VB 使用 ZwQueryInformationProcess

最新推荐文章于 2019-11-04 23:07:46 发布
最新推荐文章于 2019-11-04 23:07:46 发布
阅读量568 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: vb 文章标签: VB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yeuegi/article/details/83852340
本文介绍了一种使用VBA获取Windows环境下进程ID的方法。通过调用NTDLL.DLL库中的ZwQueryInformationProcess函数,并定义特定的数据结构和枚举类型来获取进程基本信息,进而得到指定进程的唯一标识符。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Option Explicit

Public Declare Function ZwQueryInformationProcess _
Lib "NTDLL.DLL" (ByVal ProcessHandle As Long, _
ByVal ProcessInformationClass As PROCESSINFOCLASS, _
ByVal ProcessInformation As Long, _
ByVal ProcessInformationLength As Long, _
ByRef ReturnLength As Long) As Long

Public Enum PROCESSINFOCLASS
ProcessBasicInformation
ProcessQuotaLimits
ProcessIoCounters
ProcessVmCounters
ProcessTimes
ProcessBasePriority
ProcessRaisePriority
ProcessDebugPort
ProcessExceptionPort
ProcessAccessToken
ProcessLdtInformation
ProcessLdtSize
ProcessDefaultHardErrorMode
ProcessIoPortHandlers '// Note: this is kernel mode only
ProcessPooledUsageAndLimits
ProcessWorkingSetWatch
ProcessUserModeIOPL
ProcessEnableAlignmentFaultFixup
ProcessPriorityClass
ProcessWx86Information
ProcessHandleCount
ProcessAffinityMask
ProcessPriorityBoost
ProcessDeviceMap
ProcessSessionInformation
ProcessForegroundInformation
ProcessWow64Information
ProcessImageFileName
ProcessLUIDDeviceMapsEnabled
ProcessBreakOnTermination
ProcessDebugObjectHandle
ProcessDebugFlags
ProcessHandleTracing
ProcessIoPriority
ProcessExecuteFlags
ProcessResourceManagement
ProcessCookie
ProcessImageInformation
MaxProcessInfoClass '// MaxProcessInfoClass should always be the last enum
End Enum

Public Type PROCESS_BASIC_INFORMATION
ExitStatus As Long 'NTSTATUS
PebBaseAddress As Long 'PPEB
AffinityMask As Long 'ULONG_PTR
BasePriority As Long 'KPRIORITY
UniqueProcessId As Long 'ULONG_PTR
InheritedFromUniqueProcessId As Long 'ULONG_PTR
End Type

Private Function GetProcessId(ByVal hProcess As Long) As Long
Dim st As Long
Dim pbi As PROCESS_BASIC_INFORMATION: pbi = GetProcessBasicInfo(hProcess)
GetProcessId = pbi.UniqueProcessId
End Function

Private Function GetProcessBasicInfo(ByVal hProcess As Long) As PROCESS_BASIC_INFORMATION
Dim st As Long
Dim pbi As PROCESS_BASIC_INFORMATION
st = ZwQueryInformationProcess(hProcess, ProcessBasicInformation, VarPtr(pbi), LenB(pbi), 0)

If (Not NT_SUCCESS(st)) Then Exit Function
GetProcessBasicInfo = pbi
End Function

Public Function NT_SUCCESS(ByVal Status As Long) As Boolean
NT_SUCCESS = (Status >= 0)
End Function

 

