Получить список модулей 64-битного процесса из 32-битной программы

@wmaster575 · Регистрация: 02.02.2015

Студворк — интернет-сервис помощи студентам

Всех с наступившим Новым Годом!
В своей программе мне нужно получить список модулей загруженных в любой другой процесс.
Сама программа 32-битная. Для получения списка модулей использую функцию EnumProcessModulesEx().
Для 64-битных процессов список модулей она не возвращает. Пока я думаю сделать отдельный 64-битный процесс
и через него обмениваться данными. Написать функцию-обертку, которая будет отсылать запрос в этот процесс, наподобие
"получить список модулей такого-то процесса", а затем пересылать результат в мою программу.
Ещё вариант - COM Surrogate, но ничего толком не нашёл.
Подскажите, пожалуйста, какие есть ещё варианты? Либо, может есть простой вариант, без этих заморочек.

P.S. Вариант скомпилировать программу под 64 бита не предлагать).

@jr_ · 02.01.2018, 14:41

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
#include <Windows.h>
#include <winternl.h>
 
typedef NTSTATUS(NTAPI *fnNtWow64QueryInformationProcess64)(HANDLE Handle, _PROCESSINFOCLASS InfoClass, PVOID Information, ULONG InformationLength, PULONG ReturnLength);
typedef NTSTATUS(NTAPI *fnNtWow64ReadVirtualMemory64)(HANDLE Handle, ULONGLONG BaseAddress, PVOID Buffer, ULONGLONG Length, PULONGLONG ReturnLength);
 
template <typename T>
struct _LIST_ENTRY_T {
    T Flink;
    T Blink;
};
 
template <typename T>
struct _UNICODE_STRING_T {
    using type = T;
 
    uint16_t Length;
    uint16_t MaximumLength;
    T Buffer;
};
 
template<typename T>
struct _PEB_T {
    uint8_t InheritedAddressSpace;
    uint8_t ReadImageFileExecOptions;
    uint8_t BeingDebugged;
    union {
        uint8_t BitField;
        struct {
            uint8_t ImageUsesLargePages : 1;
            uint8_t IsProtectedProcess : 1;
            uint8_t IsImageDynamicallyRelocated : 1;
            uint8_t SkipPatchingUser32Forwarders : 1;
            uint8_t IsPackagedProcess : 1;
            uint8_t IsAppContainer : 1;
            uint8_t IsProtectedProcessLight : 1;
            uint8_t SpareBits : 1;
        };
    };
    T Mutant;
    T ImageBaseAddress;
    T Ldr;
    //incomplete
};
 
template<typename T>
struct _PROCESS_BASIC_INFORMATION_T {
    NTSTATUS ExitStatus;
    uint32_t    Reserved0;
    T        PebBaseAddress;
    T        AffinityMask;
    LONG     BasePriority;
    ULONG    Reserved1;
    T        uUniqueProcessId;
    T        uInheritedFromUniqueProcessId;
};
 
template<typename T>
struct _PEB_LDR_DATA2_T {
    uint32_t Length;
    uint8_t Initialized;
    T SsHandle;
    _LIST_ENTRY_T<T> InLoadOrderModuleList;
    _LIST_ENTRY_T<T> InMemoryOrderModuleList;
    _LIST_ENTRY_T<T> InInitializationOrderModuleList;
    T EntryInProgress;
    uint8_t ShutdownInProgress;
    T ShutdownThreadId;
};
 
template<typename T>
struct _LDR_DATA_TABLE_ENTRY_BASE_T {
    _LIST_ENTRY_T<T> InLoadOrderLinks;
    _LIST_ENTRY_T<T> InMemoryOrderLinks;
    _LIST_ENTRY_T<T> InInitializationOrderLinks;
    T DllBase;
    T EntryPoint;
    uint32_t SizeOfImage;
    _UNICODE_STRING_T<T> FullDllName;
    _UNICODE_STRING_T<T> BaseDllName;
    uint32_t Flags;
    uint16_t LoadCount;
    uint16_t TlsIndex;
    _LIST_ENTRY_T<T> HashLinks;
    uint32_t TimeDateStamp;
    T EntryPointActivationContext;
    T PatchInformation;
};
 
