使用EPROCESS下Win32Process枚举进程

最新推荐文章于 2023-02-11 21:41:11 发布
VIP文章 最新推荐文章于 2023-02-11 21:41:11 发布
阅读量3.8k 收藏 4
点赞数 1
分类专栏: 驱动学习 逆向 文章标签: Win32Process 枚举窗口 窗口对象
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/51615687
版权

此方法硬编码很多!!!

EPROCESS下win32Process其实是一个tagPROCESSINFO 结构

          typedef struct _tagPROCESSINFO                     // 55 elements, 0x300 bytes (sizeof) 
          {                                                                                       
/*0x000*/     struct _EPROCESS* Process;                                                          
/*0x008*/     ULONG32      RefCount;                                                              
/*0x00C*/     ULONG32      W32PF_Flags;                                                           
/*0x010*/     struct _KEVENT* InputIdleEvent;                                                     
/*0x018*/     ULONG32      StartCursorHideTime;                                                   
/*0x01C*/     UINT8        _PADDING0_[0x4];                                                       
/*0x020*/     struct _W32PROCESS* NextStart;                                                      
/*0x028*/     VOID*        pDCAttrList;                                                           
/*0x030*/     VOID*        pBrushAttrList;                                                        
/*0x038*/     ULONG32      W32Pid;                                                                
/*0x03C*/     LONG32       GDIHandleCount;                                                        
/*0x040*/     ULONG32      GDIHandleCountPeak;                                                    
/*0x044*/     LONG32       UserHandleCount;                                                       
/*0x048*/     ULONG32      UserHandleCountPeak;                                                   
/*0x04C*/     UINT8        _PADDING1_[0x4];                                                       
/*0x050*/     struct _EX_PUSH_LOCK GDIPushLock;              // 7 elements, 0x8 bytes (sizeof)    
/*0x058*/     struct _RTL_AVL_TABLE GDIEngUserMemAllocTable; // 11 elements, 0x68 bytes (sizeof)  
/*0x0C0*/     struct _LIST_ENTRY GDIDcAttrFreeList;          // 2 elements, 0x10 bytes (sizeof)   
/*0x0D0*/     struct _LIST_ENTRY GDIBrushAttrFreeList;       // 2 elements, 0x10 bytes (sizeof)   
/*0x0E0*/     struct _LIST_ENTRY GDIW32PIDLockedBitmaps;     // 2 elements, 0x10 bytes (sizeof)   
/*0x0F0*/     VOID*        hSecureGdiSharedHandleTable;                                           
/*0x0F8*/     VOID*        DxProcess;                                                             
/*0x100*/     struct _tagTHREADINFO* ptiList;                                                     
/*0x108*/     struct _tagTHREADINFO* ptiMainThread;                                               
/*0x110*/     struct _tagDESKTOP* rpdeskStartup;                                                  
/*0x118*/     struct _tagCLS* pclsPrivateList;                                                    
/*0x120*/     struct _tagCLS* pclsPublicList;                                                     
/*0x128*/     struct _tagWOWPROCESSINFO* pwpi;                                                    
/*0x130*/     struct _tagPROCESSINFO* ppiNext;                                                    
/*0x138*/     struct _tagPROCESSINFO* ppiNextRunning;                                             
/*0x140*/     UINT32       cThreads;                                                              
/*0x144*/     UINT8        _PADDING2_[0x4];                                                       
/*0x148*/     struct _HDESK__* hdeskStartup;                                                      
/*0x150*/     UINT32       cSysExpunge;                                                           
/*0x154*/     ULONG32      dwhmodLibLoadedMask;                                                   
/*0x158*/     VOID*        ahmodLibLoaded[32];                                                    
/*0x258*/     struct _tagWINDOWSTATION* rpwinsta;                                                 
/*0x260*/     struct _HWINSTA__* hwinsta;                                                         
/*0x268*/     ULONG32      amwinsta;                                                              
/*0x26C*/     ULONG32      dwHotkey;                                                              
/*0x270*/     struct _HMONITOR__* hMonitor;                                                       
/*0x278*/     struct _tagDESKTOPVIEW* pdvList;                                                    
/*0x280*/     UINT32       iClipSerialNumber;                                                     
/*0x284*/     UINT8        _PADDING3_[0x4];                                                       
/*0x288*/     struct _RTL_BITMAP bmHandleFlags;              // 2 elements, 0x10 bytes (sizeof)   
/*0x298*/     struct _tagCURSOR* pCursorCache;                                                    
/*0x2A0*/     VOID*        pClientBase;                                                           
/*0x2A8*/     ULONG32      dwLpkEntryPoints;                                                      
/*0x2AC*/     UINT8        _PADDING4_[0x4];                                                       
/*0x2B0*/     struct _tagW32JOB* pW32Job;                                                         
/*0x2B8*/     ULONG32      dwImeCompatFlags;                                                      
/*0x2BC*/     struct _LUID luidSession;                      // 2 elements, 0x8 bytes (sizeof)    
/*0x2C4*/     struct _tagUSERSTARTUPINFO usi;                // 8 elements, 0x1C bytes (sizeof)   
              union                                          // 2 elements, 0x4 bytes (sizeof)    
              {                                                                                   
/*0x2E0*/         ULONG32      Flags;                                                             
                  struct                                     // 2 elements, 0x4 bytes (sizeof)    
                  {                                                                               
/*0x2E0*/             UINT32       fHasMagContext : 1;       // 0 BitPosition                     
/*0x2E0*/             UINT32       Unused : 31;              // 1 BitPosition                     
                  };                                                                              
              };                                                                                  
/*0x2E4*/     ULONG32      dwLayout;                                                              
/*0x2E8*/     struct _tagPROCESS_HID_TABLE* pHidTable;                                            
/*0x2F0*/     ULONG32      dwRegisteredClasses;                                                   
/*0x2F4*/     UINT8        _PADDING5_[0x4];                                                       
/*0x2F8*/     struct _VWPL* pvwplWndGCList;                                                       
          }tagPROCESSINFO, *PtagPROCESSINFO;

