hellfirehj 发表于 2018-3-8 15:53:03

易语言32位进程枚举64位进程模块信息源码


易语言32位进程枚举64位进程模块信息源码

简单说下原理:
   
WOW64的32位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等....
因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程,只是自己以为是32位程序而已. 所以Wow64进程 里面
既有 64位环境结构,又有32位环境结构, 使用apiNtWow64QueryInformationProcess64 可以获取 进程的64位PEB结构地址,
使用apiNtWow64ReadVirtualMemory64 可以读取进程的64位内存地址的数据. 通过PEB64结构进行遍历进程的64位模块!

**** Hidden Message *****

XiaohuaCN 发表于 2019-3-20 07:09:34

哇看看看看看看

cqgaji 发表于 2019-4-25 09:22:54

这个厉害,学习一下

feinuo 发表于 2019-11-7 20:03:31

找了很久,居然在www.kanliuxing.com找到了,感谢楼主的分享!

kimcerhak 发表于 2020-7-25 17:24:44

易语言32位进程枚举64位进程模块 ...›

a575651742 发表于 2020-8-22 23:51:22

枚举64位进程模块信息

tldzx 发表于 2020-10-1 15:57:54

2222222222224444444444444

tsunphoon 发表于 2021-4-14 16:38:22

{:3_46:} {:3_46:} {:3_46:} {:3_46:} {:3_46:} {:3_46:} {:3_46:} {:3_46:} {:3_46:} {:3_46:} {:3_46:} {:3_46:} {:3_46:} {:3_46:} {:3_46:} {:3_46:} 1234566666666666666666

zlw8504 发表于 2021-7-2 07:26:43

感谢楼楼分享!!!

GH25899 发表于 2021-8-21 13:49:01

544f654es564f65s4e6fe64f6e
页: [1] 2
查看完整版本: 易语言32位进程枚举64位进程模块信息源码