探究WinHex搜索不到进程的原因

wufake

探究WinHex搜索不到进程的原因

最近在使用winhex查看/编辑内存的功能，遇到了一个令人头疼的问题，
总是搜索不到目标进程，本人操作系统win11，无论换了哪一个版本的winhex都没效果，
网上搜索相关教程，找到了一篇相关帖子，
原帖链接
大概内容是在EnumProcesses函数上下断点，返回时手动在pid数组写入目标pid，即可修复该bug，
但具体原因并没有进行分析。

具体调试过程

在 EnumProcesses 下断点

从参数2来看，pid数组的大小为0x3fc(1020字节)，换算下来也就能装255个进程，
目前我win11的进程数是比这个值略小一点的，但是多开几个网页，
或是启动社交软件就超过这个阈值了，这就是搜不到进程的原因了。

继续向上分析调用过程，可以知道这个pid数组是一个栈上数据。

编写插件

*思路和原博主的一样，毕竟这是一个栈上数组，不能直接修改数组大小，*
*Hook EnumProcesses函数，在返回时将目标进程pid写入到数组的头部元素*

kevin95

附件是怎么用的

wufake

kevin95 发表于 2026-5-26 14:58
附件是怎么用的

解压后放在winhex.exe同级目录

kevin95

wufake 发表于 2026-5-27 08:39
解压后放在winhex.exe同级目录

如果winhex.exe是单文件版本也可以吗

wufake

kevin95 发表于 2026-5-27 09:41
如果winhex.exe是单文件版本也可以吗

单文件版本是打包后的，插件放不进去，不支持