ID,用OpenProcess打开进程,创建快照,遍历模块列表,比较模块名称,然后获取基地址。 还需要注意,模块句柄在跨进程中的有效性。因为模块句柄是相对于目标进程的地址空间的,所以在当前进程中直接使用该句柄可能没有意义。用户可能需要的是模块的基地址,以便进行后续操作,比如读取内存或注入代码。 此外,用户的问题中提到“跨进程模块句柄”,可能有一些误解,因为句柄进程相关的。正确的做法是获取目标进程模块的基地址,而不是直接获取句柄。因此,在回答时需要澄清这一点,并提供正确的方法。 最后,确保回答符合用户的要求,包括示例代码实现方式,同时引用相关的参考资料,特别是引用3中的内容,比如使用OpenProcessToolHelp API的方法。</think>### 跨进程获取模块句柄的解决方案 #### 核心思路 Windows系统中模块句柄(HMODULE)本质上是模块进程内存空间中的基地址。跨进程获取模块句柄的关键在于**枚举目标进程的已加载模块列表**,并通过模块名称匹配获取对应的基地址[^3]。 --- ### 实现步骤 1. **获取目标进程ID** - 通过窗口标题/进程名称/进程PID等标识定位目标进程 - 示例方法:`FindWindow`+`GetWindowThreadProcessId` 或 `CreateToolhelp32Snapshot` 2. **打开目标进程句柄** ```c++ HANDLE hProcess = OpenProcess( PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, FALSE, dwProcessId ); ``` 需要`PROCESS_QUERY_INFORMATION``PROCESS_VM_READ`权限[^3] 3. **枚举进程模块** - **方法1:使用ToolHelp API** ```c++ #include <tlhelp32.h> MODULEENTRY32 me32 = { sizeof(MODULEENTRY32) }; HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProcessId); if (Module32First(hSnapshot, &me32)) { do { if (strcmp(me32.szModule, "target.dll") == 0) { DWORD dwBaseAddr = (DWORD)me32.modBaseAddr; break; } } while (Module32Next(hSnapshot, &me32)); } CloseHandle(hSnapshot); ``` - **方法2:使用PSAPI** ```c++ #include <psapi.h> HMODULE hMods[1024]; DWORD cbNeeded; if (EnumProcessModules(hProcess, hMods, sizeof(hMods), &cbNeeded)) { for (DWORD i = 0; i < (cbNeeded / sizeof(HMODULE)); i++) { TCHAR szModName[MAX_PATH]; GetModuleFileNameEx(hProcess, hMods[i], szModName, sizeof(szModName)); if (wcsstr(szModName, L"target.dll")) { DWORD dwBaseAddr = (DWORD)hMods[i]; break; } } } ``` --- ### 完整示例代码 ```c++ #include <windows.h> #include <tlhelp32.h> #include <iostream> DWORD GetModuleBaseAddress(DWORD pid, const char* modName) { HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE | TH32CS_SNAPMODULE32, pid); if (hSnapshot == INVALID_HANDLE_VALUE) return 0; MODULEENTRY32 me32; me32.dwSize = sizeof(MODULEENTRY32); if (!Module32First(hSnapshot, &me32)) { CloseHandle(hSnapshot); return 0; } do { if (_stricmp(me32.szModule, modName) == 0) { CloseHandle(hSnapshot); return (DWORD)me32.modBaseAddr; } } while (Module32Next(hSnapshot, &me32)); CloseHandle(hSnapshot); return 0; } int main() { DWORD pid = 1234; // 替换为目标进程ID const char* dllName = "kernel32.dll"; DWORD baseAddr = GetModuleBaseAddress(pid, dllName); if (baseAddr) { std::cout << "Module " << dllName << " base address: 0x" << std::hex << baseAddr << std::endl; } else { std::cout << "Module not found" << std::endl; } return 0; } ``` --- ### 关键注意事项 1. **权限要求**:调用进程需要具有`PROCESS_QUERY_INFORMATION``PROCESS_VM_READ`权限 2. **32/64位兼容性**:需确保调用进程与目标进程的架构一致(使用`TH32CS_SNAPMODULE32`处理32位进程) 3. **模块名称匹配**:注意大小写敏感性完整路径匹配问题 4. **地址有效性**:获取的基地址仅在目标进程上下文中有效,不能直接用于本地进程操作 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值