碼上歡樂
相關內容    簡體    繁體

枚舉PEB獲取進程模塊列表

本文轉載自   查看原文   2016-08-11 16:18   1964    Windows

枚舉進程模塊的方法有很多種,常見的有枚舉PEB和內存搜索法,今天,先來看看實現起來最簡單的枚舉PEB實現獲取進程模塊列表。


首先,慣例是各種繁瑣的結構體定義。需要包含 ntifs.h 和 WinDef.h, 此處不再列出,各位看官根據情況自行添加。


 

[cpp] view plain copy
print ? 在CODE上查看代碼片 派生到我的代碼片
  1. typedef PPEB (__stdcall *PFNPsGetProcessPeb)(PEPROCESS pEProcess);  
  2.   
  3. typedef ULONG   PPS_POST_PROCESS_INIT_ROUTINE;    
  4.   
  5. typedef struct _PEB_LDR_DATA {  
  6.     BYTE       Reserved1[8];  
  7.     PVOID      Reserved2[3];  
  8.     LIST_ENTRY InMemoryOrderModuleList;  
  9. } PEB_LDR_DATA, *PPEB_LDR_DATA;  
  10.   
  11. typedef struct _RTL_USER_PROCESS_PARAMETERS {  
  12.     BYTE           Reserved1[16];  
  13.     PVOID          Reserved2[10];  
  14.     UNICODE_STRING ImagePathName;  
  15.     UNICODE_STRING CommandLine;  
  16. } RTL_USER_PROCESS_PARAMETERS, *PRTL_USER_PROCESS_PARAMETERS;  
  17.   
  18. typedef struct _PEB {  
  19.     BYTE                          Reserved1[2];  
  20.     BYTE                          BeingDebugged;  
  21.     BYTE                          Reserved2[1];  
  22.     PVOID                         Reserved3[2];  
  23.     PPEB_LDR_DATA                 Ldr;  
  24.     PRTL_USER_PROCESS_PARAMETERS  ProcessParameters;  
  25.     BYTE                          Reserved4[104];  
  26.     PVOID                         Reserved5[52];  
  27.     PPS_POST_PROCESS_INIT_ROUTINE PostProcessInitRoutine;  
  28.     BYTE                          Reserved6[128];  
  29.     PVOID                         Reserved7[1];  
  30.     ULONG                         SessionId;  
  31. } PEB, *PPEB;  
  32.   
  33. typedef struct _LDR_DATA_TABLE_ENTRY    
  34. {    
  35.     LIST_ENTRY InLoadOrderLinks;    
  36.     LIST_ENTRY InMemoryOrderLinks;    
  37.     LIST_ENTRY InInitializationOrderLinks;    
  38.     PVOID DllBase;    
  39.     PVOID EntryPoint;    
  40.     DWORD SizeOfImage;    
  41.     UNICODE_STRING FullDllName;    
  42.     UNICODE_STRING BaseDllName;    
  43.     DWORD Flags;    
  44.     WORD LoadCount;    
  45.     WORD TlsIndex;    
  46.     LIST_ENTRY HashLinks;    
  47.     PVOID SectionPointer;    
  48.     DWORD CheckSum;    
  49.     DWORD TimeDateStamp;    
  50.     PVOID LoadedImports;    
  51.     PVOID EntryPointActivationContext;    
  52.     PVOID PatchInformation;    
  53. }LDR_DATA_TABLE_ENTRY,*PLDR_DATA_TABLE_ENTRY;    
typedef PPEB (__stdcall *PFNPsGetProcessPeb)(PEPROCESS pEProcess);

typedef ULONG   PPS_POST_PROCESS_INIT_ROUTINE;  

typedef struct _PEB_LDR_DATA {
    BYTE       Reserved1[8];
    PVOID      Reserved2[3];
    LIST_ENTRY InMemoryOrderModuleList;
} PEB_LDR_DATA, *PPEB_LDR_DATA;

typedef struct _RTL_USER_PROCESS_PARAMETERS {
    BYTE           Reserved1[16];
    PVOID          Reserved2[10];
    UNICODE_STRING ImagePathName;
    UNICODE_STRING CommandLine;
} RTL_USER_PROCESS_PARAMETERS, *PRTL_USER_PROCESS_PARAMETERS;

typedef struct _PEB {
    BYTE                          Reserved1[2];
    BYTE                          BeingDebugged;
    BYTE                          Reserved2[1];
    PVOID                         Reserved3[2];
    PPEB_LDR_DATA                 Ldr;
    PRTL_USER_PROCESS_PARAMETERS  ProcessParameters;
    BYTE                          Reserved4[104];
    PVOID                         Reserved5[52];
    PPS_POST_PROCESS_INIT_ROUTINE PostProcessInitRoutine;
    BYTE                          Reserved6[128];
    PVOID                         Reserved7[1];
    ULONG                         SessionId;
} PEB, *PPEB;

