流程如下。
1. 使用`FindWindow`查找窗口类名得到窗口句柄`hWnd`。
2. 使用`GetWindowThreadProcessId`获取窗口句柄对应的进程标识`dwProcessId`。
3. 使用`OpenProcess`打开进程标识得到进程句柄`hProcess`。
4. 使用`NtQueryInformationProcess`查询进程句柄对应的进程基本信息`PROCESS_BASIC_INFORMATION`,其中包含进程信息块`PebBaseAddress`。需要`PROCESS_QUERY_INFORMATION`权限。
5. 使用`ReadProcessMemory`读取进程信息块中的镜像基址。需要`PROCESS_VM_READ`权限。
[C] 纯文本查看 复制代码 #include <stdio.h>
#include <stdlib.h>
#include <windows.h>
#include <winternl.h>
#pragma comment(lib, R"(C:\Program Files (x86)\Windows Kits\10\Lib\10.0.22621.0\um\x86\ntdll.lib)")
int main()
{
HWND hWnd = FindWindowA("ClassName", NULL);
if (!hWnd)
abort();
DWORD dwProcessId;
if (!GetWindowThreadProcessId(hWnd, &dwProcessId))
abort();
HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, FALSE, dwProcessId);
if (!hProcess)
abort();
PROCESS_BASIC_INFORMATION pbi;
if (!NT_SUCCESS(NtQueryInformationProcess(hProcess, ProcessBasicInformation, &pbi, sizeof(pbi), NULL)))
abort();
HMODULE hModuleFromPeb;
if (!ReadProcessMemory(hProcess, &pbi.PebBaseAddress->Reserved3[1], &hModuleFromPeb, sizeof(hModuleFromPeb), NULL))
abort();
printf("hWnd = %p, hModuleFromPeb = %p\n", hWnd, hModuleFromPeb);
return 0;
}
| 
IP卡
发表于 2024-12-2 22:31:02
提升卡
置顶卡
变色卡
千斤顶
显身卡
发表于 2024-12-3 18:43:13