tagPROCESSINFO 下有一个成员tagDESKTOP (offset 0x110) 

          typedef struct _tagDESKTOP                                     // 25 elements, 0xE0 bytes (sizeof) 
          {                                                                                                  
/*0x000*/     ULONG32      dwSessionId;                                                                      
/*0x004*/     UINT8        _PADDING0_[0x4];                                                                  
/*0x008*/     struct _tagDESKTOPINFO* pDeskInfo;                                                             
/*0x010*/     struct _tagDISPLAYINFO* pDispInfo;                                                             
/*0x018*/     struct _tagDESKTOP* rpdeskNext;                                                                
/*0x020*/     struct _tagWINDOWSTATION* rpwinstaParent;                                                      
/*0x028*/     ULONG32      dwDTFlags;                                                                        
/*0x02C*/     UINT8        _PADDING1_[0x4];                                                                  
/*0x030*/     UINT64       dwDesktopId;                                                                      
/*0x038*/     struct _tagMENU* spmenuSys;                                                                    
/*0x040*/     struct _tagMENU* spmenuDialogSys;                                                              
/*0x048*/     struct _tagMENU* spmenuHScroll;                                                                
/*0x050*/     struct _tagMENU* spmenuVScroll;                                                                
/*0x058*/     struct _tagWND* spwndForeground;                                                               
/*0x060*/     struct _tagWND* spwndTray;                                                                     
/*0x068*/     struct _tagWND* spwndMessage;                                                                  
/*0x070*/     struct _tagWND* spwndTooltip;                                                                  
/*0x078*/     VOID*        hsectionDesktop;                                                                  
/*0x080*/     struct _tagWIN32HEAP* pheapDesktop;                                                            
/*0x088*/     ULONG32      ulHeapSize;                                                                       
/*0x08C*/     UINT8        _PADDING2_[0x4];                                                                  
/*0x090*/     struct _CONSOLE_CARET_INFO cciConsole;                     // 2 elements, 0x18 bytes (sizeof)  
/*0x0A8*/     struct _LIST_ENTRY PtiList;                                // 2 elements, 0x10 bytes (sizeof)  
/*0x0B8*/     struct _tagWND* spwndTrack;                                                                    
/*0x0C0*/     INT32        htEx;                                                                             
/*0x0C4*/     struct _tagRECT rcMouseHover;                              // 4 elements, 0x10 bytes (sizeof)  
/*0x0D4*/     ULONG32      dwMouseHoverTime;                                                                 
/*0x0D8*/     struct _MAGNIFICATION_INPUT_TRANSFORM* pMagInputTransform;                                     
          }tagDESKTOP, *PtagDESKTOP;

