关于部分网吧取进程id问题

963485005

关于部分网吧取进程id问题 我发现有的网吧有磁盘保护 某些目录写不进文件 而且取不到进程id  能解决取进程id的问题吗


补充内容 (2026-1-18 18:20):
就是比如11.exe  取进程id(“11.exe”)取不到 是0

萧楚楠

进程提权

z573277679

开始运行被调试程序
* “[Success] 快照创建成功，开始遍历...”
* “找到目标！”
* “进程名: 脚本编辑器.exe”
* “PID: 196”
被调试易程序运行完毕

  

窗口程序集名	保 留	保 留	备 注
窗口程序集_启动窗口

子程序名	返回值类型	公开	备 注
_按钮1_被单击

变量名	类 型	静态	数组	备 注
局_目标进程名	文本型
局_快照句柄	整数型
局_进程信息	PROCESSENTRY32
局_是否继续	逻辑型
局_当前进程名	文本型
局_发现目标	逻辑型

局_目标进程名 ＝ “脚本编辑器.exe”  ' <--- 你的目标进程
局_快照句柄 ＝ CreateToolhelp32Snapshot (2, 0)
如果 (局_快照句柄 ＝ -1 或 局_快照句柄 ＝ 0)
调试输出 (“[Error] 创建快照失败，可能权限不足或被拦截。”)
调试输出 (“[Success] 快照创建成功，开始遍历...”)
局_进程信息.dwSize ＝ 296  ' 结构体大小
局_是否继续 ＝ Process32First (局_快照句柄, 局_进程信息)
判断循环首 (局_是否继续)
局_当前进程名 ＝ 到文本 (局_进程信息.szExeFile)
如果真 (到小写 (局_当前进程名) ＝ 到小写 (局_目标进程名))
调试输出 (“找到目标！”)
调试输出 (“进程名: ” ＋ 局_当前进程名)
调试输出 (“PID: ” ＋ 到文本 (局_进程信息.th32ProcessID))
局_发现目标 ＝ 真
跳出循环 ()

局_是否继续 ＝ Process32Next (局_快照句柄, 局_进程信息)
判断循环尾 ()
CloseHandle (局_快照句柄)

如果真 (局_发现目标 ＝ 假)
调试输出 (“[Failed] 遍历结束，未找到目标进程。”)

数据类型名	公开	备 注
PROCESSENTRY32		进程快照结构体
成员名	类 型	传址	数组	备 注
dwSize	整数型
cntUsage	整数型
th32ProcessID	整数型
th32DefaultHeapID	整数型
th32ModuleID	整数型
cntThreads	整数型
th32ParentProcessID	整数型
pcPriClassBase	整数型
dwFlags	整数型
szExeFile	字节型		260	进程名称

DLL命令名	返回值类型	公开	备 注
CreateToolhelp32Snapshot	整数型		创建进程快照
DLL库文件名:
kernel32
在DLL库中对应命令名:
CreateToolhelp32Snapshot
参数名	类 型	传址	数组	备 注
dwFlags	整数型
th32ProcessID	整数型

DLL命令名	返回值类型	公开	备 注
Process32First	逻辑型		取第一个进程
DLL库文件名:
kernel32
在DLL库中对应命令名:
Process32First
参数名	类 型	传址	数组	备 注
hSnapshot	整数型
lppe	PROCESSENTRY32

DLL命令名	返回值类型	公开	备 注
Process32Next	逻辑型		取下一个进程
DLL库文件名:
kernel32
在DLL库中对应命令名:
Process32Next
参数名	类 型	传址	数组	备 注
hSnapshot	整数型
lppe	PROCESSENTRY32

