X64进程遍历并获取进程主线程

最新推荐文章于 2025-05-07 21:30:14 发布
最新推荐文章于 2025-05-07 21:30:14 发布
阅读量2.3k 收藏 2
点赞数 2
CC 4.0 BY-SA版权
分类专栏: c/c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36453052/article/details/53444737

x64下windbg显示的进程结构体

1: kd> dt _SYSTEM_PROCESS_INFORMATION
ole32!_SYSTEM_PROCESS_INFORMATION
   +0x000 NextEntryOffset  : Uint4B
   +0x004 NumberOfThreads  : Uint4B
   +0x008 WorkingSetPrivateSize : _LARGE_INTEGER
   +0x010 HardFaultCount   : Uint4B
   +0x014 NumberOfThreadsHighWatermark : Uint4B
   +0x018 CycleTime        : Uint8B
   +0x020 CreateTime       : _LARGE_INTEGER
   +0x028 UserTime         : _LARGE_INTEGER
   +0x030 KernelTime       : _LARGE_INTEGER
   +0x038 ImageName        : _UNICODE_STRING
   +0x048 BasePriority     : Int4B
   +0x050 UniqueProcessId  : Ptr64 Void
   +0x058 InheritedFromUniqueProcessId : Ptr64 Void
   +0x060 HandleCount      : Uint4B
   +0x064 SessionId        : Uint4B
   +0x068 UniqueProcessKey : Uint8B
   +0x070 PeakVirtualSize  : Uint8B
   +0x078 VirtualSize      : Uint8B
   +0x080 PageFaultCount   : Uint4B
   +0x088 PeakWorkingSetSize : Uint8B
   +0x090 WorkingSetSize   : Uint8B
   +0x098 QuotaPeakPagedPoolUsage : Uint8B
   +0x0a0 QuotaPagedPoolUsage : Uint8B
   +0x0a8 QuotaPeakNonPagedPoolUsage : Uint8B
   +0x0b0 QuotaNonPagedPoolUsage : Uint8B
   +0x0b8 PagefileUsage    : Uint8B
   +0x0c0 PeakPagefileUsage : Uint8B
   +0x0c8 PrivatePageCount : Uint8B
   +0x0d0 ReadOperationCount : _LARGE_INTEGER
   +0x0d8 WriteOperationCount : _LARGE_INTEGER
   +0x0e0 OtherOperationCount : _LARGE_INTEGER
   +0x0e8 ReadTransferCount : _LARGE_INTEGER
   +0x0f0 WriteTransferCount : _LARGE_INTEGER
   +0x0f8 OtherTransferCount : _LARGE_INTEGER

 kd> dt    _IO_COUNTERS
ole32!_IO_COUNTERS
   +0x000 ReadOperationCount : Uint8B
   +0x008 WriteOperationCount : Uint8B
   +0x010 OtherOperationCount : Uint8B
   +0x018 ReadTransferCount : Uint8B
   +0x020 WriteTransferCount : Uint8B
   +0x028 OtherTransferCount : Uint8B


kd> dt _VM_COUNTERS
ole32!_VM_COUNTERS
   +0x000 PeakVirtualSize  : Uint8B
   +0x008 VirtualSize      : Uint8B
   +0x010 PageFaultCount   : Uint4B
   +0x018 PeakWorkingSetSize : Uint8B
   +0x020 WorkingSetSi