inline void EnsureSuccess(NTSTATUS status) {
    if (!NT_SUCCESS(status)) {
        char msg[256] = { 0 };
        sprintf_s(msg, "status 0x%08X", status);
        throw std::runtime_error(msg);
    }
}
 
int main() {
    _PROCESS_BASIC_INFORMATION_T<uint64_t> pbi;
    _PEB_T<uint64_t> peb;
    _PEB_LDR_DATA2_T<uint64_t> ldr;
    _LDR_DATA_TABLE_ENTRY_BASE_T<uint64_t> imageEntry;
 
    ULONG retl;
    ULONGLONG unused;
 
    auto ntdll = GetModuleHandleA("ntdll.dll");
    auto NtWow64QueryInformationProcess64 = reinterpret_cast<fnNtWow64QueryInformationProcess64>(GetProcAddress(ntdll, "NtWow64QueryInformationProcess64"));
    auto NtWow64ReadVirtualMemory64 = reinterpret_cast<fnNtWow64ReadVirtualMemory64>(GetProcAddress(ntdll, "NtWow64ReadVirtualMemory64"));
 
    auto handle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, 8052);
    auto status = NtWow64QueryInformationProcess64(handle, ProcessBasicInformation, &pbi, sizeof(pbi), &retl);
 
    EnsureSuccess(NtWow64ReadVirtualMemory64(handle, pbi.PebBaseAddress, &peb, sizeof(peb), &unused));
    EnsureSuccess(NtWow64ReadVirtualMemory64(handle, peb.Ldr, &ldr, sizeof(ldr), &unused));
    EnsureSuccess(NtWow64ReadVirtualMemory64(handle, ldr.InLoadOrderModuleList.Flink, &imageEntry, sizeof(imageEntry), &unused));
    
    do {
        wchar_t imageName[256] = { 0 };
        EnsureSuccess(NtWow64ReadVirtualMemory64(handle, imageEntry.BaseDllName.Buffer, imageName, sizeof(imageName), &unused));
        printf_s("module %ls base 0x%016llX\n", imageName, imageEntry.DllBase);
        EnsureSuccess(NtWow64ReadVirtualMemory64(handle, imageEntry.InLoadOrderLinks.Flink, &imageEntry, sizeof(imageEntry), &unused));
    } while (imageEntry.InLoadOrderLinks.Flink != ldr.InLoadOrderModuleList.Flink);
 
    std::getchar();
 
    return 0;
}

Новые блоги и статьи Все статьи Все блоги /
Символьное дифференцирование igorrr37 13.02.2026 / * Программа принимает математическое выражение в виде строки и выдаёт его производную в виде строки и вычисляет значение производной при заданном х Логарифм записывается как: (x-2)log(x^2+2) -. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .

@wmaster575 31 / 31 / 15 Регистрация: 02.02.2015 Сообщений: 152

	Получить список модулей 64-битного процесса из 32-битной программы 02.01.2018, 13:40. Показов 2898. Ответов 1 Метки нет (Все метки) Всех с наступившим Новым Годом! В своей программе мне нужно получить список модулей загруженных в любой другой процесс. Сама программа 32-битная. Для получения списка модулей использую функцию EnumProcessModulesEx(). Для 64-битных процессов список модулей она не возвращает. Пока я думаю сделать отдельный 64-битный процесс и через него обмениваться данными. Написать функцию-обертку, которая будет отсылать запрос в этот процесс, наподобие "получить список модулей такого-то процесса", а затем пересылать результат в мою программу. Ещё вариант - COM Surrogate, но ничего толком не нашёл. Подскажите, пожалуйста, какие есть ещё варианты? Либо, может есть простой вариант, без этих заморочек. P.S. Вариант скомпилировать программу под 64 бита не предлагать). 0

Получить список модулей 64-битного процесса из 32-битной программы

Решение