我在HOOK了CreateProcess后,把进程的创建标识改为了CREATE_SUSPEND,这样以后,我试着获取该进程的dll模块信息快照,但是却是为空,也就是说在进程CREATE_SUSPEND之后,用CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,processID)是获取不到dll信息的。
如果我要获取,该怎么做??不过我这里前提是我要在进程不能运行的情况下,才去获取模块信息。不知道这样可以不可以???
后来我试了下
void PrintModules( DWORD processID )
{
HMODULE hMods[1024];
HANDLE hProcess;
DWORD cbNeeded;
unsigned int i;
// Print the process identifier.
printf( "\nProcess ID: %u\n", processID );
// Get a list of all the modules in this process.
hProcess = OpenProcess( PROCESS_QUERY_INFORMATION |
PROCESS_VM_READ,
FALSE, processID );
if (NULL == hProcess)
return;
if( EnumProcessModules(hProcess, hMods, sizeof(hMods), &cbNeeded))
{
for ( i = 0; i < (cbNeeded / sizeof(HMODULE)); i++ )
{
TCHAR szModName[MAX_PATH];
// Get the full path to the module's file.
if ( GetModuleFileNameEx(hProcess, hMods[i], szModName,
sizeof(szModName)/sizeof(TCHAR)))
{
// Print the module name and handle value.
_tprintf(TEXT("\t%s (0x%08X)\n"),
szModName, hMods[i]);
}
}
}
CloseHandle( hProcess );
}
但是EnumProcessModules(hProcess, hMods, sizeof(hMods), &cbNeeded)为空,我怀疑在CREATE_SUSPEND后,进程就根本不加载dll文件。如果我现在要实现我上面说的功能,该怎么做。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课