DLL命令名	返回值类型	公开	备 注
CloseHandle	逻辑型		关闭句柄
DLL库文件名:
kernel32
在DLL库中对应命令名:
CloseHandle
参数名	类 型	传址	数组	备 注
hObject	整数型

i支持库列表	支持库注释
spec	特殊功能支持库

.版本 2<br /> .支持库 spec<br /> <br /> .程序集 窗口程序集_启动窗口<br /> <br /> .子程序 _按钮1_被单击<br /> .局部变量 局_目标进程名, 文本型<br /> .局部变量 局_快照句柄, 整数型<br /> .局部变量 局_进程信息, PROCESSENTRY32<br /> .局部变量 局_是否继续, 逻辑型<br /> .局部变量 局_当前进程名, 文本型<br /> .局部变量 局_发现目标, 逻辑型<br /> <br /> 局_目标进程名 ＝ “脚本编辑器.exe”  ' <--- 你的目标进程<br /> 局_快照句柄 ＝ CreateToolhelp32Snapshot (2, 0)<br /> <br /> .如果 (局_快照句柄 ＝ -1 或 局_快照句柄 ＝ 0)<br />     调试输出 (“[Error] 创建快照失败，可能权限不足或被拦截。”)<br /> .否则<br />     调试输出 (“[Success] 快照创建成功，开始遍历...”)<br /> <br />     局_进程信息.dwSize ＝ 296  ' 结构体大小<br />     局_是否继续 ＝ Process32First (局_快照句柄, 局_进程信息)<br /> <br />     .判断循环首 (局_是否继续)<br />         局_当前进程名 ＝ 到文本 (局_进程信息.szExeFile)<br /> <br />         .如果真 (到小写 (局_当前进程名) ＝ 到小写 (局_目标进程名))<br />             调试输出 (“找到目标！”)<br />             调试输出 (“进程名: ” ＋ 局_当前进程名)<br />             调试输出 (“PID: ” ＋ 到文本 (局_进程信息.th32ProcessID))<br />             局_发现目标 ＝ 真<br />             跳出循环 ()<br />         .如果真结束<br /> <br />         局_是否继续 ＝ Process32Next (局_快照句柄, 局_进程信息)<br />     .判断循环尾 ()<br /> <br />     CloseHandle (局_快照句柄)<br /> .如果结束<br /> <br /> .如果真 (局_发现目标 ＝ 假)<br />     调试输出 (“[Failed] 遍历结束，未找到目标进程。”)<br /> .如果真结束<br /> .版本 2<br /> <br /> .数据类型 PROCESSENTRY32, 公开, 进程快照结构体<br />     .成员 dwSize, 整数型<br />     .成员 cntUsage, 整数型<br />     .成员 th32ProcessID, 整数型<br />     .成员 th32DefaultHeapID, 整数型<br />     .成员 th32ModuleID, 整数型<br />     .成员 cntThreads, 整数型<br />     .成员 th32ParentProcessID, 整数型<br />     .成员 pcPriClassBase, 整数型<br />     .成员 dwFlags, 整数型<br />     .成员 szExeFile, 字节型, , "260", 进程名称<br /> .版本 2<br /> <br /> .DLL命令 CreateToolhelp32Snapshot, 整数型, "kernel32", "CreateToolhelp32Snapshot", 公开, 创建进程快照<br />     .参数 dwFlags, 整数型<br />     .参数 th32ProcessID, 整数型<br /> <br /> .DLL命令 Process32First, 逻辑型, "kernel32", "Process32First", 公开, 取第一个进程<br />     .参数 hSnapshot, 整数型<br />     .参数 lppe, PROCESSENTRY32, 传址<br /> <br /> .DLL命令 Process32Next, 逻辑型, "kernel32", "Process32Next", 公开, 取下一个进程<br />     .参数 hSnapshot, 整数型<br />     .参数 lppe, PROCESSENTRY32, 传址<br /> <br /> .DLL命令 CloseHandle, 逻辑型, "kernel32", "CloseHandle", 公开, 关闭句柄<br />     .参数 hObject, 整数型

懒人定制软件

网吧有玄武保护,驱动的.获取不到正常

z573277679

原理：CMD 命令行侧信道攻击，绕过绝大多数 API Hook
你可以试试这个。如果网吧使用了驱动在内核层把进程链表断开了，在应用层无解，必须写驱动进入内核。

  

窗口程序集名	保 留	保 留	备 注
窗口程序集_启动窗口

子程序名	返回值类型	公开	备 注
_按钮_CMD暴力取PID_被单击

变量名	类 型	静态	数组	备 注
局_进程名	文本型
局_临时目录	文本型
局_文件路径	文本型
局_命令	文本型
局_文件内容	字节集
局_文本内容	文本型
局_PID文本	文本型
局_逗号位置	整数型