typedef struct _LDR_DATA_TABLE_ENTRY  
{  
    LIST_ENTRY InLoadOrderLinks;  
    LIST_ENTRY InMemoryOrderLinks;  
    LIST_ENTRY InInitializationOrderLinks;  
    PVOID DllBase;  
    PVOID EntryPoint;  
    DWORD SizeOfImage;  
    UNICODE_STRING FullDllName;  
    UNICODE_STRING BaseDllName;  
    DWORD Flags;  
    WORD LoadCount;  
    WORD TlsIndex;  
    LIST_ENTRY HashLinks;  
    PVOID SectionPointer;  
    DWORD CheckSum;  
    DWORD TimeDateStamp;  
    PVOID LoadedImports;  
    PVOID EntryPointActivationContext;  
    PVOID PatchInformation;  
}LDR_DATA_TABLE_ENTRY,*PLDR_DATA_TABLE_ENTRY;


 

下面進入真正的實現代碼:


 

[cpp] view plain copy
print ? 在CODE上查看代碼片 派生到我的代碼片
  1. NTSTATUS GetProcessModules(ULONG ulProcessId)  
  2. {  
  3.     NTSTATUS nStatus;  
  4.     //PEB結構指針  
  5.     PPEB pPEB = NULL;  
  6.   
  7.     //EPROCESS結構指針  
  8.     PEPROCESS  pEProcess = NULL;  
  9.   
  10.     //查找的函數名稱  
  11.     UNICODE_STRING uniFunctionName;  
  12.       
  13.     //進程參數信息  
  14.     PRTL_USER_PROCESS_PARAMETERS pParam  = NULL;  
  15.   
  16.     //LDR數據結構  
  17.     PPEB_LDR_DATA pPebLdrData = NULL;    
  18.   
  19.     //LDR鏈表入口  
  20.     PLDR_DATA_TABLE_ENTRY pLdrDataEntry = NULL;    
  21.   
  22.     //鏈表頭節點、尾節點  
  23.     PLIST_ENTRY pListEntryStart = NULL;  
  24.     PLIST_ENTRY pListEntryEnd = NULL;   
  25.   
  26.     //函數指針  
  27.     PFNPsGetProcessPeb  PsGetProcessPeb = NULL;  
  28.   
  29.     //保存APC狀態  
  30.     KAPC_STATE KAPC ={0};  
  31.   
  32.     //是否已經附加到進程  
  33.     BOOLEAN bIsAttached = FALSE;  
  34.   
  35.     //獲取進程的EPROCESS結構指針  
  36.     nStatus = PsLookupProcessByProcessId((HANDLE)ulProcessId, &pEProcess);  
  37.     if (!NT_SUCCESS(nStatus))  
  38.     {  
  39.         return STATUS_UNSUCCESSFUL;  
  40.     }  
  41.   
  42.     //查找函數地址  
  43.     RtlInitUnicodeString(&uniFunctionName, L"PsGetProcessPeb");  
  44.     PsGetProcessPeb = (PFNPsGetProcessPeb)MmGetSystemRoutineAddress(&uniFunctionName);  
  45.     if (PsGetProcessPeb == NULL)  
  46.     {  
  47.         KdPrint(("Get PsGetProcessPeb Failed~!\n"));  
  48.         return STATUS_UNSUCCESSFUL;  
  49.     }  
  50.   
  51.     //獲取PEB指針  
  52.     pPEB = PsGetProcessPeb(pEProcess);  
  53.     if (pPEB == NULL)  
  54.     {  
  55.         KdPrint(("Get pPEB Failed~!\n"));  
  56.         return STATUS_UNSUCCESSFUL;  
  57.     }  
  58.   
  59.     //附加到進程  
  60.     KeStackAttachProcess(pEProcess, &KAPC);  
  61.   
  62.     bIsAttached = TRUE;  
  63.   
  64.     //指向LDR  
  65.     pPebLdrData = pPEB->Ldr;  
  66.   
  67.     //頭節點、尾節點  
  68.     pListEntryStart = pListEntryEnd = pPebLdrData->InMemoryOrderModuleList.Flink;  
  69.   
  70.   
  71.     //開始遍歷_LDR_DATA_TABLE_ENTRY  
  72.     do    
  73.     {    
  74.         //通過_LIST_ENTRY的Flink成員獲取_LDR_DATA_TABLE_ENTRY結構    
  75.         pLdrDataEntry = (PLDR_DATA_TABLE_ENTRY)CONTAINING_RECORD(pListEntryStart,LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks);    
  76.   
  77.         //輸出DLL全路徑  
  78.         KdPrint(("%wZ \n", &pLdrDataEntry->FullDllName));  
  79.   
  80.         pListEntryStart = pListEntryStart->Flink;    
  81.   
  82.     }while(pListEntryStart != pListEntryEnd);    
  83.   
  84.   
  85.     //Detach進程  
  86.     if (bIsAttached != FALSE)  
  87.     {  
  88.         KeUnstackDetachProcess(&KAPC);  
  89.     }  
  90.   
  91.     //減少引用計數  
  92.     if (pEProcess != NULL)  
  93.     {  
  94.         ObDereferenceObject(pEProcess);  
  95.         pEProcess = NULL;  
  96.     }  
  97.   
  98.     return STATUS_SUCCESS;  
  99. }  
NTSTATUS GetProcessModules(ULONG ulProcessId)
{
    NTSTATUS nStatus;
    //PEB結構指針
    PPEB pPEB = NULL;

