Question

У меня есть 64-битная программа, которая извлекает модули процессов из других процессов, но когда я пытаюсь получить модули из 32-битных процессов, я получаю только:

Исполняемый файл приложения. - различные
ntdll.dll - всегда
wow64.dll - всегда
wow64cpu.dll - всегда
wow64win.dll - всегда

но у процесса есть много других модулей.

Могу ли я получить все 32-битные модули процессов из 64-битного приложения (C #)?

Спасибо!

Ben Voigt · Answer 1 · 10 июня 2013

Да, но вам понадобится p / invoke.

EnumProcessModulesEx

Вполне возможно, что API DbgHelp можно было бы уговорить сделать это, но мне сказали, что, несмотря на наличие структур соответствующего размера, он возвращает только 64-битные DLL уровня эмуляции WOW64 при вызове против Win32-on-Win64 процесс.

EnumerateLoadedModules64

Sam Axe · Answer 2 · 03 ноября 2011

Модули wow64 * - это слой уровня x86. Все ваши x86-модули должны отображаться как загружаемые thunking-модулями.

Извлечение всех 32-битных модулей процесса из 64-битного приложения (C #)

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Извлечение всех 32-битных модулей процесса из 64-битного приложения (C #)

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов