枚举进程模块的方法有很多种,常见的有枚举PEB和内存搜索法,今天,先来看看实现起来最简单的枚举PEB实现获取进程模块列表。

首先,惯例是各种繁琐的结构体定义。需要包含 ntifs.h 和 WinDef.h, 此处不再列出,各位看官根据情况自行添加。

  1. typedef PPEB (__stdcall *PFNPsGetProcessPeb)(PEPROCESS pEProcess);
  2. typedef ULONG   PPS_POST_PROCESS_INIT_ROUTINE;
  3. typedef struct _PEB_LDR_DATA {
  4. BYTE       Reserved1[8];
  5. PVOID      Reserved2[3];
  6. LIST_ENTRY InMemoryOrderModuleList;
  7. } PEB_LDR_DATA, *PPEB_LDR_DATA;
  8. typedef struct _RTL_USER_PROCESS_PARAMETERS {
  9. BYTE           Reserved1[16];
  10. PVOID          Reserved2[10];
  11. UNICODE_STRING ImagePathName;
  12. UNICODE_STRING CommandLine;
  13. } RTL_USER_PROCESS_PARAMETERS, *PRTL_USER_PROCESS_PARAMETERS;
  14. typedef struct _PEB {
  15. BYTE                          Reserved1[2];
  16. BYTE                          BeingDebugged;
  17. BYTE                          Reserved2[1];
  18. PVOID                         Reserved3[2];
  19. PPEB_LDR_DATA                 Ldr;
  20. PRTL_USER_PROCESS_PARAMETERS  ProcessParameters;
  21. BYTE                          Reserved4[104];
  22. PVOID                         Reserved5[52];
  23. PPS_POST_PROCESS_INIT_ROUTINE PostProcessInitRoutine;
  24. BYTE                          Reserved6[128];
  25. PVOID                         Reserved7[1];
  26. ULONG                         SessionId;
  27. } PEB, *PPEB;
  28. typedef struct _LDR_DATA_TABLE_ENTRY
  29. {
  30. LIST_ENTRY InLoadOrderLinks;
  31. LIST_ENTRY InMemoryOrderLinks;
  32. LIST_ENTRY InInitializationOrderLinks;
  33. PVOID DllBase;
  34. PVOID EntryPoint;
  35. DWORD SizeOfImage;
  36. UNICODE_STRING FullDllName;
  37. UNICODE_STRING BaseDllName;
  38. DWORD Flags;
  39. WORD LoadCount;
  40. WORD TlsIndex;
  41. LIST_ENTRY HashLinks;
  42. PVOID SectionPointer;
  43. DWORD CheckSum;
  44. DWORD TimeDateStamp;
  45. PVOID LoadedImports;
  46. PVOID EntryPointActivationContext;
  47. PVOID PatchInformation;
  48. }LDR_DATA_TABLE_ENTRY,*PLDR_DATA_TABLE_ENTRY;
typedef PPEB (__stdcall *PFNPsGetProcessPeb)(PEPROCESS pEProcess);

typedef ULONG   PPS_POST_PROCESS_INIT_ROUTINE;  

typedef struct _PEB_LDR_DATA {

    BYTE       Reserved1[8];

    PVOID      Reserved2[3];

    LIST_ENTRY InMemoryOrderModuleList;

} PEB_LDR_DATA, *PPEB_LDR_DATA;

typedef struct _RTL_USER_PROCESS_PARAMETERS {

    BYTE           Reserved1[16];

    PVOID          Reserved2[10];

    UNICODE_STRING ImagePathName;

    UNICODE_STRING CommandLine;

} RTL_USER_PROCESS_PARAMETERS, *PRTL_USER_PROCESS_PARAMETERS;

typedef struct _PEB {

    BYTE                          Reserved1[2];

    BYTE                          BeingDebugged;

    BYTE                          Reserved2[1];

    PVOID                         Reserved3[2];

    PPEB_LDR_DATA                 Ldr;

    PRTL_USER_PROCESS_PARAMETERS  ProcessParameters;

    BYTE                          Reserved4[104];

    PVOID                         Reserved5[52];

