ちょうど Malware のコードインジェクション周りの挙動を勉強していたところ、OpenProcess API で参照する PID を Malware はどうやって特定しているんだろうかという疑問に至りました。 MalAPI.ioの Injection のセクションにも以下の 3 つの API が記載されていますが、一つの実装例としてCreateToolhelp32Snapshotを使用する方法があるようです。 CreateToolhelp32Snapshot Process32First Process32Next そこで、今回は Win32 API のCreateToolhelp32Snapshotを使用してシステム内のプロセス情報を列挙する方法をまとめてみました。 参考:Taking a Snapshot and Viewing Processes - Win32 apps | M
![Win32 API でシステム内のプロセス情報を列挙してみるやつ - かえるのひみつきち](https://cdn-ak-scissors.b.st-hatena.com/image/square/48d45939b42b2032f0f66453e89fca849125527e/height=288;version=1;width=512/https%3A%2F%2Fkashiwaba-yuki.com%2Fstatic%2F64aef3f47d21bab71d5b71e5debe5b03%2Fwin32api-getprocesslist.png)