CommandLines der Prozesse unter Windows 64 Bit ermitteln?

**Zacherl**

Ursache des Problems ist folgende:

Zitat von http://winprogger.com/getmodulefilenameex-enumprocessmodulesex-failures-in-wow64/:

PEB of the process is obviously found in PebBaseAddress. However the PEB of a 64-bit process lies at a 64-bit address and since PROCESS_BASIC_INFORMATION for 32-bit applications only has space for 32-bit pointer, how can the 64Bit PEB address be returned to a 32-bit application ? If the 64-bit PEB had no high bits set, then technically the 64-bit PEB address could fit into 32-bits without losing any of the address bits. wow64 solves this problem simply by setting PebBaseAddress to NULL in all cases.

Now, wow64 translation is needed in this case since the 64-bit structure members would have to be downsized to fit in 32-bit PROCESS_BASIC_INFORMATION structure. [32-bit PROCESS_BASIC_INFORMATION is 24 bytes where as 64-bit PROCESS_BASIC_INFORMATION is 48 bytes]

Since NtQueryInformationProcess returns success despite this loss of PEB data in the wow64 translation layer, GetModuleFileNameEx in 32-bit process eventually ends up attempting to read invalid memory in the opened process, when it calls ReadProcessMemory (or more specifically NtReadVirtualMemory) with offsets from NULL PEB returned. This causes error 299 (ERROR_PARTIAL_COPY).

Ich weiß nicht genau, ab welcher Version von Windows diese Funktionen implementiert wurden, aber schau dir mal NtWow64QueryInformationProcess64 und NtWow64ReadVirtualMemory64 aus der ntdll.dll an.

**Delphi-Laie**

Ich staune immer wieder, was manche Genies im Internet aufzustöbern imstande sind.

Vielen Dank, Zacherl!

**Zacherl**

Zitat von Delphi-Laie:

Ich staune immer wieder, was manche Genies im Internet aufzustöbern imstande sind.

Hatte mich vor einiger Zeit mal mit dem Thema beschäftigt, deshalb wusste ich wonach ich suchen musste (ERROR_PARTIAL_COPY)

Hier gibts übrigens Prototypen zu den genannten Funktionen und auch etwas fertigen Code zum Auslesen des PEBs zwecks Modul Enumeration.

**Delphi-Laie**

Hallo Zacherl, nur allein das Nachvollziehen das von Dir verlinkten Beispielprogrammes ist ein nachmittagsfüllendes Programm, das leider bisher im Versuch steckenblieb. Es scheitert an den Units, die für das Programm benötigt werden. Bis zur NcxTypes.pas konnte ich alle Units besorgen (JEDI bzw. letztere, die NcxTypes von Luckies Internetseite). Die beiden Units NcxNtDef.pas und NcxNtTeb.pas konnte ich nicht auftreiben.

Darf ich Dich deshalb fragen, ob Du das Beispielprogramm selbst einmal zum Laufen brachtest, und, falls ja, woher Du die beiden letztgenannten Units bezogst?

Danke und Gruß

Delphi-Laie

**Zacherl**

Zitat von Delphi-Laie:

Darf ich Dich deshalb fragen, ob Du das Beispielprogramm selbst einmal zum Laufen brachtest, und, falls ja, woher Du die beiden letztgenannten Units bezogst?

Leider nein

Welche Deklarationen fehlen denn ohne die beiden Units? Vielleicht kann man die Klassen aus anderen Quellen rekonstruieren.

**Delphi-Laie**

Zitat von Zacherl:

Welche Deklarationen fehlen denn ohne die beiden Units? Vielleicht kann man die Klassen aus anderen Quellen rekonstruieren.

Danke für Deine Hilfsbereitschaft!

Ohne die beiden letztgenannten Units geht es in der Zeile

function GetPeb32(ph : THandle; var PEB : TPeb32):Boolean;

los, dort findet der Compilter den Typ TPeb32 nicht, dito weiter unten mit TPeb64.

Weiter geht es mit

markieren

Delphi-Quellcode:

			Function PEB32ProcName(ph : THandle; Base:boolean):String;

var PEB         : TPeb32;

  LdrData       : TPebLdrData32;

  LdrModule     : TLdrDataTableEntry32;

dort findet er den 2. und 3. Typ der var-Listung nicht.

Die paar anderen Kleckermeldungen gehen anscheinend darauf zurück, daß diese Typen unbekannt sind.

Nochmals besten Dank und viele Grüße

Delphi-Laie

**jaenicke**

Du findest Nicos Units hier:

http://www.bendlins.de/nico/delphi/NcxWOW64.zip

// EDIT:
Ich habe die Datei mal angehängt, da das laut Lizenz erlaubt ist.

CommandLines der Prozesse unter Windows 64 Bit ermitteln?

AW: CommandLines der Prozesse unter Windows 64 Bit ermitteln?

AW: CommandLines der Prozesse unter Windows 64 Bit ermitteln?

AW: CommandLines der Prozesse unter Windows 64 Bit ermitteln?

AW: CommandLines der Prozesse unter Windows 64 Bit ermitteln?

AW: CommandLines der Prozesse unter Windows 64 Bit ermitteln?

AW: CommandLines der Prozesse unter Windows 64 Bit ermitteln?

AW: CommandLines der Prozesse unter Windows 64 Bit ermitteln?

Forumregeln

Delphi-Laie Registriert seit: 25. Nov 2005 1.474 Beiträge Delphi 10.1 Berlin Starter	#2 AW: CommandLines der Prozesse unter Windows 64 Bit ermitteln? 9. Sep 2014, 12:14 Ich staune immer wieder, was manche Genies im Internet aufzustöbern imstande sind. Vielen Dank, Zacherl!
	Zitat