局_进程名 ＝ “脚本编辑器.exe”  ' <--- 目标进程名
局_临时目录 ＝ 子程序_API取环境变量 (“TEMP”)
如果真 (局_临时目录 ＝ “”)
局_临时目录 ＝ “C:\”

如果真 (取文本右边 (局_临时目录, 1) ≠ “\”)
局_临时目录 ＝ 局_临时目录 ＋ “\”

局_文件路径 ＝ 局_临时目录 ＋ “pid_dump.txt”
局_命令 ＝ “cmd.exe /c tasklist /FI ” ＋ #引号 ＋ “IMAGENAME eq ” ＋ 局_进程名 ＋ #引号 ＋ “ /FO CSV /NH > ” ＋ #引号 ＋ 局_文件路径 ＋ #引号
调试输出 (“[Step 1] 正在尝试 CMD 侧信道攻击...”)
调试输出 (“执行命令: ” ＋ 局_命令)
WinExec (局_命令, 0)
延迟 (1000)  ' 等待 1 秒，给 CMD 写文件的时间
局_文件内容 ＝ 读入文件 (局_文件路径)
局_文本内容 ＝ 到文本 (局_文件内容)
DeleteFileA (局_文件路径)
如果 (取字节集长度 (局_文件内容) ＝ 0)
调试输出 (“[Failed] 读取文件失败，可能 CMD 被拦截或权限不足无法写入临时目录。”)
返回 ()
调试输出 (“[CMD Output] 内容如下：” ＋ #换行符 ＋ 局_文本内容)

如果 (寻找文本 (局_文本内容, 局_进程名, , 假) ≠ -1)
局_逗号位置 ＝ 寻找文本 (局_文本内容, “,”, , 假)
如果真 (局_逗号位置 ≠ -1)
局_文本内容 ＝ 取文本中间 (局_文本内容, 局_逗号位置 ＋ 1, 100)
局_PID文本 ＝ 子程序_取中间文本 (局_文本内容, #引号, #引号 )
调试输出 (“★ [BINGO] 成功暴力获取 PID：” ＋ 局_PID文本)

调试输出 (“[Result] CMD 返回结果中未包含目标进程，确认进程未运行或被驱动隐藏。”)

子程序名	返回值类型	公开	备 注
子程序_API取环境变量	文本型		手动实现取环境变量
参数名	类 型	参考	可空	数组	备 注
参_变量名	文本型

变量名	类 型	静态	数组	备 注
局_缓冲区	文本型
局_长度	整数型

局_缓冲区 ＝ 取空白文本 (255)
局_长度 ＝ GetEnvironmentVariableA (参_变量名, 局_缓冲区, 255)
返回 (取文本左边 (局_缓冲区, 局_长度))

子程序名	返回值类型	公开	备 注
子程序_取中间文本	文本型		简单文本处理
参数名	类 型	参考	可空	数组	备 注
全文本	文本型
左边文本	文本型
右边文本	文本型

变量名	类 型	静态	数组	备 注
局_左位置	整数型
局_右位置	整数型

局_左位置 ＝ 寻找文本 (全文本, 左边文本, , 假)
如果真 (局_左位置 ＝ -1)
返回 (“”)
局_左位置 ＝ 局_左位置 ＋ 取文本长度 (左边文本)
局_右位置 ＝ 寻找文本 (全文本, 右边文本, 局_左位置, 假)
如果真 (局_右位置 ＝ -1)
返回 (“”)
返回 (取文本中间 (全文本, 局_左位置, 局_右位置 － 局_左位置))

