原文:http://blog.csdn.net/qq78442761/article/details/54646010 当我们写某些具有破坏性的程序时就需要对进程进行遍历和提取ID 对于上述功能,我们先介绍几个API 1.CreateToolhelp32Snapshout function 得到进程 ...
分类:
编程语言 时间:
2017-08-09 12:49:43
阅读次数:
164
进程遍历 ● 枚举 ○ Windows API ○ 数据库 -> 注册表来访问 -> RegQuery函数来获取 ○ ToolHelp库 ○ 兼容性比较好 ○ WIndows 95 就存在 ○ Process Startus库 EnumProcess 函数 PSAPI.DLL ● Tool Help ...
分类:
系统相关 时间:
2017-06-11 10:04:29
阅读次数:
240
读书笔记--[计算机病毒解密与对抗] 目录: 遍历进程&线程程序 终止进程 获取进程信息 获取进程内模块信息 获取进程命令行参数 代码运行环境:Win7 x64 VS2012 Update3 遍历系统中所有进程 [cpp] view plain copy print? #include <stdio ...
分类:
编程语言 时间:
2017-01-07 15:25:46
阅读次数:
425
2016-12-09 近期想查看下系统分配了的页的页表项的标志位,但是发现资料较少,所以还是记录下,希望可以对某些朋友有所帮助! 系统:win7 32位虚拟机 平台:KVM虚拟化平台 win7 32位默认是开启了PAE分页模式的,PAE分页模式本质上和普通的32位分页并无区别,只是页表结构和虚拟地址 ...
分类:
数据库 时间:
2016-12-09 15:54:51
阅读次数:
325
1.EPROCESS结构体 EPROCESS块来表示。EPROCESS块中不仅包含了进程相关了很多信息,还有很多指向其他相关结构数据结构的指针。例如每一个进程里面都至少有一个ETHREAD块表示的线程。进程的名字,和在用户空间的PEB(进程环境)块等等。EPROCESS中除了PEB成员块在是用户空间 ...
分类:
系统相关 时间:
2016-08-11 17:47:24
阅读次数:
302
1.fs寄存器指向TEB结构 2.在TEB+0x30地方指向PEB结构 3.在PEB+0x0C地方指向PEB_LDR_DATA结构 4.在PEB_LDR_DATA+0x1C地方就是一些动态连接库地址了,如第一个指向ntdll.dll,第二个就是kernel32.dll的地址。 其结构示意图如图 利用 ...
分类:
系统相关 时间:
2016-08-08 12:50:15
阅读次数:
1189
Virut分析 0x00、综合描述 virut样本的执行过程大体可以分为六步:第一步,解密数据代码,并调用解密后的代码;第二步,通过互斥体判断系统环境,解密病毒代码并执行;第三步,创建内存映射文件,执行内存映射文件代码;第四步,遍历进程列表除前4个进程外其他进程全注入代码,挂钩七个函数;第五步,向注 ...
分类:
其他好文 时间:
2016-06-24 22:07:09
阅读次数:
266
1.select第一个参数为最大FD(int)+1,因为虽然select参数里有三个set,但分配到的fd值是不会重复的,当select检查fd可用时(可读或可写或异常),会遍历进程fd表,这时遍历范围为[0,n),所以需要加1 2.IO复用,类似于时分复用, 摘要:
分类:
其他好文 时间:
2016-03-20 19:48:23
阅读次数:
224
前置知识:windows提供了一组快照API,使用前需要包含TlHelp32.h头文件。 1.能够给当前系统中的所有进程拍一个快照,能够获取所有进程的一些基本信息; 2.能够给当前系统中的线程拍一个快照; 3.能够给某一个进程拍模块快照; 4.能够给某一个进程拍堆快照。一:遍历进程 int...
分类:
编程语言 时间:
2016-01-12 13:49:56
阅读次数:
319
写一个Windows上的守护进程(8)获取进程路径要想守护某个进程,就先得知道这个进程在不在。我们假设要守护的进程只会存在一个实例(这也是绝大部分情形)。我是遍历系统上的所有进程,然后判断他们的路径和要守护的进程是否一致,以此来确定进程是否存在。遍历进程大家都知道用CreateToolhelp32S...
