Process Handle

как бы узнать хэндл процесса по его имени?
я думал что хэндл возвращает OpenProcess, однако когда я позже пытаюсь передать его в WriteProcessMemory то он говорит что хэндл инвалидный.

 

а c GetLastError'oм согласовался?

 

я смотрю через oplly debuger

 

Приведи код.

 

Если не ошибаюсь, у ms-rem'a в advAPIHook была функция для этого дела. И в какой-то статье, имхо, описано...

 

вот мой код для поиска хэндла. Предпологается что в target лежит строка с именем процесса, а результат будет в ps (
ps PROCESSENTRY32 <>)

Код (Text):

1.    
2. invoke  CreateToolhelp32Snapshot, TH32CS_SNAPPROCESS, 0
3.     mov var1, eax
4.     mov ps.dwSize, sizeof PROCESSENTRY32
5.     invoke  Process32First, var1, addr ps
6. next:  
7.     invoke  cmpstr, addr ps.szExeFile, addr target
8.     test    eax, eax
9.     jne found
10.     invoke  Process32Next, var1, addr ps
11.     test    eax, eax
12.     jne next
13.     jmp err_not_found
14. found:

позже, когда я размышлял почему это не пашет я обратил внимание на то что из структуры PROCESSENTRY32 можно вытянуть лишь ProcessID (th32ProcessID) и что этот айди не есть хэндл.
Ешё позже у меня все заработало, а баг оказался вообще не в том о чём я писал в топике (я млин невнимательный до ужаса).
Далее у меня идёт кусок кода для инжектинга кода (загружаюшего длл) и запуска его.

Код (Text):

1. invoke OpenProcess,PROCESS_CREATE_THREAD or PROCESS_QUERY_INFORMATION or PROCESS_VM_OPERATION or PROCESS_VM_WRITE or PROCESS_VM_READ , 1, ps.th32ProcessID
2.     mov var1, eax   ; var1 - process handle
3.     mov ebp, eee
4.     sub ebp, initproc
5.     invoke  VirtualAllocEx,eax, 0, ebp,MEM_COMMIT, PAGE_EXECUTE_READWRITE
6.     xchg    eax, var2   ;var2 - memory address
7.     mov ecx, initproc
8.     invoke  WriteProcessMemory,var1,var2, ecx, ebp,0
9.     xor ebx, ebx
10.     invoke  CreateRemoteThread,var1, ebx,ebx, var2, ebx, ebx, ebx

тоесть всё пашет нормально и хэндл от OpenProcess валидный ивсе норльно.
Но раз уж тема создана, хотел бы спросить, возможно ли как то оптимизировать такой способ поиска хэндла по имени (ну да, его надо дополнить еще открытием процесса, чтоб получать хэндл а не айди) или может есть другие способы.

P/s
может обьяснит мне кто чем отличаются хэндл от айди, и зачем нужно каждому процессу два этих уникальных номера.

 

айди универсален - он одинаков вне зависимости от процесса, из которого ты его определяешь. А вот хэндлы будут разными, чтобы разные процессы могли открыть один процесс с разными правами.
PS То же в свое время долго мучался с этим тонким отличием.

 

Хе. "Тонкое" отличие =)
PID - уникален. Хендл нет, кроме того хендлу соответствуют права доступа.

 

спасибо за обьяснение насчёт PID & HANDLE
получается в данном случае по другому никак сыграть не получилось бы, только Toolhelp32. Или все же есть еще варианты?

 

так в оли в окошке Registers сразу пишется LastErr даже ненада ничего вызывать сразу его видно

 

я про то и говорил

 

spencer
Можно, но это один из самых простых способов.