    //EPROCESS結構指針
    PEPROCESS  pEProcess = NULL;

    //查找的函數名稱
    UNICODE_STRING uniFunctionName;
    
    //進程參數信息
    PRTL_USER_PROCESS_PARAMETERS pParam  = NULL;

    //LDR數據結構
    PPEB_LDR_DATA pPebLdrData = NULL;  

    //LDR鏈表入口
    PLDR_DATA_TABLE_ENTRY pLdrDataEntry = NULL;  

    //鏈表頭節點、尾節點
    PLIST_ENTRY pListEntryStart = NULL;
    PLIST_ENTRY pListEntryEnd = NULL; 

    //函數指針
    PFNPsGetProcessPeb  PsGetProcessPeb = NULL;

    //保存APC狀態
    KAPC_STATE KAPC ={0};

    //是否已經附加到進程
    BOOLEAN bIsAttached = FALSE;

    //獲取進程的EPROCESS結構指針
    nStatus = PsLookupProcessByProcessId((HANDLE)ulProcessId, &pEProcess);
    if (!NT_SUCCESS(nStatus))
    {
        return STATUS_UNSUCCESSFUL;
    }

    //查找函數地址
    RtlInitUnicodeString(&uniFunctionName, L"PsGetProcessPeb");
    PsGetProcessPeb = (PFNPsGetProcessPeb)MmGetSystemRoutineAddress(&uniFunctionName);
    if (PsGetProcessPeb == NULL)
    {
        KdPrint(("Get PsGetProcessPeb Failed~!\n"));
        return STATUS_UNSUCCESSFUL;
    }

    //獲取PEB指針
    pPEB = PsGetProcessPeb(pEProcess);
    if (pPEB == NULL)
    {
        KdPrint(("Get pPEB Failed~!\n"));
        return STATUS_UNSUCCESSFUL;
    }

    //附加到進程
    KeStackAttachProcess(pEProcess, &KAPC);

    bIsAttached = TRUE;

    //指向LDR
    pPebLdrData = pPEB->Ldr;

    //頭節點、尾節點
    pListEntryStart = pListEntryEnd = pPebLdrData->InMemoryOrderModuleList.Flink;


    //開始遍歷_LDR_DATA_TABLE_ENTRY
    do  
    {  
        //通過_LIST_ENTRY的Flink成員獲取_LDR_DATA_TABLE_ENTRY結構  
        pLdrDataEntry = (PLDR_DATA_TABLE_ENTRY)CONTAINING_RECORD(pListEntryStart,LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks);  

        //輸出DLL全路徑
        KdPrint(("%wZ \n", &pLdrDataEntry->FullDllName));

        pListEntryStart = pListEntryStart->Flink;  

    }while(pListEntryStart != pListEntryEnd);  


    //Detach進程
    if (bIsAttached != FALSE)
    {
        KeUnstackDetachProcess(&KAPC);
    }

    //減少引用計數
    if (pEProcess != NULL)
    {
        ObDereferenceObject(pEProcess);
        pEProcess = NULL;
    }

    return STATUS_SUCCESS;
}


 

下面是運行截圖:



 

本帖為原創,轉帖請說明出處,謝謝合作。

 

本帖地址:http://blog.csdn.net/sonsie007/article/details/22622177



免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 通過PEB的Ldr枚舉進程內所有已加載的模塊 DDMS無法獲取進程列表 Qt 掃描進程列表以及獲取進程信息 【Demo 0081】獲取進程中線程列表 pe工具01-獲取進程和模塊 C++ 獲取進程某模塊入口地址 獲取進程的名稱 ring0獲取指定進程的PEB psutil 獲取進程信息 獲取進程占用的內存
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM