[原创]32bit进程Ring3枚举64bit进程模块-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (16)
heihu 雪币： 1136 活跃值： (683) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 187 粉丝 0 关注私信	heihu 2 楼 mark，可能会用到，谢谢楼主 2015-4-3 15:45 0
飞心男孩雪币： 300 活跃值： (179) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 137 粉丝 1 关注私信	飞心男孩 2 3 楼 tasklist /M /FI "pid eq 1372" 2015-4-3 16:56 0
Diabloking 雪币： 350 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 117 粉丝 0 关注私信	Diabloking 4 楼可以试下NtWow64QueryVirtualMemory64 2015-4-3 17:01 0
封心锁爱雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 170 粉丝 1 关注私信	封心锁爱 5 楼学习下, 没用过WMI呢... 2015-4-3 19:02 0
tforever 雪币： 290 活跃值： (63) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 113 粉丝 2 关注私信	tforever 6 楼学习了谢谢分享。。。 2015-4-3 20:46 0
dats 雪币： 2044 活跃值： (237) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 75 粉丝 0 关注私信	dats 7 楼产品要求，undocument的不能使用，哎 2015-4-3 23:36 0
dats 雪币： 2044 活跃值： (237) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 75 粉丝 0 关注私信	dats 8 楼产品定位，undocument的尽量不使用 2015-4-3 23:39 0
小西瓜皮雪币： 20 活跃值： (1187) 能力值： ( LV2，RANK：15 ) 在线值：发帖 3 回帖 38 粉丝 1 关注私信	小西瓜皮 9 楼精华前留名 2015-4-4 02:08 0
dats 雪币： 2044 活跃值： (237) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 75 粉丝 0 关注私信	dats 10 楼 maybe tasklist 也大致也用用到这个，只是简单看了下tasklist.exe,有兴趣的同学可以深入一下 .text:0040698A ; int __stdcall InitializeCom(struct IWbemLocator **) .text:0040698A ?InitializeCom@@YGHPAPAUIWbemLocator@@@Z proc near .text:0040698A ; CODE XREF: CTaskList::Initialize(void)+D3p 2015-4-8 11:27 0
张振江雪币： 122 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 226 粉丝 0 关注私信	张振江 11 楼谢谢分享，将来也许用得上 2015-4-10 08:04 0
安全裤雪币： 474 活跃值： (831) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 30 粉丝 3 关注私信	安全裤 12 楼 mark 一下,谢谢分享 2015-4-10 09:32 0
toofunny 雪币： 114 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 14 回帖 239 粉丝 0 关注私信	toofunny 1 13 楼 http://download.csdn.net/download/zhlongfj/4629513 2015-4-11 16:34 0
dats 雪币： 2044 活跃值： (237) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 75 粉丝 0 关注私信	dats 14 楼 WMI 是个很强大的服务，可以做很多事情，你的代码是单纯enum process name or ID。如果只是这个需求的话，就没必要WMI了，因为快照API就work了, 因为毕竟调用WMI还是有时间消耗的。 2015-4-11 21:29 0
安全裤雪币： 474 活跃值： (831) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 30 粉丝 3 关注私信	安全裤 15 楼 mark 一下,感谢分享 2015-4-13 12:44 0
wodexinren 雪币： 74 活跃值： (703) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 223 粉丝 0 关注私信	wodexinren 16 楼 mark，感谢分享 2015-4-13 14:27 0
bestbird 雪币： 30050 活跃值： (2382) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 262 粉丝 20 关注私信	bestbird 17 楼吃饱了撑着。。。所有32位进程，在64位系统下，都加载了4个64位的DLL，直接调用就是，这不能算什么unknow documen。 2015-4-14 22:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (16)
heihu 雪币： 1136 活跃值： (683) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 187 粉丝 0 关注私信	heihu 2 楼 mark，可能会用到，谢谢楼主 2015-4-3 15:45 0
飞心男孩雪币： 300 活跃值： (179) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 137 粉丝 1 关注私信	飞心男孩 2 3 楼 tasklist /M /FI "pid eq 1372" 2015-4-3 16:56 0
Diabloking 雪币： 350 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 117 粉丝 0 关注私信	Diabloking 4 楼可以试下NtWow64QueryVirtualMemory64 2015-4-3 17:01 0
封心锁爱雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 170 粉丝 1 关注私信	封心锁爱 5 楼学习下, 没用过WMI呢... 2015-4-3 19:02 0
tforever 雪币： 290 活跃值： (63) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 113 粉丝 2 关注私信	tforever 6 楼学习了谢谢分享。。。 2015-4-3 20:46 0
dats 雪币： 2044 活跃值： (237) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 75 粉丝 0 关注私信	dats 7 楼产品要求，undocument的不能使用，哎 2015-4-3 23:36 0
dats 雪币： 2044 活跃值： (237) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 75 粉丝 0 关注私信	dats 8 楼产品定位，undocument的尽量不使用 2015-4-3 23:39 0
小西瓜皮雪币： 20 活跃值： (1187) 能力值： ( LV2，RANK：15 ) 在线值：发帖 3 回帖 38 粉丝 1 关注私信	小西瓜皮 9 楼精华前留名 2015-4-4 02:08 0
dats 雪币： 2044 活跃值： (237) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 75 粉丝 0 关注私信	dats 10 楼 maybe tasklist 也大致也用用到这个，只是简单看了下tasklist.exe,有兴趣的同学可以深入一下 .text:0040698A ; int __stdcall InitializeCom(struct IWbemLocator **) .text:0040698A ?InitializeCom@@YGHPAPAUIWbemLocator@@@Z proc near .text:0040698A ; CODE XREF: CTaskList::Initialize(void)+D3p 2015-4-8 11:27 0
张振江雪币： 122 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 226 粉丝 0 关注私信	张振江 11 楼谢谢分享，将来也许用得上 2015-4-10 08:04 0
安全裤雪币： 474 活跃值： (831) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 30 粉丝 3 关注私信	安全裤 12 楼 mark 一下,谢谢分享 2015-4-10 09:32 0
toofunny 雪币： 114 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 14 回帖 239 粉丝 0 关注私信	toofunny 1 13 楼 http://download.csdn.net/download/zhlongfj/4629513 2015-4-11 16:34 0
dats 雪币： 2044 活跃值： (237) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 75 粉丝 0 关注私信	dats 14 楼 WMI 是个很强大的服务，可以做很多事情，你的代码是单纯enum process name or ID。如果只是这个需求的话，就没必要WMI了，因为快照API就work了, 因为毕竟调用WMI还是有时间消耗的。 2015-4-11 21:29 0
安全裤雪币： 474 活跃值： (831) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 30 粉丝 3 关注私信	安全裤 15 楼 mark 一下,感谢分享 2015-4-13 12:44 0
wodexinren 雪币： 74 活跃值： (703) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 223 粉丝 0 关注私信	wodexinren 16 楼 mark，感谢分享 2015-4-13 14:27 0
bestbird 雪币： 30050 活跃值： (2382) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 262 粉丝 20 关注私信	bestbird 17 楼吃饱了撑着。。。所有32位进程，在64位系统下，都加载了4个64位的DLL，直接调用就是，这不能算什么unknow documen。 2015-4-14 22:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复