易语言32位进程枚举64位进程模块信息源码

hellfirehj · 发表于 2018-3-8 15:53:03

易语言32位进程枚举64位进程模块信息源码

简单说下原理:

WOW64的32位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等....
因为WOW64程序不是完全的虚拟化的，是伪虚拟化，本身就是一个64位进程,只是自己以为是32位程序而已. 所以Wow64进程里面
既有 64位环境结构,又有32位环境结构, 使用api NtWow64QueryInformationProcess64 可以获取进程的64位PEB结构地址,
使用api NtWow64ReadVirtualMemory64 可以读取进程的64位内存地址的数据. 通过PEB64结构进行遍历进程的64位模块!

游客，如果您要查看本帖隐藏内容请回复

XiaohuaCN · 发表于 2019-3-20 07:09:34

哇看看看看看看

cqgaji · 发表于 2019-4-25 09:22:54

这个厉害，学习一下

feinuo · 发表于 2019-11-7 20:03:31

找了很久，居然在www.kanliuxing.com找到了，感谢楼主的分享！

kimcerhak · 发表于 2020-7-25 17:24:44

易语言32位进程枚举64位进程模块 ...›

a575651742 · 发表于 2020-8-22 23:51:22

枚举64位进程模块信息

tldzx · 发表于 2020-10-1 15:57:54

2222222222224444444444444

tsunphoon · 发表于 2021-4-14 16:38:22

{:3_46:} {:3_46:} {:3_46:} {:3_46:} {:3_46:} {:3_46:} 1234566666666666666666

zlw8504 · 发表于 2021-7-2 07:26:43

感谢楼楼分享！！！

GH25899 · 发表于 2021-8-21 13:49:01

544f654es564f65s4e6fe64f6e

		自动登录	找回密码
密码			注册账号

[易语言源码] 易语言32位进程枚举64位进程模块信息源码