枚举进程(1)——遍历通过EPROCESS结构的ActiveProcessLinks链表

最新推荐文章于 2021-02-01 14:01:17 发布
最新推荐文章于 2021-02-01 14:01:17 发布
阅读量4.3k 收藏 9
点赞数
分类专栏: 写几个驱动练练手 文章标签: build exception null file list struct
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beijixing2003/article/details/2514431
版权
本文介绍了一种通过枚举EPROCESS结构的ActiveProcessLinks链表来获取Windows系统中进程信息的方法,详细阐述了根据系统版本获取结构偏移量的逻辑,并展示了遍历过程和部分输出结果。
摘要由CSDN通过智能技术生成 
#define EPROCESS_SIZE		1
#define PEB_OFFSET			2
#define FILE_NAME_OFFSET		3
#define PROCESS_LINK_OFFSET		4
#define PROCESS_ID_OFFSET		5
#define EXIT_TIME_OFFSET		6

typedef ULONG	DWORD ;

typedef struct _PROCESS_INFO {
	DWORD	dwProcessId ;
	PUCHAR	pImageFileName ;
} PROCESS_INFO, *PPROCESS_INFO ;

DWORD GetPlantformDependentInfo ( DWORD dwFlag )
{ 
	DWORD current_build; 
	DWORD ans = 0; 

	PsGetVersion(NULL, NULL, ¤t_build, NULL); 

