Qual è un buon metodo per interrogare i processi per il loro aiuto o l'origine del framework, specialmente in Windows?

OP qui, un aggiornamento che risolve la domanda:

1. puoi rilevare alcune dipendenze per alcuni quadri di test, a seconda di come il file binario è stato creato e < em> collegato a. Le solo informazioni che puoi ottenere dal binario senza caricare e esercitarsi è questa cosa chiamata Import Table , alias Static Import Table, da non confondere con l'indirizzo di importazione Tabella, che cambia una volta caricata l'immagine. Non otterrai le DLL caricate dal processo tramite API Win32 come LoadProcess , quindi il chilometraggio varierà.

Ad esempio, se costruisco il mio strumento con la sola chiamata del batch VCVARS ed eseguendo cl.exe source.cpp /EHsc , mi daranno informazioni di dipendenza molto diverse rispetto a quando dico, faccio lo stesso esatto progetto Visual C ++ vuoto che incorpora tutto l'helper configurazioni da projName.vcxproj

Per gli assembly .NET, ho creato un'app per console snella e leggera per rilevare gli assembly .NET utilizzati per i framework di test .NET. La fonte è disponibile per la visualizzazione su SO: link

2. Non tutti i casi d'angolo possono essere garantiti, ma la maggior parte può essere superare quando entrambi i privilegi di amministratore utilizzano taskkill nell'albero del processo per ID processo. Ho scoperto che fare chiamate di sistema come taskkill /F /T /PID %PID% e controllarne il codice di errore è un rimpiazzo perfettamente adatto per un modo programmatico di attivare un processo non rispondente in modo desiderabile

Per raggiungere il mio obiettivo generale per questa domanda, ho creato due moduli C ++;

Il primo era un'utilità della riga di comando per analizzare e leggere i nomi delle dipendenze della tabella di importazione PE COFF, come dumpbin e link possono fare, usando i codici di errore per aiutare a determinare se ci fossero dipendenze o meno, quindi strumenti come findstr può essere sfruttato. Non vedo l'ora di usare ldd invece di eseguire il porting di questo sucker ... è stato un processo lungo e doloroso a causa di quanto fosse poco profondo e oscuro. Fondamentalmente ho dovuto ri-imparare la gestione della memoria di basso livello, quindi quella era effettivamente una buona cosa.

Il secondo era un'utilità della riga di comando che prendeva un nome / posizione del processo, un argomento per quanto tempo poteva durare in millisecondi e uno per quanto spesso lo interrogava in millisecondi; quindi un ulteriore argomento facoltativo per prendere una lista di parametri racchiusa tra virgolette. Il kill-timer è assoluto, ma l'ho codificato in modo che i codici di uscita ti permettano di sapere come è finito il processo. Tutto verificando i codici di uscita, ti consente di sapere se: * Processo uscito da solo, non zero * Il processo è terminato alla sua accensione, zero * Il processo doveva essere forzato alla morte * Il processo non è stato avviato * L'utente ha richiesto l'aiuto

Che copre tutti i casi a cui potevo pensare in quel momento.

Nel complesso questo processo ha richiesto molto più tempo del previsto, a causa del trattamento con il materiale PE COFF. Se ti trovi in scarpe simili, vedi se riesci a trovare un progetto open source che utilizza uno stack che giochi bene con il tuo.

Ho anche trovato che le seguenti risorse sono davvero utili quando si cerca di capire il PE COFF:

A. Visualizzazione del formato file PECOFF
B. Disorganizzazione di disassemblaggio X86
C. Analisi file eseguibili (Analisi forense di Windows ) Parte 2

Menzione d'onore che potrebbe causare mal di testa a causa della datazione:

D. Peering Inside the PE: un tour del formato di file eseguibile portatile Win32 di Matt Pietrek, marzo 1994, Microsoft Systems Journal