最低0.47元/天 解锁文章

200万优质内容无限畅学
遍历进程+遍历模块
hambaga的博客
05-29 2906
遍历进程有多种方法,我是用的是 CreateToolhelp32Snapshot 进程快照的方式;遍历模块我用的是 Process Status Helper 的函数,VC6需要下载 psapi.h 和相应的静态库文件,我已经上传好了。 https://pan.baidu.com/s/1AY-6J1rZ0nM4QGIy4uSVkQ 提取码:ord2 我下面的代码可以用32位的VC6或者visual studio编译,可以遍历32/64位进程,但是只能遍历32位进程的模块,因为32位编译的 EnumProce
利用进程ID获取主线程ID
TJT999
02-19 9396
<br />利用进程ID获取主线程ID,仅适用于单线程。多线程应区分哪个是主线程,区分方法待验证<br />(1)好像可以用StartTime最早的,不过通过线程执行时间不一定可靠,要是在最开始就CreateThread了,线程的执行时间会相同。可以通过回溯栈上的值来判断哪个线程是主线程主线程的栈多少有些不同。最明显就是主线程栈上的PE入口点 信息,没有这个的就是子线程。<br /> (2)CsrProcessLink中取CsrProcessInfo->ClientId.UniqueThread即可,
获取进程Main线程
weixin_40664184的博客
09-10 606
windows
[转] 获取进程主线程ID
weixin_34149796的博客
05-16 340
#ifndef MAKEULONGLONG #define MAKEULONGLONG(ldw, hdw) ((ULONGLONG(hdw) << 32) | ((ldw) & 0xFFFFFFFF)) #endif #ifndef MAXULONGLONG #define MAXULONGLONG ((ULONGLONG)~((ULONGLONG)0)) ...
根据进程ID获取主线程ID
qq_36453052的博客
11-24 4344
#include #include #include #define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0) #define STATUS_SUCCESS              ((NTSTATUS) 0x00000000) #define SystemProcessesAndThreadsInformation    5
商业编程-源码-遍历WIN9X或WINNT中的所有进程.zip
06-22
获取进程句柄后,可以使用`QueryProcessInformation`函数获取进程详细信息,这些信息会填充到`PROCESS_INFORMATION`结构中,包括进程ID、线程ID、进程主线程的上下文等。 6. **Windows版本差异** 在Windows...
C#获取进程或线程相关信息的方法
09-03
在C#编程中,获取进程或线程的相关信息是系统监控和调试的重要组成部分。通过使用.NET框架提供的`System.Diagnostics`命名空间,我们可以轻松地访问这些信息。以下将详细阐述如何利用C#获取进程和线程的各类属性。 ...
Python文件遍历:多线程和多进程遍历发处理文件,大幅提升效率
[Python文件遍历:多线程和多进程遍历发处理文件,大幅提升效率](https://img-blog.csdnimg.cn/71ea967735da4956996eb8dcc7586f68.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1...
VB实现进程管理:获取进程名及PID与结束进程操作指南
1. **CreateProcess**:用于创建一个新进程和它的主线程。可以用来启动一个新的应用程序或命令。 2. **OpenProcess**:打开一个现有的本地进程对象,返回一个进程对象的句柄。 3. **GetCurrentProcess**:获取...
进程获取进程ID及其主线程ID
热门推荐
yanglx2022的博客
06-21 1万+
此处进程名是指进程可执行文件的名称(任务管理器进程列表中显示的映像名称),如notepad.exe。Windows中没有直接可用的相关函数,实现思路为使用CreateToolhelp32Snapshot函数创建进程或线程快照然后从中逐个比较。需要包含头文件#include <tlhelp32.h>
内核遍历进程中所有的线程
radicwei的专栏
08-09 3739
KPROCESS结构体中的_LIST_ENTRY 类型成员ThreadListHead将KTHREAD链接起来,通过遍历ThreadListHead获得每个线程指针. _KPROCESS 结构体的内容为: _KTHREAD 结构体的内容为:    如需判定线程是否可以插入一个APC(异步过程调用),可以检测_KTHREAD 结构体偏移量0x164的Alertable, Alerta
遍历进程运行线程数
杰克东的专栏
06-15 836
#include "stdafx.h"#include &lt;Windows.h&gt;#include &lt;TlHelp32.h&gt;#include &lt;stdio.h&gt;#include &lt;stdlib.h&gt;void TestProcessGetThreadNumber() { int i = 0; char Buff[9]; PROCESSENTRY32 pe3...
windows内核情景分析---进程线程
maomao171314的专栏
04-04 3623
本篇主要讲述进程的启动过程、线程的调度与切换、进程挂靠 进程的启动过程: BOOL CreateProcess (   LPCTSTR lpApplicationName,                 //   LPTSTR lpCommandLine,                      // command line string   LPSECURITY_ATTRIBU
【检测遍历所有进程的线程信息】
congqiong6231的博客
07-05 278
为一个杀毒软件,必须扫描所有的进程的每一个线程,才能分析出病毒的行为! 下面我们演示下,基于Visual C++2010开发基于Windows7杀毒应用程序范例, 检测所有的进程线程信息 打开VS2010...
内核级进程遍历
bcbobo21cn的专栏
01-22 560
内核级进程遍历
C++ 获取进程、线程id
最新发布
2301_78094384的博客
05-07 586
C++获取tid方法,返回类型是thread::id类,不能直接拿到id值,cout 可以输出,printf 会有警告,this_thread::get_id() : 获取的是编程层面的逻辑 id,用于区分不同线程。syscall(SYS_gettid) : 是系统调用,返回的是系统内核提供的实际线程 id。直接调用Linux系统调用(即上面的gettid,返回值是 pid_t(int)。这个id不同于gettid()的值。不同的实现可能返回不同的结果。Linux系统调用,获取进程id,也是主线程id。
windows C++ 遍历进程线程以及进程加载的模块
qq_43179054的博客
02-03 2749
本文是基于Win32 API函数实现遍历进程遍历线程和遍历进程加载模块等获取系统信息的操作。
获取其他进程中线程状态
weixin_30478619的博客
01-30 239
进程是由线程组成,启动是的第一个线程为主线程。 对于Windows来说,不存在暂停或恢复进程的概念,因为进程从来不会被安排获得cpu时间。 但是我们可以创建一个函数,用来挂起或者恢复进程中的全部线程,这样就能挂起或者恢复一个进程了。 在进程获取进程的线程。 方法: 一、获取目标窗口句柄和进程PID HWND hCalc = ::FindWindow(NULL, "第几课作...
获取系统中所有进程&线程信息
01-07 862
读书笔记--[计算机病毒解密与对抗] 目录: 遍历进程&线程程序 终止进程 获取进程信息 获取进程内模块信息 获取进程命令行参数 代码运行环境:Win7 x64 VS2012 Update3 遍历系统中所有进程 [cpp] view plain copy print? #inc...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值