大多数恶意代码为了隐藏自己的行踪都会附加到某个进程中，在这个进程内申请一块内存区域来存放它的代码，毕竟隐藏的再好，代码也要有的，不然你让 CPU 运行什么 … 今天检测的特征是向 YY语音 里插入了一段自己的代码（创建了新的线程），而这个新的线程不在原有的模块内，所以思路就是遍历 YY.exe ...

typedef struct{ HWND hWnd; DWORD dwPid;}WNDINFO; BOOL CALLBACK EnumWindowsP ...

转载来自：https://www.cnblogs.com/LCCRNblog/p/4652374.html ...

方法1 定位某个进程（比如 QQMusic.exe）所在的全路径，下面是代码： 方法2 第一种方法有些 bug，下面说下另一种方法 另一种方法： 但是注意，这种方法不能获取路径在 system32 的进程路径，其余正常： 方法3（推荐） 目前没有发现 Bug，无法读取 ...

枚举进程模块的方法有很多种，常见的有枚举PEB和内存搜索法，今天，先来看看实现起来最简单的枚举PEB实现获取进程模块列表。 首先，惯例是各种繁琐的结构体定义。需要包含 ntifs.h 和 WinDef.h, 此处不再列出，各位看官根据情况自行添加 ...

　　调用Process.GetCurrentProcess();可以得到当前进程，返回的是一个进程对象。需要引用的命名空间为：System.Diagnostics 　　如果只想看当前进程的Id，可以这样写： 　　调用Process.GetProcesses();可以得到当前电脑 ...

...

1.获取内存占用信息 获取步骤： （1）获取当前进程句柄 使用GetCurrentProcess()，返回一个当前进程的句柄 （2）定义一个保存内存信息的结构体 PROCESS_MEMORY_COUNTERS pmc; 结构体定义如下： typedef struct ...