大多數惡意代碼為了隱藏自己的行蹤都會附加到某個進程中，在這個進程內申請一塊內存區域來存放它的代碼，畢竟隱藏的再好，代碼也要有的，不然你讓 CPU 運行什么 … 今天檢測的特征是向 YY語音 里插入了一段自己的代碼（創建了新的線程），而這個新的線程不在原有的模塊內，所以思路就是遍歷 YY.exe ...

typedef struct{ HWND hWnd; DWORD dwPid;}WNDINFO; BOOL CALLBACK EnumWindowsP ...

轉載來自：https://www.cnblogs.com/LCCRNblog/p/4652374.html ...

方法1 定位某個進程（比如 QQMusic.exe）所在的全路徑，下面是代碼： 方法2 第一種方法有些 bug，下面說下另一種方法 另一種方法： 但是注意，這種方法不能獲取路徑在 system32 的進程路徑，其余正常： 方法3（推薦） 目前沒有發現 Bug，無法讀取 ...

枚舉進程模塊的方法有很多種，常見的有枚舉PEB和內存搜索法，今天，先來看看實現起來最簡單的枚舉PEB實現獲取進程模塊列表。 首先，慣例是各種繁瑣的結構體定義。需要包含 ntifs.h 和 WinDef.h, 此處不再列出，各位看官根據情況自行添加 ...

　　調用Process.GetCurrentProcess();可以得到當前進程，返回的是一個進程對象。需要引用的命名空間為：System.Diagnostics 　　如果只想看當前進程的Id，可以這樣寫： 　　調用Process.GetProcesses();可以得到當前電腦 ...

...

1.獲取內存占用信息 獲取步驟： （1）獲取當前進程句柄 使用GetCurrentProcess()，返回一個當前進程的句柄 （2）定義一個保存內存信息的結構體 PROCESS_MEMORY_COUNTERS pmc; 結構體定義如下： typedef struct ...