【超详细】遍历Windows进程模块
直奔主题
摘要
上一篇文章详细介绍了如何 遍历Windows进程。这篇文章主要是对获取的系统进程做进一步处理,依次遍历每个进程中使用的模块!主要是用到了Module32First以及Module32Next两个函数,思路就是在以前的进程外层循环中新增一个模块内层循环segmentfault
具体思路
(1).使用CreateToolhelp32Snapshot以及传参TH32CS_SNAPPROCESS建立系统进程快照
(2).使用Process32First获取第一个进程的信息存入到PROCESSENTRY32结构体中
(3).再用CreateToolhelp32Snapshot以及传参TH32CS_SNAPMODULE建立系统进程的模块快照
(4).使用Module32First获取第一个模块信息存到MODULEENTRY32结构体中
(5).而后使用Module32Next循环当前进程的全部模块
(6).再用Process32Next遍历全部进程
(7).最后用CloseHandle关闭全部句柄windows
完整代码函数
#include <stdio.h>
#include <stdlib.h>
#include <windows.h>
#include <Tlhelp32.h>
BOOL SetProcessPrivilege(char *lpName, BOOL opt);
int main(int argc, char *argv[])
{
PROCESSENTRY32 pe32;
MODULEENTRY32 me32;
HANDLE hProcess, hSnapshot_proc, hSnapshot_mod;
pe32.dwSize = sizeof(pe32);
SetProcessPrivilege("SeDebugPrivilege", 1);
hSnapshot_proc = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if (Process32First(hSnapshot_proc, &pe32))
{
do
{
hProcess = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, FALSE, pe32.th32ProcessID);
if (pe32.th32ProcessID && pe32.th32ProcessID != 4 && pe32.th32ProcessID != 8)
{
printf("PID: %d >>> ProcName: %s\n", pe32.th32ProcessID, pe32.szExeFile);
me32.dwSize = sizeof(me32);
hSnapshot_mod = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, pe32.th32ProcessID);
Module32First(hSnapshot_mod, &me32);
do
{
printf("ModName: %s -> Path: %s\n", me32.szModule, me32.szExePath);
} while (Module32Next(hSnapshot_mod, &me32));
printf("------\n\n");
CloseHandle(hSnapshot_mod);
}
CloseHandle(hProcess);
} while (Process32Next(hSnapshot_proc, &pe32));
}
SetProcessPrivilege("SeDebugPrivilege", 0);
CloseHandle(hSnapshot_proc);
system("pause");
return 0;
}
BOOL SetProcessPrivilege(char *lpName, BOOL opt)
{
HANDLE tokenhandle;
TOKEN_PRIVILEGES NewState;
if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &tokenhandle))
{
LookupPrivilegeValue(NULL, lpName, &NewState.Privileges[0].Luid);
NewState.PrivilegeCount = 1;
NewState.Privileges[0].Attributes = opt != 0 ? 2 : 0;
AdjustTokenPrivileges(tokenhandle, FALSE, &NewState, sizeof(NewState), NULL, NULL);
CloseHandle(tokenhandle);
return 1;
}
else
{
return 0;
}
}
编译命令gcc mod1.c -o mod1,注意程序的OpenProcess并非必要的,只是为了加深进程提权的理解ui
运行截图
因为内容太多控制台显示不全,设置缓冲区的高度便可彻底显示spa
END
相关文章
- 1. 【超详细】遍历Windows进程
- 2. 进程遍历模块遍历
- 3. Windows内核驱动EPROCESS遍历进程模块
- 4. [源码和文档分享]编程实现遍历进程遍历线程遍历进程加载模块
- 5. windows遍历进程与杀死进程
- 6. JQuery详细教程四之遍历
- 7. Layui_Tree模块遍历HDFS
- 8. C/C++遍历目录下的全部文件(Windows/Linux篇,超详细)
- 9. 超详细的光模块介绍
- 10. 超详细 windows版nacos安装教程及踩坑经历
- 更多相关文章...
- • XML DOM 遍历节点树 - XML DOM 教程
- • Lua 模块与包 - Lua 教程
- • C# 中 foreach 遍历的用法
- • 为了进字节跳动,我精选了29道Java经典算法题,带详细讲解
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
