社区
安全技术/病毒
帖子详情
怎么找到进程对应的可执行文件
mavis0129
2010-06-01 03:15:54
我是研究僵尸网络的,windows编程菜鸟。我想对僵尸进程的PE文件进行分析。这个僵尸程序在任务管理器叫做WINUPDATE.EXE。通过getmodulefilenameex函数,得出WINUPDATE.EXE可执行模块在system32文件夹下。可是在这个文件夹下怎么搜索都搜索不到。在整个系统中搜索,只能搜到一个名字里有WINUPDATE.EXE的.pf文件。请问,怎么找到进程对应的可执行文件。
...全文
462
7
打赏
收藏
怎么找到进程对应的可执行文件
我是研究僵尸网络的,windows编程菜鸟。我想对僵尸进程的PE文件进行分析。这个僵尸程序在任务管理器叫做WINUPDATE.EXE。通过getmodulefilenameex函数,得出WINUPDATE.EXE可执行模块在system32文件夹下。可是在这个文件夹下怎么搜索都搜索不到。在整个系统中搜索,只能搜到一个名字里有WINUPDATE.EXE的.pf文件。请问,怎么找到进程对应的可执行文件。
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
7 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
mavis0129
2010-06-02
打赏
举报
回复
分数挺少,感谢各位
就是just4
2010-06-02
打赏
举报
回复
[Quote=引用 2 楼 mavis0129 的回复:]
感谢楼上的回复,你的方法我试过了,他还是显示在system32文件夹下,可是那个文件夹下确实没有这个文件。这个进程如果你把它关掉,那在命令行下,不管什么路径下输入WINUPDATE.EXE,它都会重新出现在任务管理器中,呃,不懂这是为什么
[/Quote]
进程中就只有对应的命令行或映像路径,直接第三方进程查看工具也只能显示这些
[code=BatchFile]wmic process get processid,name,CommandLine,ExecutablePath[/code]
对于一般程序路径,直接进程中就可以查看
对于scvhost加载的服务对应的dll路径,直接HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XXX查询
对于dll注入加载的dll路径,直接线程和模块查看工具查看,第三方工具可直接用process explorer
过了,直接全盘查找,或[code=BatchFile]dir c:\test.exe /s /a[/code]查找
"那在命令行下,不管什么路径下输入WINUPDATE.EXE,它都会重新出现在任务管理器中"
对于命令行可加载的程序,直接输入:[code=BatchFile]where winupdate.exe[/code]即可查看到所有可执行路径
古井荡月
2010-06-02
打赏
举报
回复
可以用ARK工具,比如Wsyscheck,狙剑,冰刃……。现在有更新的有XueTr,天琊。
那在命令行下,不管什么路径下输入WINUPDATE.EXE,它都会重新出现在任务管理器中。
要么是这个文件在system32文件下。
要么是这个文件在注册中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths新建了一个项。360就在这个位置新建了一个名为
360safe.exe
的项。装了360的用户,在运行输入360safe,就可以打开360.
weishenmobuxing
2010-06-02
打赏
举报
回复
文件夹选项=>查看=>高级设置中去掉“隐藏受保护的操作系统文件”和“隐藏已知文件类型的扩展名”选项,选中“显示隐藏的文件、文件夹和驱动器”,确定后再搜索查看。
或者干脆用:attrib -H -S -R c:\windows\system32\*.* /S /D /L 彻底做了它,再查。
爱上穿马甲的妞
2010-06-01
打赏
举报
回复
是不是文件给设置成隐藏了,你显示隐藏,再看一下。
mavis0129
2010-06-01
打赏
举报
回复
感谢楼上的回复,你的方法我试过了,他还是显示在system32文件夹下,可是那个文件夹下确实没有这个文件。这个进程如果你把它关掉,那在命令行下,不管什么路径下输入WINUPDATE.EXE,它都会重新出现在任务管理器中,呃,不懂这是为什么
ljc007
2010-06-01
打赏
举报
回复
开始
运行
cmd
wmic process where name="WINUPDATE.EXE" get executablepath /value
Windows
进程
常用DLL模块注入技术
进程
调试级注入,涉及调试器相关功能调用知识点 dll模块重定位内存注入,模拟操作系统加载PE文件方式,直接将dll文件内存数据写入目标
进程
并执行。 导入表注入,涉及PE相关知识点,增加区段,移动导入表,增加导入...
Linux查看
进程
号
对应
的执行文件是哪一个
Linux查看
进程
号
对应
的执行文件是哪一个
Linux 下查询
进程
对应
的可执行程序路径
背景 Linux下可以使用ps查看系统
进程
。有时候我们想查看
进程
对应
的
可执行文件
路径是什么?
对应
的目录在哪里。此文记录一下定位方法。 步骤 1、使用ps -aux |grep xxxx 定位到自己感兴趣的
进程
。取
进程
ID. 2、进入到/proc/{
进程
ID} 3、执行 ls -ail 重点查看:cwd 和 exe
对应
的链接地址。 ...
linux 查看运行
进程
的
可执行文件
所在目录
1 获取PID 方法1:执行top命令,然后
找到
对应
的
进程
方法2:执行ps -ef | grep 程序名 2 进入proc目录下
对应
的
进程
路径 cd /proc/3 [sudo] ls -l//查看系统或者其他用户开启的
进程
需要sudo权限 exe连接的即
可执行文件
的目录。 ...
Linux
可执行文件
与
进程
的虚拟地址空间
作者简介:本文由西邮陈莉君教授研一学生贺东升编辑,梁金荣、张孝家校对建议结合之前的《linux的内存寻址方式》看。Linux
可执行文件
与
进程
的虚拟地址空间一个
可执行文件
被执行的同时也伴随...
安全技术/病毒
9,506
社区成员
28,984
社区内容
发帖
与我相关
我的任务
安全技术/病毒
Windows专区 安全技术/病毒
复制链接
扫一扫
分享
社区描述
Windows专区 安全技术/病毒
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章