【超详细】遍历Windows进程模块
直奔主題
摘要
上一篇文章詳細介紹了如何 遍歷Windows進程。這篇文章主要是對獲取的系統(tǒng)進程作進一步處理,依次遍歷每一個進程中使用的模塊!主要是用到了Module32First以及Module32Next兩個函數(shù),思路就是在之前的進程外層循環(huán)中新增一個模塊內(nèi)層循環(huán)
具體思路
(1).使用CreateToolhelp32Snapshot以及傳參TH32CS_SNAPPROCESS創(chuàng)建系統(tǒng)進程快照
(2).使用Process32First獲取第一個進程的信息存入到PROCESSENTRY32結(jié)構(gòu)體中
(3).再用CreateToolhelp32Snapshot以及傳參TH32CS_SNAPMODULE創(chuàng)建系統(tǒng)進程的模塊快照
(4).使用Module32First獲取第一個模塊信息存到MODULEENTRY32結(jié)構(gòu)體中
(5).然后使用Module32Next循環(huán)當前進程的所有模塊
(6).再用Process32Next遍歷所有進程
(7).最后用CloseHandle關(guān)閉所有句柄
完整代碼
#include <stdio.h> #include <stdlib.h> #include <windows.h> #include <Tlhelp32.h>BOOL SetProcessPrivilege(char *lpName, BOOL opt);int main(int argc, char *argv[]) {PROCESSENTRY32 pe32;MODULEENTRY32 me32;HANDLE hProcess, hSnapshot_proc, hSnapshot_mod;pe32.dwSize = sizeof(pe32);SetProcessPrivilege("SeDebugPrivilege", 1);hSnapshot_proc = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);if (Process32First(hSnapshot_proc, &pe32)){do{hProcess = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, FALSE, pe32.th32ProcessID);if (pe32.th32ProcessID && pe32.th32ProcessID != 4 && pe32.th32ProcessID != 8){printf("PID: %d >>> ProcName: %s\n", pe32.th32ProcessID, pe32.szExeFile);me32.dwSize = sizeof(me32);hSnapshot_mod = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, pe32.th32ProcessID);Module32First(hSnapshot_mod, &me32);do{printf("ModName: %s -> Path: %s\n", me32.szModule, me32.szExePath);} while (Module32Next(hSnapshot_mod, &me32));printf("------\n\n");CloseHandle(hSnapshot_mod);}CloseHandle(hProcess);} while (Process32Next(hSnapshot_proc, &pe32));}SetProcessPrivilege("SeDebugPrivilege", 0);CloseHandle(hSnapshot_proc);system("pause");return 0; }BOOL SetProcessPrivilege(char *lpName, BOOL opt) {HANDLE tokenhandle;TOKEN_PRIVILEGES NewState;if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &tokenhandle)){LookupPrivilegeValue(NULL, lpName, &NewState.Privileges[0].Luid);NewState.PrivilegeCount = 1;NewState.Privileges[0].Attributes = opt != 0 ? 2 : 0;AdjustTokenPrivileges(tokenhandle, FALSE, &NewState, sizeof(NewState), NULL, NULL);CloseHandle(tokenhandle);return 1;}else{return 0;} }編譯命令gcc mod1.c -o mod1,注意程序的OpenProcess并不是必要的,只是為了加深進程提權(quán)的理解
運行截圖
由于內(nèi)容太多控制臺顯示不全,設置緩沖區(qū)的高度即可完全顯示
END
總結(jié)
以上是生活随笔為你收集整理的【超详细】遍历Windows进程模块的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 2017-2018-20172309 《
- 下一篇: 我们如何衡量一个微服务实施的成功