微软未公开函数ZwQuerySystemInformation的使用方法(vb编程专用)
08-18
网上关于函数ZwQuerySystemInformation的使用方法少的可怜,这是本人关于此函数的一些心得,在vb上玩api的朋友应该知道这份资料来之不易,我也不为难大家了,0分让你们下了! P.S.因使用win7的notepad编辑此文档,所以如果文档不能正常打开,见谅!
通过ZwQuerySystemInformation获取EPROCESS
weixin_33672109的博客
01-08 581
google一下,发现很多都是直接通过ZwQuerySystemInformation通过11号获取进程结构SYSTEM_PROCESS_INFORMATION,对于详细的进程信息表达不够。所以想要通过这个来查看详细的 EPROCESS 结构。方法可以通过 PsLookupProcessByProcessId 这个函数来获取。函数原型在下面给出。   typedef struct _SYS...
ZwQuerySystemInformation 查看系统进程信息
anhkgg的专栏
09-03 1145
ZwQuerySystemInformation 查看系统进程信息 [cpp] view plaincopyprint? #include typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation, SystemProcessorInformation, SystemP
Hook ZwQueryInformationProcess 函数使得异常处理可以在shellcode上执行
lif12345的专栏
09-27 1800
32位系统上当你的shellcode有使用 __try __except 进行处理时,系统最终会调用RtlIsValidHandler来判断异常处理函数是否有效,如果你希望处理异常 应该是HookRtlIsValidHandler,可是微软没有导出这个接口 于是我们逆向看看RtlIsValidHandler 发现它会判断ZwQueryInformationProcess的返回值,...
OllyDbg反调试技术:UnhandledExceptionFilter与ZwQueryInformationProcess解析
"本文主要探讨了反调试技术中的两种策略:UnhandledExceptionFilter和ZwQueryInformationProcess,并通过OllyDbg及其HideDebugger插件进行了实践分析。" 在反调试技术中,开发者通常会利用系统提供的功能来检测是否...
ZwQueryInformationProcess第二个参数为ProcessDebugFlags
03-31
ZwQueryInformationProcess函数的第二个参数为PROCESSINFOCLASS类型的参数,用于指定要查询的进程信息的类别。其中,PROCESSINFOCLASS枚举类型中并...因此,无法使用ZwQueryInformationProcess函数查询进程的调试标志。
ZwQueryInformationProcess第二个参数为ProcessBasicInformation
03-30
ZwQueryInformationProcess的第二个参数为PROCESSINFOCLASS枚举类型中的一个值,指定要查询的进程信息类型。其中,PROCESSINFOCLASS枚举类型中的值为ProcessBasicInformation指定了要查询的进程的基本信息。这些基本...
ZwQueryInformationProcess第二个参数为0x1f
03-31
ZwQueryInformationProcess函数的第二个参数为PROCESSINFOCLASS枚举类型,其中0x1f对应的枚举值为ProcessPriorityBoost,表示查询进程的优先级提升状态。具体来说,该函数可以用来查询指定进程是否启用了优先级提升...
第22章-OllyDbg反调试之UnhandledExceptionFilter,ZwQueryInformationProce
08-03
在OllyDbg中,有几种策略可以用来检测和规避调试器,例如使用UnhandledExceptionFilter和ZwQueryInformationProcess。这两者结合,可以构建起有效的反调试机制。 首先,UnhandledExceptionFilter是一个Windows API...
ZwQuerySystemInformation查找进程文件句柄
03-25
ZwQuerySystemInformation查找文件句柄
VB根据PID得到进程路径
11-07
VB根据PID得到进程路径,改了一段代码,可以获取进程的PID和路径:   在窗体设计器里放一个listbox,命名为process;   再放2个txtbox,一个名为ProcessID,用来显示PID;   另一个名为Path,用来显示进程路径;   最后再放一个按钮,命名为cmdRefresh,用于刷新列表;   完成后即可运行代码
vb 获取任意程序窗体句柄
08-13
可以获取正常情况下无法获取的窗口句柄,某些网络游戏会有屏蔽正常获取游戏窗口句柄,用此代码可以正常
函数ZwQuerySystemInformation小结
weixin_33906657的博客
08-07 369
函数存在于NTDLL.DLL动态链接库中。NTDLL.DLL负责ring3与ring0之间的通信。当使用子系统方式进行系统调用的时候,ntdll.dll和SSDT会配合使用。 关于ZwQuerySystemInformation这个函数可以用来查询进程信息、内核信息、硬件信息(例如CPU数目)、句柄信息、时间信息等54个系统信息。 该函数的原型是 NTSTATUS WI...
Ret2Libc 实战之利用 ZwSetInformationProcess
weixin_30237281的博客
03-11 454
参考 《0day安全软件漏洞分析技术第二版》第12章 攻击未开启DEP的程序 思路: 微软要考虑兼容性的问题,所以不能对所有进程强制开启 DEP(64 位下的 AlwaysOn 除外)。 DEP 保护对象是进程级的,当某个进程的加载模块中只要 有一个模块不支持 DEP,这个进程就不能贸然开启 DEP,否则可能会发生异常。 这种攻击手段不与 DEP 有着正面冲突,只是一种普通的溢出攻击。 利用 R...
windows 内核下获取进程路径
10-09 777
windows 内核下获取进程路径 思路:1):在EPROCESS结构中获取。此时要用到一个导出函数:PsGetProcessImageFileName,申明如下: NTSYSAPI UCHAR * PsGetProcessImageFileName( __in PEPROCESS Process ); 此函数获取的是一个简单的进程名,...
VB 调用 WindowsAPI 函数GetModuleFileName、 GetProcessImageFileName 和QueryFullProcessImageName获取进程文件路径
11-04 3954
Windows编程中,需要获取一个已打开窗口程序的完整路径,以便下次用ShellExecute 函数直接打开。 能实现这一目标的Windows API函数有3个: GetModuleFileName、GetProcessImageFileName 和QueryFullProcessImageName。网上的API函数手册大多只能查到第一个,后面两个只能百度查找调用方法,然而却都讲得不清不楚。...
进程遍历(枚举),模块遍历,线程遍历,进程链表,线程链表,模块链表
fzy20062008的专栏
08-07 1913
关键字: R3 Peb.Ldr,PEB_LDR_DATA NtQuerySystemInformation,ZwQueryInformationProcess, CreateToolhelp32Snapshot,EnumProcesses,EnumProcessModules ReadProcessMemory,NtReadProcessMemory kernel32.dll,psa...
隐藏进程检测
Tommy(凌飞)的专栏
11-17 3509
 隐藏进程检测User Mode下的隐藏进程检测我们先来看一些简单的方法,这些方法可以用在ring3下,用不着驱动。检测的原理是每一个进程活动时都会暴露一些痕迹,可以通过这些痕迹检测到它们。这些痕迹包括打开的句柄、窗口和创建的系统对象。针对类似的检测方法来实现进程隐藏并不困难,但需要考虑进程工作时可能暴露出的所有迹象。目前还没有一个公开的rootkit做到了这一点(遗憾的是私有版本我也还没见到)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值