    PPS_POST_PROCESS_INIT_ROUTINE PostProcessInitRoutine;

    BYTE                          Reserved6[128];

    PVOID                         Reserved7[1];

    ULONG                         SessionId;

} PEB, *PPEB;

typedef struct _LDR_DATA_TABLE_ENTRY

{

    LIST_ENTRY InLoadOrderLinks;

    LIST_ENTRY InMemoryOrderLinks;

    LIST_ENTRY InInitializationOrderLinks;

    PVOID DllBase;

    PVOID EntryPoint;

    DWORD SizeOfImage;

    UNICODE_STRING FullDllName;

    UNICODE_STRING BaseDllName;

    DWORD Flags;

    WORD LoadCount;

    WORD TlsIndex;

    LIST_ENTRY HashLinks;

    PVOID SectionPointer;

    DWORD CheckSum;

    DWORD TimeDateStamp;

    PVOID LoadedImports;

    PVOID EntryPointActivationContext;

    PVOID PatchInformation;

}LDR_DATA_TABLE_ENTRY,*PLDR_DATA_TABLE_ENTRY;

下面进入真正的实现代码:

  1. NTSTATUS GetProcessModules(ULONG ulProcessId)
  2. {
  3. NTSTATUS nStatus;
  4. //PEB结构指针
  5. PPEB pPEB = NULL;
  6. //EPROCESS结构指针
  7. PEPROCESS  pEProcess = NULL;
  8. //查找的函数名称
  9. UNICODE_STRING uniFunctionName;
  10. //进程参数信息
  11. PRTL_USER_PROCESS_PARAMETERS pParam  = NULL;
  12. //LDR数据结构
  13. PPEB_LDR_DATA pPebLdrData = NULL;
  14. //LDR链表入口
  15. PLDR_DATA_TABLE_ENTRY pLdrDataEntry = NULL;
  16. //链表头节点、尾节点
  17. PLIST_ENTRY pListEntryStart = NULL;
  18. PLIST_ENTRY pListEntryEnd = NULL;
  19. //函数指针
  20. PFNPsGetProcessPeb  PsGetProcessPeb = NULL;
  21. //保存APC状态
  22. KAPC_STATE KAPC ={0};
  23. //是否已经附加到进程
  24. BOOLEAN bIsAttached = FALSE;
  25. //获取进程的EPROCESS结构指针
  26. nStatus = PsLookupProcessByProcessId((HANDLE)ulProcessId, &pEProcess);
  27. if (!NT_SUCCESS(nStatus))
  28. {
  29. return STATUS_UNSUCCESSFUL;
  30. }
  31. //查找函数地址
  32. RtlInitUnicodeString(&uniFunctionName, L"PsGetProcessPeb");
  33. PsGetProcessPeb = (PFNPsGetProcessPeb)MmGetSystemRoutineAddress(&uniFunctionName);
  34. if (PsGetProcessPeb == NULL)
  35. {
  36. KdPrint(("Get PsGetProcessPeb Failed~!\n"));
  37. return STATUS_UNSUCCESSFUL;
  38. }
  39. //获取PEB指针
  40. pPEB = PsGetProcessPeb(pEProcess);
  41. if (pPEB == NULL)
  42. {
  43. KdPrint(("Get pPEB Failed~!\n"));
  44. return STATUS_UNSUCCESSFUL;
  45. }
  46. //附加到进程
  47. KeStackAttachProcess(pEProcess, &KAPC);
  48. bIsAttached = TRUE;
  49. //指向LDR
  50. pPebLdrData = pPEB->Ldr;
  51. //头节点、尾节点
  52. pListEntryStart = pListEntryEnd = pPebLdrData->InMemoryOrderModuleList.Flink;
  53. //开始遍历_LDR_DATA_TABLE_ENTRY
  54. do
  55. {
  56. //通过_LIST_ENTRY的Flink成员获取_LDR_DATA_TABLE_ENTRY结构
  57. pLdrDataEntry = (PLDR_DATA_TABLE_ENTRY)CONTAINING_RECORD(pListEntryStart,LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks);
  58. //输出DLL全路径
  59. KdPrint(("%wZ \n", &pLdrDataEntry->FullDllName));
  60. pListEntryStart = pListEntryStart->Flink;
  61. }while(pListEntryStart != pListEntryEnd);
  62. //Detach进程
  63. if (bIsAttached != FALSE)
  64. {
  65. KeUnstackDetachProcess(&KAPC);
  66. }
  67. //减少引用计数
  68. if (pEProcess != NULL)
  69. {
  70. ObDereferenceObject(pEProcess);
  71. pEProcess = NULL;
  72. }
  73. return STATUS_SUCCESS;
  74. }
NTSTATUS GetProcessModules(ULONG ulProcessId)

