Как можно получить имя начального адреса процесса, как это делается в Process Explorer?

Хорошо, я пишу приложение, предназначенное для перечисления потоков в заданном процессе, как это делает Process Explorer. Я хорошо понимаю, что это потенциально может сломаться между разными версиями Windows, потому что оно основано на «неофициальных» API, таких как NtQuerySystemInformation, и меня это вполне устраивает.

У меня уже есть код для получения базового адреса данного потока. Теперь я хотел бы превратить это во что-то вроде того, что делает проводник процессов, то есть «ntdll.dll!EtwDeliverDataBlock+0x453». На самом деле мне не нужно имя функции или смещение, только имя модуля.

Как я могу это сделать?


windows c++ kernel process
person Billy ONeal    schedule 11.12.2010    source источник

Ответы (3)


arrow_upward
4
arrow_downward

Если вам нужно только имя модуля, проще всего использовать EnumProcessModules чтобы получить список всех загруженных модулей, используйте GetModuleInformation на каждом из них. Одна из вещей, которую возвращает GetModuleInformation, — это базовый адрес, по которому загружается этот модуль. Технически целочисленное значение самого HMODULE совпадает с базовым адресом, но мне это кажется немного хрупким...

Тогда нужно просто найти модуль с базовым адресом чуть ниже текущего (или начального) адреса потока.

Да, и чтобы получить фактическое имя модуля, есть GetModuleBaseName.

person Dean Harding    schedule 11.12.2010
comment
Хм.. это может сработать. Есть ли способ сделать это так, чтобы мне не нужно было фактически открывать дескриптор целевого процесса? (например, нельзя сделать это с системным процессом) - person Billy ONeal; 13.12.2010
comment
@ Билли: я не уверен. Я считаю, что Process Explorer на самом деле использует драйвер режима ядра для некоторых своих функций, так что, может быть, это один из таких случаев? - person Dean Harding; 14.12.2010
comment
Работая над этим, вызывая NtQuerySystemInformation с классом SystemModuleInformation, я вернусь к вам с тем, что придумал. - person Billy ONeal; 15.12.2010

arrow_upward
1
arrow_downward

Вы можете использовать GetModuleHandleEx с флагом GET_MODULE_HANDLE_EX_FLAG_FROM_ADDRESS. чтобы получить дескриптор модуля с заданным адресом. Затем вы можете использовать GetModuleBaseName, чтобы получить название модуля.

Редактировать: вы, вероятно, также захотите использовать флаг GET_MODULE_HANDLE_EX_FLAG_UNCHANGED_REFCOUNT, чтобы не увеличивать количество ссылок на модуль.

person Paul    schedule 11.12.2010
comment
GetModuleHandleEx не работает для удаленных процессов. Из-за этого ваше предложение использовать флаг UNCHANGED_REFCOUNT также не имеет значения... - person wj32; 11.12.2010

arrow_upward
0
arrow_downward

Вы можете использовать этот код для получения дескриптора модуля (это быстрее, чем GetModuleHandleEx< /strong>), а затем вызовите GetModuleBaseName. .

HMODULE GetCallingModule( LPCVOID pCaller ) const
{
    HMODULE hModule = NULL;
    MEMORY_BASIC_INFORMATION mbi;
    if ( VirtualQuery(pCaller, &mbi, sizeof(MEMORY_BASIC_INFORMATION)) == sizeof(MEMORY_BASIC_INFORMATION) )
    {
        // the allocation base is the beginning of a PE file 
        hModule = (HMODULE) mbi.AllocationBase;
    }
    return hModule;
}
person KindDragon    schedule 07.03.2011
comment
@KindDragon: для работы между процессами требуется VirtualQueryEx, и даже в этом случае требуется соответствующий дескриптор процесса. Тем не менее, это ловкий трюк, чтобы получить HINSTANCE hInstance путем поиска MEMORY_BASIC_INFORMATION::AllocationBase статической переменной в вашем собственном процессе. Но это нужно только в том случае, если вы избегаете шаблонного кода CRT или около того... - person 0xC0000022L; 27.03.2016