易语言教程_易语言源码_易语言视频教程_易语言论坛

 找回密码
 点击注册

Vip新手入门区
新手学习指南  学员作品展示 Vip课程总纲  Vip绝密课程系列

Vip相关下载区
Vip模块下载   Vip模块绑定   Vip模块例子 魔鬼插件下载  魔鬼插件例子  教程工具下载

Vip论坛服务区
教程问题提问区   模块问题提问区 技术交流区   魔鬼插件建议   忘记密码找回

VIP会员办理QQ: 8643245   
【请先加好友,然后到好友列表双击联系客服,办理VIP会员。】
【基础篇】易语言辅助入门基础教程
VIP模块办理QQ: 7189694 办理正版魔鬼作坊VIP模块 【基础篇】OD与CE入门基础教程
办理【终身VIP会员】“秒杀价” 仅需 RMB278.00元… 【基础篇】零基础绝密汇编语言入门课程 (共26课已完成)…
办理VIP详情…猛击这里查看详情 【基础篇】VIP辅助入门基础教程-新手必学 已发布10课 ……
VIP教程免费试看章节…猛击下载 【第1款】制作“辅助挂”教程目录查看(共107+16_x64下更新课已完成)…
亲爱的VIP学员,请到此写下你学习的感受与发布作品截图… 【第2款】制作“任务挂”教程目录查看(共77+1_x64下更新课已完成)…
卍解吧!不用bp send类封包断点找CALL的各种通杀思路 【第3款】驱动过保护技术课程(共38课已完成)…
【绝密教程】VIP绝密教程系列---注意:随时会更新! 【第4款】VIP邪恶二叉树辅助课程 (共31+17_x64下更新课已完成)…
【精品第13款】3D射击游戏与页游透视 智辅课程 已完成17课… 【第5款】零基础易语言按键辅助教程 (30课已完成)…
【精品第14款】变态功能辅助是如何炼成的 已完成36课… 【第6款】从零开始学习封包辅助技术教程(20课已完成) …
【精品第15款】DNF商业变态辅助的修炼之路 已完成27课… 【第7款】大杀特杀分析来源与CALL吸血鬼课程 (56课已完成)
【精品第16款】中控台多线程多开自动化商业辅助课程 已完成66课… 【第8款】完全零基础网页辅助课程(40课已完成)
【全新精品第17款】检测原理与过游戏内存检测技术课程 已发布9课… 【第9款】自动登录与操控LUA技术课程 (共46+8_x64下更新课已完成)…
【全新精品第18款】手游全自动化任务脚本辅助课程 已发布25课…… 【第10款】网页辅助封包脱机进阶课程 已完成30课…
【全新精品第19款】D3D方框骨骼透视与自瞄辅助课程进阶篇 已发布34课…… 【第11款】VC++ Lua脚本辅助课程 已完成112课…
【全新精品第20款】 X64模拟器吃鸡游戏方框透视自瞄辅助课程 发布中... 【第12款】网游脱机封包智辅课程 已完成35课…
查看: 1848|回复: 0

NtQueryVirtualMemory 枚举进程模块

[复制链接]

16

主题

6

回帖

27

积分

编程入门

Rank: 1

魔鬼币
559
发表于 2017-5-28 21:25:16 | 显示全部楼层 |阅读模式

typedef enum _MEMORY_INFORMATION_CLASS
{
    MemoryBasicInformation,
    MemoryWorkingSetList,
    MemorySectionName
}MEMORY_INFORMATION_CLASS;

typedef struct
{
    UNICODE_STRING SectionFileName;
    WCHAR       NameBuffer[MAX_PATH * 5];
} MEMORY_SECTION_NAME, *PMEMORY_SECTION_NAME;

typedef struct _MEMORY_BASIC_INFORMATION {
    PVOID BaseAddress;
    PVOID AllocationBase;
    DWORD AllocationProtect;
    SIZE_T RegionSize;
    DWORD State;
    DWORD Protect;
    DWORD Type;
} MEMORY_BASIC_INFORMATION, *PMEMORY_BASIC_INFORMATION;


typedef
NTSTATUS
(__stdcall * PNtQueryVirtualMemory)(
                                IN HANDLE ProcessHandle,
                                IN PVOID BaseAddress,
                                IN MEMORY_INFORMATION_CLASS MemoryInformationClass,
                                OUT PVOID MemoryInformation,
                                IN ULONG MemoryInformationLength,
                                OUT PULONG ReturnLength OPTIONAL
                                );

typedef struct  
{
    KEVENT kEvent;
    HANDLE  ProcessId;
    BOOLEAN isFind;
}WORK_DATA, *PWORK_DATA;


#define MEM_IMAGE 0x1000000
NTSTATUS EnumDllByZwQueryVirtualMem(PVOID pData)
{
    PWORK_DATA p = (PWORK_DATA)pData;
    NTSTATUS status=0;
    MEMORY_BASIC_INFORMATION mem_info = {0};
    MEMORY_SECTION_NAME mem_secName = {0};