{

    NTSTATUS nStatus;

    //PEB结构指针

    PPEB pPEB = NULL;

    //EPROCESS结构指针

    PEPROCESS  pEProcess = NULL;

    //查找的函数名称

    UNICODE_STRING uniFunctionName;

    //进程参数信息

    PRTL_USER_PROCESS_PARAMETERS pParam  = NULL;

    //LDR数据结构

    PPEB_LDR_DATA pPebLdrData = NULL;  

    //LDR链表入口

    PLDR_DATA_TABLE_ENTRY pLdrDataEntry = NULL;  

    //链表头节点、尾节点

    PLIST_ENTRY pListEntryStart = NULL;

    PLIST_ENTRY pListEntryEnd = NULL; 

    //函数指针

    PFNPsGetProcessPeb  PsGetProcessPeb = NULL;

    //保存APC状态

    KAPC_STATE KAPC ={0};

    //是否已经附加到进程

    BOOLEAN bIsAttached = FALSE;

    //获取进程的EPROCESS结构指针

    nStatus = PsLookupProcessByProcessId((HANDLE)ulProcessId, &pEProcess);

    if (!NT_SUCCESS(nStatus))

    {

        return STATUS_UNSUCCESSFUL;

    }

    //查找函数地址

    RtlInitUnicodeString(&uniFunctionName, L"PsGetProcessPeb");

    PsGetProcessPeb = (PFNPsGetProcessPeb)MmGetSystemRoutineAddress(&uniFunctionName);

    if (PsGetProcessPeb == NULL)

    {

        KdPrint(("Get PsGetProcessPeb Failed~!\n"));

        return STATUS_UNSUCCESSFUL;

    }

    //获取PEB指针

    pPEB = PsGetProcessPeb(pEProcess);

    if (pPEB == NULL)

    {

        KdPrint(("Get pPEB Failed~!\n"));

        return STATUS_UNSUCCESSFUL;

    }

    //附加到进程

    KeStackAttachProcess(pEProcess, &KAPC);

    bIsAttached = TRUE;

    //指向LDR

    pPebLdrData = pPEB->Ldr;

    //头节点、尾节点

    pListEntryStart = pListEntryEnd = pPebLdrData->InMemoryOrderModuleList.Flink;

    //开始遍历_LDR_DATA_TABLE_ENTRY

    do

    {

        //通过_LIST_ENTRY的Flink成员获取_LDR_DATA_TABLE_ENTRY结构

        pLdrDataEntry = (PLDR_DATA_TABLE_ENTRY)CONTAINING_RECORD(pListEntryStart,LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks);  

        //输出DLL全路径

        KdPrint(("%wZ \n", &pLdrDataEntry->FullDllName));

        pListEntryStart = pListEntryStart->Flink;  

    }while(pListEntryStart != pListEntryEnd);  

    //Detach进程

    if (bIsAttached != FALSE)

    {

        KeUnstackDetachProcess(&KAPC);

    }

    //减少引用计数

    if (pEProcess != NULL)

    {

        ObDereferenceObject(pEProcess);

        pEProcess = NULL;

    }

    return STATUS_SUCCESS;

}

下面是运行截图:

本帖为原创,转帖请说明出处,谢谢合作。

本帖地址:http://blog.csdn.net/sonsie007/article/details/22622177

枚举PEB获取进程模块列表的更多相关文章

  1. 【旧文章搬运】《从PEB获取内存中模块列表》的补充

    原文发表于百度空间,2008-7-26========================================================================== 继续研究PE ...

