1. Module32Next 2. CreateTool 效果圖： PEB 對於應用層，直接使用 fs/gs 寄存器獲取 peb 地址，對於內核層，使用 _EPROCESS + ...

實現原理： 　　WIN32 API函數CreateToolhelp32Snapshot不僅可以獲取系統中所有進程的快照，還能獲取系統中所有線程快照、指定進程加載模塊快照、指定進程的堆快照等。所謂的快照是指，當第一次調用某個函數枚舉進程的時候，它便得到了當前系統的進程信息，而第二次試圖得到這個信息 ...

前置知識：windows提供了一組快照API，使用前需要包含TlHelp32.h頭文件。 　　1.能夠給當前系統中的所有進程拍一個快照，能夠獲取所有進程的一些基本信息； 　　2.能夠給當前系統中的線程拍一個快照； 　　3.能夠給某一個進程拍模塊快照； 　　4.能夠給某一個進程拍堆快照 ...

1、說明 枚舉進程的常見幾種方法 方法1：CreateToolhelp32Snapshot()、Process32First()和Process32Next() 方法2：EnumProcesses()、EnumProcessModules()、GetModuleBaseName() 方法 ...

在驅動中實現進程遍歷 一、進程遍歷思路： 　　1）之前在用戶層，我們通過查看TEB結構體來實現進程遍歷；但在內核層，我們使用_EPROCESS結構體來獲取進程相關信息。 　　2）_EPROCESS 有幾個比較重要的成員： 　　　　1> +0x11c VadRoot ...

...

...