i支持库列表	支持库注释
spec	特殊功能支持库

.版本 2<br /> .支持库 spec<br /> <br /> .程序集 窗口程序集_启动窗口<br /> <br /> .子程序 _按钮_CMD暴力取PID_被单击<br /> .局部变量 局_进程名, 文本型<br /> .局部变量 局_临时目录, 文本型<br /> .局部变量 局_文件路径, 文本型<br /> .局部变量 局_命令, 文本型<br /> .局部变量 局_文件内容, 字节集<br /> .局部变量 局_文本内容, 文本型<br /> .局部变量 局_PID文本, 文本型<br /> .局部变量 局_逗号位置, 整数型<br /> <br /> 局_进程名 ＝ “脚本编辑器.exe”  ' <--- 目标进程名<br /> <br /> 局_临时目录 ＝ 子程序_API取环境变量 (“TEMP”)<br /> .如果真 (局_临时目录 ＝ “”)<br />     局_临时目录 ＝ “C:\”<br /> .如果真结束<br /> <br /> .如果真 (取文本右边 (局_临时目录, 1) ≠ “\”)<br />     局_临时目录 ＝ 局_临时目录 ＋ “\”<br /> .如果真结束<br /> <br /> 局_文件路径 ＝ 局_临时目录 ＋ “pid_dump.txt”<br /> <br /> 局_命令 ＝ “cmd.exe /c tasklist /FI ” ＋ #引号 ＋ “IMAGENAME eq ” ＋ 局_进程名 ＋ #引号 ＋ “ /FO CSV /NH > ” ＋ #引号 ＋ 局_文件路径 ＋ #引号<br /> <br /> 调试输出 (“[Step 1] 正在尝试 CMD 侧信道攻击...”)<br /> 调试输出 (“执行命令: ” ＋ 局_命令)<br /> <br /> WinExec (局_命令, 0)<br /> 延迟 (1000)  ' 等待 1 秒，给 CMD 写文件的时间<br /> <br /> 局_文件内容 ＝ 读入文件 (局_文件路径)<br /> 局_文本内容 ＝ 到文本 (局_文件内容)<br /> <br /> DeleteFileA (局_文件路径)<br /> <br /> .如果 (取字节集长度 (局_文件内容) ＝ 0)<br />     调试输出 (“[Failed] 读取文件失败，可能 CMD 被拦截或权限不足无法写入临时目录。”)<br />     返回 ()<br /> .否则<br />     调试输出 (“[CMD Output] 内容如下：” ＋ #换行符 ＋ 局_文本内容)<br /> .如果结束<br /> <br /> .如果 (寻找文本 (局_文本内容, 局_进程名, , 假) ≠ -1)<br /> <br />     局_逗号位置 ＝ 寻找文本 (局_文本内容, “,”, , 假)<br /> <br />     .如果真 (局_逗号位置 ≠ -1)<br />         局_文本内容 ＝ 取文本中间 (局_文本内容, 局_逗号位置 ＋ 1, 100)<br />         局_PID文本 ＝ 子程序_取中间文本 (局_文本内容, #引号, #引号)<br /> <br />         调试输出 (“★ [BINGO] 成功暴力获取 PID：” ＋ 局_PID文本)<br />     .如果真结束<br /> <br /> .否则<br />     调试输出 (“[Result] CMD 返回结果中未包含目标进程，确认进程未运行或被驱动隐藏。”)<br /> .如果结束<br /> <br /> <br /> .子程序 子程序_API取环境变量, 文本型, , 手动实现取环境变量<br /> .参数 参_变量名, 文本型<br /> .局部变量 局_缓冲区, 文本型<br /> .局部变量 局_长度, 整数型<br /> <br /> 局_缓冲区 ＝ 取空白文本 (255)<br /> 局_长度 ＝ GetEnvironmentVariableA (参_变量名, 局_缓冲区, 255)<br /> 返回 (取文本左边 (局_缓冲区, 局_长度))<br /> <br /> .子程序 子程序_取中间文本, 文本型, , 简单文本处理<br /> .参数 全文本, 文本型<br /> .参数 左边文本, 文本型<br /> .参数 右边文本, 文本型<br /> .局部变量 局_左位置, 整数型<br /> .局部变量 局_右位置, 整数型<br /> <br /> 局_左位置 ＝ 寻找文本 (全文本, 左边文本, , 假)<br /> .如果真 (局_左位置 ＝ -1)<br />     返回 (“”)<br /> .如果真结束<br /> 局_左位置 ＝ 局_左位置 ＋ 取文本长度 (左边文本)<br /> 局_右位置 ＝ 寻找文本 (全文本, 右边文本, 局_左位置, 假)<br /> .如果真 (局_右位置 ＝ -1)<br />     返回 (“”)<br /> .如果真结束<br /> 返回 (取文本中间 (全文本, 局_左位置, 局_右位置 － 局_左位置))