Получить список модулей 64-битного процесса из 32-битной программы

@wmaster575 · Регистрация: 02.02.2015

Студворк — интернет-сервис помощи студентам

Всех с наступившим Новым Годом!
В своей программе мне нужно получить список модулей загруженных в любой другой процесс.
Сама программа 32-битная. Для получения списка модулей использую функцию EnumProcessModulesEx().
Для 64-битных процессов список модулей она не возвращает. Пока я думаю сделать отдельный 64-битный процесс
и через него обмениваться данными. Написать функцию-обертку, которая будет отсылать запрос в этот процесс, наподобие
"получить список модулей такого-то процесса", а затем пересылать результат в мою программу.
Ещё вариант - COM Surrogate, но ничего толком не нашёл.
Подскажите, пожалуйста, какие есть ещё варианты? Либо, может есть простой вариант, без этих заморочек.

P.S. Вариант скомпилировать программу под 64 бита не предлагать).

@jr_ · 02.01.2018, 14:41

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
#include <Windows.h>
#include <winternl.h>
 
typedef NTSTATUS(NTAPI *fnNtWow64QueryInformationProcess64)(HANDLE Handle, _PROCESSINFOCLASS InfoClass, PVOID Information, ULONG InformationLength, PULONG ReturnLength);
typedef NTSTATUS(NTAPI *fnNtWow64ReadVirtualMemory64)(HANDLE Handle, ULONGLONG BaseAddress, PVOID Buffer, ULONGLONG Length, PULONGLONG ReturnLength);
 
template <typename T>
struct _LIST_ENTRY_T {
    T Flink;
    T Blink;
};
 
template <typename T>
struct _UNICODE_STRING_T {
    using type = T;
 
    uint16_t Length;
    uint16_t MaximumLength;
    T Buffer;
};
 
template<typename T>
struct _PEB_T {
    uint8_t InheritedAddressSpace;
    uint8_t ReadImageFileExecOptions;
    uint8_t BeingDebugged;
    union {
        uint8_t BitField;
        struct {
            uint8_t ImageUsesLargePages : 1;
            uint8_t IsProtectedProcess : 1;
            uint8_t IsImageDynamicallyRelocated : 1;
            uint8_t SkipPatchingUser32Forwarders : 1;
            uint8_t IsPackagedProcess : 1;
            uint8_t IsAppContainer : 1;
            uint8_t IsProtectedProcessLight : 1;
            uint8_t SpareBits : 1;
        };
    };
    T Mutant;
    T ImageBaseAddress;
    T Ldr;
    //incomplete
};
 
template<typename T>
struct _PROCESS_BASIC_INFORMATION_T {
    NTSTATUS ExitStatus;
    uint32_t    Reserved0;
    T        PebBaseAddress;
    T        AffinityMask;
    LONG     BasePriority;
    ULONG    Reserved1;
    T        uUniqueProcessId;
    T        uInheritedFromUniqueProcessId;
};
 
template<typename T>
struct _PEB_LDR_DATA2_T {
    uint32_t Length;
    uint8_t Initialized;
    T SsHandle;
    _LIST_ENTRY_T<T> InLoadOrderModuleList;
    _LIST_ENTRY_T<T> InMemoryOrderModuleList;
    _LIST_ENTRY_T<T> InInitializationOrderModuleList;
    T EntryInProgress;
    uint8_t ShutdownInProgress;
    T ShutdownThreadId;
};
 
template<typename T>
struct _LDR_DATA_TABLE_ENTRY_BASE_T {
    _LIST_ENTRY_T<T> InLoadOrderLinks;
    _LIST_ENTRY_T<T> InMemoryOrderLinks;
    _LIST_ENTRY_T<T> InInitializationOrderLinks;
    T DllBase;
    T EntryPoint;
    uint32_t SizeOfImage;
    _UNICODE_STRING_T<T> FullDllName;
    _UNICODE_STRING_T<T> BaseDllName;
    uint32_t Flags;
    uint16_t LoadCount;
    uint16_t TlsIndex;
    _LIST_ENTRY_T<T> HashLinks;
    uint32_t TimeDateStamp;
    T EntryPointActivationContext;
    T PatchInformation;
};
 
