Hey,

ich habe ein seltsames Problem. Mit folgendem Code versuche ich alle Module eines Prozesses zu ermitteln:
Unter XP funktioniert dies soweit, aber mein Vista X64 wirft mir folgende Meldung, wenn ich GetLastError abfrage:
Der Aufruf von EnumProcessModules schlägt zudem fehl.

Hat jemand eine Idee woran das liegen kann?

Gruß Zacherl

Hi,

kannst du denn auch die Fehlernummer posten?

Du bist dir sicher, dass du unter XP alle Informationen bekommst?
Ich frage bezüglich der Privilegien deines Prozesses. Falls der nämlich nicht die richtigen Privilegien hat (z.B. DebugPrivilege) bekommst du z.B. keine/nicht alle Informationen zu System-Prozessen etc.

Wie das mit Vista (und hier speziel der 64bit-Version) aussieht, kann ich so nicht sagen, mangels Testumgebung und Erfahrung.

Probiers mal mit:

hProcess := OpenProcess(PROCESS_QUERY_INFORMATION or GENERIC_READ, false, Process^.ProcessId); Bei mir funktionierts wunderbar (unter XP) für ALLE Informationen. Ich hatte mit dem DesiredAcces PROCESS_ALL_ACCESS auch schonmal Probleme.

Gruß

BlackDragon

Ist das ein 64-Bit Prozess?

Also unter XP funktioniert der Code wie gesagt wunderbar. Es liegt wirklich daran, dass der Zielprozess ein 64 Bit Prozess ist. Im MSDN habe ich bei einer Suche nach der Fehler Konstante die Beschreibung gefunden, nach der 64 Bit Module nicht aus einem 32 Bit Prozess aus aufgelistet werden können.

Hat diese Beschränkung irgendeinen Technischen Hintergrund oder kann man das irgendwie umgehen?

Oder anders gefragt: Gibt es eine Möglichkeit die ImageBase der 'kernel32.dll' innerhalb eines anderen Prozesses auszumachen? Ich habe eine Routine gebastelt, die inline Hooks in anderen Prozessen wiederherstellen kann, indem die ersten 7 Bytes eines Exports mit den Originaldaten überschrieben werden. Dazu benötige ich leider die Basisadresse des Moduls.

In den allermeisten Fällen hat doch Kernel32.dll seine Preferred Image Base. Die einzige Ausnahme sollte sein, wenn irgendjemand ein Programm so kompiliert, dass es selbst diese Image Base belegt. Nun stellt sich eben die Frage, ob deine Routine "sicher" gegenüber einem Programm sein muss, welches absichtlich so kompiliert wurde.
Ich vermute mal, dass diese Einschränkung einen technischen Hintergrund hat, denn sie existiert auch bei den Toolhelp-Funktionen (das wäre meine nächste Anlaufstelle gewesen) und diversen anderen Funktionen, die Informationen von anderen Prozessen erfragen.
Ansonsten einfach auf den 64-Bit-Compiler warten oder eine andere Sprache benutzen.

Zum einem könnte ich mir vorstellen, dass die Imagebaseddress an einer anderen Stelle iegt und zum anderen könnte ich mir vorstellen, dass Windows es einfach nicht zu lässt. NicoDE weiß hier bestimmt mehr.