首页
社区
课程
招聘
[旧帖] [求助]进程CREATE_SUSPEND后无法获取到模块信息 0.00雪花
发表于: 2011-7-21 12:45 1543

[旧帖] [求助]进程CREATE_SUSPEND后无法获取到模块信息 0.00雪花

2011-7-21 12:45
1543
我在HOOK了CreateProcess后,把进程的创建标识改为了CREATE_SUSPEND,这样以后,我试着获取该进程的dll模块信息快照,但是却是为空,也就是说在进程CREATE_SUSPEND之后,用CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,processID)是获取不到dll信息的。
如果我要获取,该怎么做??不过我这里前提是我要在进程不能运行的情况下,才去获取模块信息。不知道这样可以不可以???

后来我试了下

void PrintModules( DWORD processID )
{
  HMODULE hMods[1024];
  HANDLE hProcess;
  DWORD cbNeeded;
  unsigned int i;

  // Print the process identifier.

  printf( "\nProcess ID: %u\n", processID );

  // Get a list of all the modules in this process.

  hProcess = OpenProcess( PROCESS_QUERY_INFORMATION |
              PROCESS_VM_READ,
              FALSE, processID );
  if (NULL == hProcess)
    return;

  if( EnumProcessModules(hProcess, hMods, sizeof(hMods), &cbNeeded))
  {
    for ( i = 0; i < (cbNeeded / sizeof(HMODULE)); i++ )
    {
      TCHAR szModName[MAX_PATH];

      // Get the full path to the module's file.

      if ( GetModuleFileNameEx(hProcess, hMods[i], szModName,
                   sizeof(szModName)/sizeof(TCHAR)))
      {
        // Print the module name and handle value.

        _tprintf(TEXT("\t%s (0x%08X)\n"),
             szModName, hMods[i]);
      }
    }
  }

  CloseHandle( hProcess );
}

但是EnumProcessModules(hProcess, hMods, sizeof(hMods), &cbNeeded)为空,我怀疑在CREATE_SUSPEND后,进程就根本不加载dll文件。如果我现在要实现我上面说的功能,该怎么做。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
各位大牛,帮帮忙。急用啊!!!
2011-7-21 12:47
0
雪    币: 111
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
CREATE_SUSPEND断下来之后,是还没有加载其他模块的.
可以去查阅一下Detours,可以解答你的疑惑
2011-7-21 13:09
0
雪    币: 113
活跃值: (100)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
分析进程的import table可以。
别外,你以可以先让进程跑起来,Suspend进程中的所有线程。然后,再获知你要的信息。
2011-7-21 13:53
0
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
分析进程的import table???可以说的详细点吗?或是给点资料链接也可以,谢谢
2011-7-21 14:18
0
雪    币: 113
活跃值: (100)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
6
也就是PE的文件格式了。你可以看看这个讲导入节的,函数的调用之谜 (续2)
2011-7-21 18:47
0
游客
登录 | 注册 方可回帖
返回
//