inline void EnsureSuccess(NTSTATUS status) {
    if (!NT_SUCCESS(status)) {
        char msg[256] = { 0 };
        sprintf_s(msg, "status 0x%08X", status);
        throw std::runtime_error(msg);
    }
}
 
int main() {
    _PROCESS_BASIC_INFORMATION_T<uint64_t> pbi;
    _PEB_T<uint64_t> peb;
    _PEB_LDR_DATA2_T<uint64_t> ldr;
    _LDR_DATA_TABLE_ENTRY_BASE_T<uint64_t> imageEntry;
 
    ULONG retl;
    ULONGLONG unused;
 
    auto ntdll = GetModuleHandleA("ntdll.dll");
    auto NtWow64QueryInformationProcess64 = reinterpret_cast<fnNtWow64QueryInformationProcess64>(GetProcAddress(ntdll, "NtWow64QueryInformationProcess64"));
    auto NtWow64ReadVirtualMemory64 = reinterpret_cast<fnNtWow64ReadVirtualMemory64>(GetProcAddress(ntdll, "NtWow64ReadVirtualMemory64"));
 
    auto handle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, 8052);
    auto status = NtWow64QueryInformationProcess64(handle, ProcessBasicInformation, &pbi, sizeof(pbi), &retl);
 
    EnsureSuccess(NtWow64ReadVirtualMemory64(handle, pbi.PebBaseAddress, &peb, sizeof(peb), &unused));
    EnsureSuccess(NtWow64ReadVirtualMemory64(handle, peb.Ldr, &ldr, sizeof(ldr), &unused));
    EnsureSuccess(NtWow64ReadVirtualMemory64(handle, ldr.InLoadOrderModuleList.Flink, &imageEntry, sizeof(imageEntry), &unused));
    
    do {
        wchar_t imageName[256] = { 0 };
        EnsureSuccess(NtWow64ReadVirtualMemory64(handle, imageEntry.BaseDllName.Buffer, imageName, sizeof(imageName), &unused));
        printf_s("module %ls base 0x%016llX\n", imageName, imageEntry.DllBase);
        EnsureSuccess(NtWow64ReadVirtualMemory64(handle, imageEntry.InLoadOrderLinks.Flink, &imageEntry, sizeof(imageEntry), &unused));
    } while (imageEntry.InLoadOrderLinks.Flink != ldr.InLoadOrderModuleList.Flink);
 
    std::getchar();
 
    return 0;
}

Новые блоги и статьи Все статьи Все блоги /
Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .	Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Рецензия / Мнение/ Перевод Нашел на реддите интересную статью под названием The Thinkpad X220 Tablet is the best budget school laptop period . Ниже её машинный перевод. Thinkpad X220 Tablet —. . .	PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.
Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .

@wmaster575 31 / 31 / 15 Регистрация: 02.02.2015 Сообщений: 152

	Получить список модулей 64-битного процесса из 32-битной программы 02.01.2018, 13:40. Показов 2861. Ответов 1 Метки нет (Все метки) Всех с наступившим Новым Годом! В своей программе мне нужно получить список модулей загруженных в любой другой процесс. Сама программа 32-битная. Для получения списка модулей использую функцию EnumProcessModulesEx(). Для 64-битных процессов список модулей она не возвращает. Пока я думаю сделать отдельный 64-битный процесс и через него обмениваться данными. Написать функцию-обертку, которая будет отсылать запрос в этот процесс, наподобие "получить список модулей такого-то процесса", а затем пересылать результат в мою программу. Ещё вариант - COM Surrogate, но ничего толком не нашёл. Подскажите, пожалуйста, какие есть ещё варианты? Либо, может есть простой вариант, без этих заморочек. P.S. Вариант скомпилировать программу под 64 бита не предлагать). 0

Получить список модулей 64-битного процесса из 32-битной программы

Решение