VB 使用 ZwQueryInformationProcess

最新推荐文章于 2019-10-20 17:55:46 发布
最新推荐文章于 2019-10-20 17:55:46 发布
阅读量568 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: vb 文章标签: VB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yeuegi/article/details/83852340
本文介绍了一种使用VBA获取Windows环境下进程ID的方法。通过调用NTDLL.DLL库中的ZwQueryInformationProcess函数,并定义特定的数据结构和枚举类型来获取进程基本信息,进而得到指定进程的唯一标识符。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Option Explicit

Public Declare Function ZwQueryInformationProcess _
Lib "NTDLL.DLL" (ByVal ProcessHandle As Long, _
ByVal ProcessInformationClass As PROCESSINFOCLASS, _
ByVal ProcessInformation As Long, _
ByVal ProcessInformationLength As Long, _
ByRef ReturnLength As Long) As Long

Public Enum PROCESSINFOCLASS
ProcessBasicInformation
ProcessQuotaLimits
ProcessIoCounters
ProcessVmCounters
ProcessTimes
ProcessBasePriority
ProcessRaisePriority
ProcessDebugPort
ProcessExceptionPort
ProcessAccessToken
ProcessLdtInformation
ProcessLdtSize
ProcessDefaultHardErrorMode
ProcessIoPortHandlers '// Note: this is kernel mode only
ProcessPooledUsageAndLimits
ProcessWorkingSetWatch
ProcessUserModeIOPL
ProcessEnableAlignmentFaultFixup
ProcessPriorityClass
ProcessWx86Information
ProcessHandleCount
ProcessAffinityMask
ProcessPriorityBoost
ProcessDeviceMap
ProcessSessionInformation
ProcessForegroundInformation
ProcessWow64Information
ProcessImageFileName
ProcessLUIDDeviceMapsEnabled
ProcessBreakOnTermination
ProcessDebugObjectHandle
ProcessDebugFlags
ProcessHandleTracing
ProcessIoPriority
ProcessExecuteFlags
ProcessResourceManagement
ProcessCookie
ProcessImageInformation
MaxProcessInfoClass '// MaxProcessInfoClass should always be the last enum
End Enum

Public Type PROCESS_BASIC_INFORMATION
ExitStatus As Long 'NTSTATUS
PebBaseAddress As Long 'PPEB
AffinityMask As Long 'ULONG_PTR
BasePriority As Long 'KPRIORITY
UniqueProcessId As Long 'ULONG_PTR
InheritedFromUniqueProcessId As Long 'ULONG_PTR
End Type

Private Function GetProcessId(ByVal hProcess As Long) As Long
Dim st As Long
Dim pbi As PROCESS_BASIC_INFORMATION: pbi = GetProcessBasicInfo(hProcess)
GetProcessId = pbi.UniqueProcessId
End Function

Private Function GetProcessBasicInfo(ByVal hProcess As Long) As PROCESS_BASIC_INFORMATION
Dim st As Long
Dim pbi As PROCESS_BASIC_INFORMATION
st = ZwQueryInformationProcess(hProcess, ProcessBasicInformation, VarPtr(pbi), LenB(pbi), 0)

If (Not NT_SUCCESS(st)) Then Exit Function
GetProcessBasicInfo = pbi
End Function

Public Function NT_SUCCESS(ByVal Status As Long) As Boolean
NT_SUCCESS = (Status >= 0)
End Function

 