    HANDLE hProcess = NULL;
    OBJECT_ATTRIBUTES obj;
    CLIENT_ID cid;
    PEPROCESS  pEproc;

    int      retLen;
    ULONG    index=0;
    PRKAPC_STATE pApcStatus;
    UNICODE_STRING ustrNTDLL;

    RtlInitUnicodeString(&ustrNTDLL, L"\\??\\C:\\WINDOWS\\system32\\ntdll.dll");

    PNtQueryVirtualMemory NtQueryVirtualMemory = NULL;
    PSYSTEM_DESCRIPTOR_TABLE KeServiceDescriptorTable = (PSYSTEM_DESCRIPTOR_TABLE)dns_get_systemrountine_address(L"KeServiceDescriptorTable");
    ULONG uIndex = SYSCALL_INDEX(dns_get_dllfunction_address("NtQueryVirtualMemory", &ustrNTDLL));

    NtQueryVirtualMemory = (PNtQueryVirtualMemory)KeServiceDescriptorTable->ntoskrnl.ServiceTableBase[uIndex];
    cid.UniqueProcess = (HANDLE)p->ProcessId;
    cid.UniqueThread = NULL;
    InitializeObjectAttributes(&obj, NULL, 0, NULL, NULL);

    status = PsLookupProcessByProcessId( (HANDLE)p->ProcessId, &pEproc);
    if ( !NT_SUCCESS(status) )
    {
        KdPrint(("cannot get process eprocess, ERROR CODE = %08X\n", status));
        status = STATUS_UNSUCCESSFUL;
        return status;
    }

//     pApcStatus = (PRKAPC_STATE)ExAllocatePoolWithTag(NonPagedPool, sizeof(KAPC_STATE), 'pApc');
//     if (pApcStatus)
//     {
//         KeStackAttachProcess(pEproc, pApcStatus);
//         KdPrint(("已切换到目标进程上下文\n"));
//     }
    KAPC_STATE k_apc;
    KeStackAttachProcess(pEproc, &k_apc);

    //获取进程句柄
    status = ZwOpenProcess(&hProcess, PAGE_READWRITE, &obj, &cid);
    if ( !NT_SUCCESS(status) )
    {
        KdPrint(("cannot get process handle, ERROR CODE = %08X\n", status));
        status = STATUS_UNSUCCESSFUL;
        return status;
    }
    KdPrint(("hProcess= %X\n", hProcess));

    do
    {
        //查询内存 ;这里为何返回状态为访问违法呢???
        status=NtQueryVirtualMemory( hProcess,
            (PULONG)index,
            MemoryBasicInformation,
            &mem_info,
            sizeof(mem_info),
            NULL );
        if ( !NT_SUCCESS(status) )
        {
            DbgPrint("cannot query memory, ERROR CODE = %08X\n", status);
            status = STATUS_SUCCESS;
            p->isFind = FALSE;
            break;
        }

        if ( status >= 0 )
        {
            //KdPrint(("ZwQueryVirtualMemory 成功!\n"));

            //判断"内存节.类型"是否是 "映像/模块"类型
            if (mem_info.Type == MEM_IMAGE)
            {
                //判断模块所占内存范围
                if ( (DWORD)mem_info.AllocationBase == index )
                {
                    //查询内存节名
                    status=NtQueryVirtualMemory( hProcess,
                        (PULONG)index,
                        MemorySectionName,
                        &mem_secName,
                        sizeof(mem_secName),
                        NULL );
                    if ( status >= 0 )
                    {
                        UNICODE_STRING ustrMyDll;
                        RtlInitUnicodeString(&ustrMyDll, L"Locker.dll");
                        KdPrint(("Address:%08X \t ModuleName:%ws\n", index, mem_secName.SectionFileName.Buffer));
                        if ( TRUE == SpyFindSubString(&mem_secName.SectionFileName, &ustrMyDll) )
                        {
                            p->isFind = TRUE;
                            break;
                        }
                    }
                }
            }
        }

        index += 0x10000;
    } while (index < 0x80000000);
_done:
    KeUnstackDetachProcess(&k_apc);
    if (hProcess)
        ZwClose(hProcess);
    status = STATUS_SUCCESS;
    return status;
}
您需要登录后才可以回帖 登录 | 点击注册

本版积分规则

魔鬼作坊|易语言教程|易语言源码|易语言论坛|易语言视频教程| 论坛导航|免责申明|手机版||网站地图
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表魔鬼作坊立场!
任何人不得以任何方式翻录、盗版或出售本站视频,一经发现我们将追究其相关责任!
我们一直在努力成为最好的编程论坛!
Copyright© 2010-2019 All Right Reserved.
快速回复 返回顶部 返回列表