1. Module32Next 2. CreateTool 效果图： PEB 对于应用层，直接使用 fs/gs 寄存器获取 peb 地址，对于内核层，使用 _EPROCESS + ...

实现原理： 　　WIN32 API函数CreateToolhelp32Snapshot不仅可以获取系统中所有进程的快照，还能获取系统中所有线程快照、指定进程加载模块快照、指定进程的堆快照等。所谓的快照是指，当第一次调用某个函数枚举进程的时候，它便得到了当前系统的进程信息，而第二次试图得到这个信息 ...

前置知识：windows提供了一组快照API，使用前需要包含TlHelp32.h头文件。 　　1.能够给当前系统中的所有进程拍一个快照，能够获取所有进程的一些基本信息； 　　2.能够给当前系统中的线程拍一个快照； 　　3.能够给某一个进程拍模块快照； 　　4.能够给某一个进程拍堆快照 ...

1、说明 枚举进程的常见几种方法 方法1：CreateToolhelp32Snapshot()、Process32First()和Process32Next() 方法2：EnumProcesses()、EnumProcessModules()、GetModuleBaseName() 方法 ...

在驱动中实现进程遍历 一、进程遍历思路： 　　1）之前在用户层，我们通过查看TEB结构体来实现进程遍历；但在内核层，我们使用_EPROCESS结构体来获取进程相关信息。 　　2）_EPROCESS 有几个比较重要的成员： 　　　　1> +0x11c VadRoot ...

...

...