微软未公开函数ZwQuerySystemInformation的使用方法(vb编程专用)
08-18
网上关于函数ZwQuerySystemInformation的使用方法少的可怜,这是本人关于此函数的一些心得,在vb上玩api的朋友应该知道这份资料来之不易,我也不为难大家了,0分让你们下了! P.S.因使用win7的notepad编辑此文档,所以如果文档不能正常打开,见谅!
通过ZwQuerySystemInformation获取EPROCESS
weixin_33672109的博客
01-08 580
google一下,发现很多都是直接通过ZwQuerySystemInformation通过11号获取进程结构SYSTEM_PROCESS_INFORMATION,对于详细的进程信息表达不够。所以想要通过这个来查看详细的 EPROCESS 结构。方法可以通过 PsLookupProcessByProcessId 这个函数来获取。函数原型在下面给出。   typedef struct _SYS...
ZwQuerySystemInformation 查看系统进程信息
anhkgg的专栏
09-03 1145
ZwQuerySystemInformation 查看系统进程信息 [cpp] view plaincopyprint? #include typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation, SystemProcessorInformation, SystemP
Hook ZwQueryInformationProcess 函数使得异常处理可以在shellcode上执行
lif12345的专栏
09-27 1800
32位系统上当你的shellcode有使用 __try __except 进行处理时,系统最终会调用RtlIsValidHandler来判断异常处理函数是否有效,如果你希望处理异常 应该是HookRtlIsValidHandler,可是微软没有导出这个接口 于是我们逆向看看RtlIsValidHandler 发现它会判断ZwQueryInformationProcess的返回值,...
OllyDbg反调试技术:UnhandledExceptionFilter与ZwQueryInformationProcess解析
"本文主要探讨了反调试技术中的两种策略:UnhandledExceptionFilter和ZwQueryInformationProcess,并通过OllyDbg及其HideDebugger插件进行了实践分析。" 在反调试技术中,开发者通常会利用系统提供的功能来检测是否...
ZwQueryInformationProcess第二个参数为ProcessDebugFlags
03-31
ZwQueryInformationProcess函数的第二个参数为PROCESSINFOCLASS类型的参数,用于指定要查询的进程信息的类别。其中,PROCESSINFOCLASS枚举类型中并...因此,无法使用ZwQueryInformationProcess函数查询进程的调试标志。
ZwQueryInformationProcess第二个参数为ProcessBasicInformation
03-30
ZwQueryInformationProcess的第二个参数为PROCESSINFOCLASS枚举类型中的一个值,指定要查询的进程信息类型。其中,PROCESSINFOCLASS枚举类型中的值为ProcessBasicInformation指定了要查询的进程的基本信息。这些基本...
ZwQueryInformationProcess第二个参数为0x1f
03-31
ZwQueryInformationProcess函数的第二个参数为PROCESSINFOCLASS枚举类型,其中0x1f对应的枚举值为ProcessPriorityBoost,表示查询进程的优先级提升状态。具体来说,该函数可以用来查询指定进程是否启用了优先级提升...
第22章-OllyDbg反调试之UnhandledExceptionFilter,ZwQueryInformationProce
08-03
在OllyDbg中,有几种策略可以用来检测和规避调试器,例如使用UnhandledExceptionFilter和ZwQueryInformationProcess。这两者结合,可以构建起有效的反调试机制。 首先,UnhandledExceptionFilter是一个Windows API...
ZwQuerySystemInformation查找进程文件句柄
03-25
ZwQuerySystemInformation查找文件句柄
vb 获取任意程序窗体句柄
08-13
可以获取正常情况下无法获取的窗口句柄,某些网络游戏会有屏蔽正常获取游戏窗口句柄,用此代码可以正常
函数ZwQuerySystemInformation小结
weixin_33906657的博客
08-07 369
函数存在于NTDLL.DLL动态链接库中。NTDLL.DLL负责ring3与ring0之间的通信。当使用子系统方式进行系统调用的时候,ntdll.dll和SSDT会配合使用。 关于ZwQuerySystemInformation这个函数可以用来查询进程信息、内核信息、硬件信息(例如CPU数目)、句柄信息、时间信息等54个系统信息。 该函数的原型是 NTSTATUS WI...
Ret2Libc 实战之利用 ZwSetInformationProcess
weixin_30237281的博客
03-11 454
参考 《0day安全软件漏洞分析技术第二版》第12章 攻击未开启DEP的程序 思路: 微软要考虑兼容性的问题,所以不能对所有进程强制开启 DEP(64 位下的 AlwaysOn 除外)。 DEP 保护对象是进程级的,当某个进程的加载模块中只要 有一个模块不支持 DEP,这个进程就不能贸然开启 DEP,否则可能会发生异常。 这种攻击手段不与 DEP 有着正面冲突,只是一种普通的溢出攻击。 利用 R...
根据进程句柄获得可执行文件路径的几种方法
热门推荐
while(1) { smile(); }
11-28 13万+
转载自: http://blog.youkuaiyun.com/hellokandy/article/details/52160077 通过进程句柄,获得可执行文件的路径,主要有以下几种方法: 第一种方法:也是最常用的方法,是通过GetModuleFileNameEx函数获得可执行文件的模块路径,这个函数从Windows NT 4.0开始到现在的Vista系统都能使用,向后兼容性比较好。
R3下,遍历所有进程的伪句柄表,关闭指定句柄
被遗弃的庸才博客
10-20 1763
之所以产生这个想法,是在删除文件的时候有时会提示文件被占用了,然后让我们先关闭之后在来删除,但是我怎么知道哪个进程打开了我的文件? 于是就去网上了找了一份代码然后改了改,接着来说说是怎么实现功能的。首先我们需要遍历所有的进程,所有要找到遍历进程的代码。 //遍历进程 WCHAR * szServerName = NULL; HANDLE WtsServerHandle = WTSOp...
反调试 - NtQueryInformationProcess(ProcessDebugPort,ProcessDebugFlags,ProcessDebugObjectHandle)...
墨鱼菜鸡
09-16 559
NtQueryInformationProcess 是微软 未公开 的一个 API,嗯,这个反调试的方法有一个特点就是 能过吾爱破解版OD! ,其他版本的OD没有尝试,但相信这种反调试手法可以检测大部分的第三方OD。 首先...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值