	switch ( dwFlag )
	{ 
	case EPROCESS_SIZE: 
		if (current_build == 2195) ans = 0 ;		// 2000,当前不支持2000,下同
		if (current_build == 2600) ans = 0x25C;		// xp
		if (current_build == 3790) ans = 0x270;		// 2003
		break; 
	case PEB_OFFSET: 
		if (current_build == 2195)	ans = 0; 
		if (current_build == 2600)	ans = 0x1b0; 
		if (current_build == 37
最低0.47元/天 解锁文章
beijixing2003
关注
专栏目录
EPROCESS 遍历进程 隐藏 保护
Mikasys的博客
10-20 856
0: kd> dt _KPROCESS nt!_KPROCESS +0x000 Header : _DISPATCHER_HEADER //dt _KEVENT +0x018 ProfileListHead : _LIST_ENTRY //任务管理器上的性能 +0x028 DirectoryTableBase : Uint8B //cr3 +0x030 ThreadListHead : _LIST_ENTRY //当前进程所有线程
基于EPROCESS结构中双向链表进程检测方法
02-21
基于EPROCESS结构中双向链表进程检测方法
通过EPROCESS枚举进程
尘埃落定
08-27 1492
http://bbs.pediy.com/showthread.php?p=583402  网上的一段代码 通过内存搜索EPROCESS枚举进程在我的xp sp2系统上测试 只能枚举出三个进程 这是为什么?关键代码如下:代码:VOID searchprocess(void){    ULONG    i;    ULONG    res
通过EPROCESS链表枚举进程(代码转)
vincent_1011的专栏
01-23 1229
一段看雪的北极星2003大哥写的程序------ULONGGetPlantformDependentInfo( ULONG dwFlag) { ULONG current_build; ULONG ans = 0; PsGetVersion(NULL, NULL, &current_build, NULL);
遍历_EPROCESS->ActiveProcessLinks链表枚举进程
125096
06-18 1052
#include UCHAR * PsGetProcessImageFileName(__in PEPROCESS Process); HANDLE PsGetProcessInheritedFromUniqueProcessId(__in PEPROCESS Process); VOID HelloDDKUnload(IN PDRIVER_OBJECT pDriverObject) {
Windows内核驱动EPROCESS遍历进程模块
最新发布
12-14
这可以通过遍历全局的进程链表(PsActiveProcessHead)来实现。每个进程都有一个EPROCESS结构,它们通过链表链接在一起。 2. **访问EPROCESS结构**:遍历过程中,对每个EPROCESS结构进行检查。结构中的` Peb `...
EPROCESS_ActiveProcessLinks.rar_eprocess.h_ntddk.h
09-14
这个EPROCESS结构在ntddk.h中有定义,但是并未给出具体的结构,因此要得到EPROCESS中一些重要的成员变量,只能通过偏移的方法,比如PID,ImageName等.这些偏移可以在Windbg中dt _EPROCESS得到,但是不公开感觉还是不...
EPROCESS遍历进程
For Geek
05-07 2000
Windows为每一个进程都安排了一个EPROCESS结构用于维护每一个进程,当然EPROCESS是属于内核管理的,所以只有ring0层的程序才可以访问这个结构,下面我们来看一下EPROCESS结构是怎样的。 kd> dt _eprocess ntdll!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessL...
遍历EPROCESS中的ActiveProcessLinks枚举进程
weixin_33884611的博客
06-24 232
遍历EPROCESS中的ActiveProcessLinks枚举进程 前面对PEB的相关结构和其中的重要成员进行了分析和学习,现在开始真正进入内核,学习内 核中的一些结构. 这个EPROCESS结构在ntddk.h中有定义,但是并未给出具体的结构,因此要得到EPROCESS中一些重要的成员变量,只能通过偏移的方法,比 如PID,ImageName等.这些偏移可以...
eprocess
03-13
eprocess
简述共用体枚举链表
翩翩少年
02-03 295
一、共用体 1.1 概念 概念:不同数据类型的成员共用一块内存空间 1.2 共用体的定义 union 共用体名 { 成员列表; }; 说明: union 是表示共用体的关键字 union 共用体名 表示共用体类型 成员列表: 数据类型 变量名 1.3 共用体类型变量的定义 a) 在定义共用体的同时,定义结构体类型的变量 b) 先定义共用体,在定义共用体类型的变量 c) 在定义共用体的...
获得进程的EPROCESS
Kendiv's Box
01-31 5575
获得进程的EPROCESS发布日期:2004-06-02文摘内容: 文摘出处:http://www.xfocus.net/articles/200406/706.html创建时间:2004-06-01文章属性:原创文章提交:MustBE (zf35_at_citiz.net)By [I.T.S]SystEm32Welcome to our web site http://itaq.ynpc
隐藏进程
Deepest_Ice_Blue的专栏
06-06 638
先从活动进程链表中摘除 擦除PspCidTable中对应的Object 再擦除Csrss进程中那份表擦除HandleTable表用了一些技巧,检测隐藏进程的方法就这么多了通过这几种途径检测不到的其他的方法就不知道了,不用亲自操作三层表,不是网上流传的方法,具体请看代码......使用的时候直接HideProcessById(HIDE_PID)就行了  #ifndef __PROCESSHIDE_H
EPROCESS 结构
热门推荐
swanabin的专栏
07-05 1万+
每个进程都有一个 EPROCESS 结构,里面保存着进程的各种信息,和相关结构的指针。EPROCESS 结构位于系统地址空间,所以访问这个结构需要有ring0的权限。使用 Win2k DDK 的 KD (内核调试器)我们可以得到 EPROCESS 结构的定义。注意下面的是 Win2k Build 2195 下的 EPROCESS 结构定义。 kd> !strct eprocess !s
进程结构体EPROCESS
maomao171314的专栏
02-01 2190
1、进程结构体EPROCESS 每个windows进程在0环都有一个对应的结构体:EPROCESS 这个结构体包含了进程所有重要的信息。 kd> dt _EPROCESS +0x000 Pcb : _KPROCESS +0x078 ProcessLock : _EX_PUSH_LOCK +0x080 CreateTime : _LARGE_INTEGER +0x088 ExitTime : _LARG...
软件调试笔记9 - Windows概要:进程结构:EPROCESS
imJaron的博客
11-23 651
下面,通过记事本程序来详细查看进程的每一项内容。 首先打开WINDBG并进入本地内核调试,然后打开记事本程序。用命令!process 0 0列出所有进程。 第一个参数0表示所有进程,第二个0表示基本的进程属性。 找到notepad.exe程序的内容。 EPROCESS结构Process后面的地址指向的就是EPROCESS结构,很多时候WINDOW
进程线程001 进程线程结构体和KPCR
鬼手的博客
12-26 1359
文章目录前言EPROCESSKPROCESS主要成员EPROCESS其他成员ETHREADKTHREAD主要成员介绍ETHREAD其他成员介绍KPCRKPCR介绍_NT_TIB主要成员介绍KPCR的其他成员介绍KPRCB成员介绍KPRCB成员介绍 前言 进程线程的知识点很多,如果我们想了解问题的本质,就要从一些关键的结构体学起,先来介绍一个与进程密切相关的结构体 EPROCESS 每个进程在零环都...
【旧文章搬运】遍历EPROCESS中的ActiveProcessLinks枚举进程
weixin_30569153的博客
12-26 147
原文发表于百度空间,2008-7-25========================================================================== 前面对PEB的相关结构和其中的重要成员进行了分析和学习,现在开始真正进入内核,学习内核中的一些结构.这个EPROCESS结构在ntddk.h中有定义,但是并未给出具体的结构,因此要得到EPROCESS中一些重要...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值