  2. 进程管理02 通过PEB枚举进程所有模块

    0x01  结构探究 先在win7 x86下通过windbg来探究通过peb来得到进程模块的步骤: 命令!process 0 0 exeplorer.exe 先获取到explorer.exe的EPRO ...

  3. Qt 扫描进程列表以及获取进程信息

    使用方法: QMap<QString,qint64> app_pid; getAllAppPidList( app_pid ); #include <tlhelp32.h>// ...

  4. python 获取进程pid号

    #-*- encoding:UTF-8 -*- import os import sys import string import psutil import re def get_pid(name) ...

  5. 获取进程ID,父进程ID,进程完整路径

    准备写一个进程管理的功能模块,今天下午先写了扫描获取本机各个进程路径,获取各个进程映像名称,进程完整路径. 要获取进程信息,第一步想到的就是提权,提权代码用过多次了,今天也小结了一下(http://w ...

  6. Atitit,通过pid获取进程文件路径 java php  c#.net版本大总结

    Atitit,通过pid获取进程文件路径 java php  c#.net版本大总结 1. 通过PID获取进程路径的几种方法2 1.1. GetModuleFileNameEx 想获得进程可执行文件的 ...

  7. python学习笔记(13)常用模块列表总结

    os模块: os.remove() 删除文件 os.unlink() 删除文件 os.rename() 重命名文件 os.listdir() 列出指定目录下所有文件 os.chdir() 改变当前工作 ...

  8. C# 获取进程或线程的相关信息

    信息来自: http://blog.163.com/kunkun0921@126/blog/static/169204332201293023432113/ using System; using S ...

  9. 通过PID获取进程路径的几种方法

    通过PID获取进程路径的几种方法 想获得进程可执行文件的路径最常用的方法是通过GetModuleFileNameEx函数获得可执行文件的模块路径这个函数从Windows NT 4.0开始到现在的Vis ...

随机推荐

  1. 【转】Nginx服务器的反向代理proxy_pass配置方法讲解

    [转]Nginx服务器的反向代理proxy_pass配置方法讲解 转自:http://www.jb51.net/article/78746.htm 就普通的反向代理来讲Nginx的配置还是比较简单的, ...

  2. 渲染物体到一张UITexture上

    把这个脚本挂到一个Camera上 using UnityEngine; using System.Collections; [RequireComponent(typeof(Camera))] pub ...

  3. 最近开始做Android了

    最近开始做Android,在学习的过程中发现找以前知识很不方便啊,于是决定以后还是把知识记录在博客里吧,说不定也能为他人提供参考!

  4. Androidmanifest之manifest标签详细介绍

    http://www.haogongju.net/art/2094337 文档下载

  5. 禁用visual studio实时调试器

    最近每次开机时都会出来一个visual Studio实时调试器,报“发生了未处理的异常(‘System ComponentModel.Win32Exception’,发生位置是 BSSocketSms ...

  6. JAVA手记 JAVA入门(安装+Dos下运行)

    JAVA入门特供= =,今天设置环境变量后用dos运行的时候发现出现“找不到或无法加载主类”,索性查了些资料重新看了看JAVA入门的部分. 声明:我的笔记本暂时用的是Win10系统,Windows其他 ...

  7. 理解和解决MySQL乱码问题【转】

    本文来自:http://www.cnblogs.com/cenalulu/p/4325693.html 要了解为什么会出现乱码,我们就先要了解从客户端发起请求,到MySQL存储数据,再到下次从表取回客 ...

  8. Java for LeetCode 232 Implement Queue using Stacks

    Stack<Integer> stack=new Stack<Integer>(); public void push(int x) { stack.push(x); } // ...

  9. unbutu下搭建FTP服务

    安装 apt-get install vsftpd 启动 service vsftpd start 第一次连接的时候出了点问题,报了一个 login incorrect 530的连接错误 然后百度了一 ...

  10. mysql时间字符串按年/月/天/时分组查询

    SELECT DATE_FORMAT( deteline, "%Y-%m-%d %H" ) , COUNT( * ) FROM test GROUP BY DATE_FORMAT( ...