tagDESKTOP 下+0x8处_tagDESKTOPINFO结构 

          typedef struct _tagDESKTOPINFO               // 16 elements, 0xF0 bytes (sizeof) 
          {                                                                                
/*0x000*/     VOID*        pvDesktopBase;                                                  
/*0x008*/     VOID*        pvDesktopLimit;                                                 
/*0x010*/     struct _tagWND* spwnd;                                                       
/*0x018*/     ULONG32      fsHooks;                                                        
/*0x01C*/     UINT8        _PADDING0_[0x4];                                                
/*0x020*/     struct _tagHOOK* aphkStart[16];                                              
/*0x0A0*/     struct _tagWND* spwndShell;                                                  
/*0x0A8*/     struct _tagPROCESSINFO* ppiShellProcess;                                     
/*0x0B0*/     struct _tagWND* spwndBkGnd;                                                  
/*0x0B8*/     struct _tagWND* spwndTaskman;                                                
/*0x0C0*/     struct _tagWND* spwndProgman;                                                
/*0x0C8*/     struct _VWPL* pvwplShellHook;                                                
/*0x0D0*/     INT32        cntMBox;                                                        
/*0x0D4*/     UINT8        _PADDING1_[0x4];                                                
/*0x0D8*/     struct _tagWND* spwndGestureEngine;                                          
/*0x0E0*/     struct _VWPL* pvwplMessagePPHandler;
最低0.47元/天 解锁文章
zhuhuibeishadiao
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
EPROCESS遍历进程
For Geek
05-07 1948
Windows为每一个进程都安排了一个EPROCESS的结构用于维护每一个进程,当然EPROCESS是属于内核管理的,所以只有ring0层的程序才可以访问这个结构,下面我们来看一下EPROCESS的结构是怎样的。 kd> dt _eprocess ntdll!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessL...
Windows内核驱动EPROCESS遍历进程模块
12-14
windows驱动 遍历进程模块
Get-Process 帮助信息
Windows PowerShell
11-24 3961
如下说明是翻译PowerShell中: help Get-Process 产生的帮助信息. 译者: Edengundam(马涛) Get-Process 大纲取得运行在本地计算机上的进程. 语法Get-Process [[-name] ] [] Get-Process -id [] Get-Process -inputObject [] 
windows内核情景分析--窗口消息
maomao171314的专栏
04-04 3278
消息与钩子 众所周知,Windows系统是消息驱动的,现在我们就来看Windows的消息机制. 早期的Windows的窗口图形机制是在用户空间实现的,后来为了提高图形处理效率,将这部分移入内核空间,在Win32k.sys模块中实现。这个模块作为一个扩展的内核模块,提高了一个扩展额系统服务表,专用于窗口图形操作,相应的,这个模块中添加了一个扩展系统调用服务表Shadow SSDT,以及一个扩
通过对比 5 月补丁分析 win32k 空指针解引用漏洞
qq_44005305的博客
02-11 195
这篇文章通过补丁对比的方式发现并分析 5 月补丁修复的一个在 win32k 内核模块中存在的空指针解引用导致的内核提权漏洞。根据 FortiGuard Labs 发布的信息,该漏洞正是 5 月补丁中修复的 CVE-2018-8120 漏洞。漏洞存在于内核函数 SetImeInfoEx 中,在未对目标窗口站 tagWINDOWSTATION 对象的指针成员域 spklList 指向地址进行有效性校验的情况下,函数对该地址直接进行读取访问。
进程结构体EPROCESS
maomao171314的专栏
02-01 1976
1、进程结构体EPROCESS 每个windows进程在0环都有一个对应的结构体:EPROCESS 这个结构体包含了进程所有重要的信息。 kd> dt _EPROCESS +0x000 Pcb : _KPROCESS +0x078 ProcessLock : _EX_PUSH_LOCK +0x080 CreateTime : _LARGE_INTEGER +0x088 ExitTime : _LARG...
EPROCESS 结构
热门推荐
swanabin的专栏
07-05 1万+
每个进程都有一个 EPROCESS 结构,里面保存着进程的各种信息,和相关结构的指针。EPROCESS 结构位于系统地址空间,所以访问这个结构需要有ring0的权限。使用 Win2k DDK 的 KD (内核调试器)我们可以得到 EPROCESS 结构的定义。注意下面的是 Win2k Build 2195 下的 EPROCESS 结构定义。 kd> !strct eprocess !s
通过遍历系统句柄信息(SystemHandleInformation),获取系统进程和当前进程的eprocess
pureman_mega的博客
11-23 1万+
实验环境:win10 1909 64 参考:https://blog.csdn.net/qinlicang/article/details/4489727 首先,获取系统的句柄信息;然后,在句柄信息表中进行搜索,通过数据结构进行匹配;最后,确定系统进程和当前进程的eprocess; 主要数据结构如下: typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO { USHORT UniqueProcessId; USHORT CreatorBack
易语言枚举隐藏进程
08-21
易语言枚举隐藏进程源码系统结构:枚举进程,提升进程权限,提升进程权限,隐藏进程,取进程EProcess,十六文本至长整数,读物理内存,写物理内存,CreateToolhelp32Snapshot,Process32First,Process32Next,C
EPROCESS.rar_EPROCE_EPROCESS_EPROCESS win7_EPROCESS winxp_win 7
09-14
winxp,2003sp1,vista,win7 系统下的EPROCESS结构的详细介绍。怎么使用,你懂的。
基于EPROCESS结构中双向链表的进程检测方法
02-21
基于EPROCESS结构中双向链表的进程检测方法
进程线程001 进程线程结构体和KPCR
鬼手的博客
12-26 1008
文章目录前言EPROCESSKPROCESS主要成员EPROCESS其他成员ETHREADKTHREAD主要成员介绍ETHREAD其他成员介绍KPCRKPCR介绍_NT_TIB主要成员介绍KPCR的其他成员介绍KPRCB成员介绍KPRCB成员介绍 前言 进程线程的知识点很多,如果我们想了解问题的本质,就要从一些关键的结构体学起,先来介绍一个与进程密切相关的结构体 EPROCESS 每个进程在零环都...
进程线程 1.EPROCESS进程隐藏
Mikasys的博客
11-05 1290
一、EPROCESS结构体 EPROCESS结构 kd> dt _EPROCESS ntdll!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime : _LARGE_INTEGER +0x078 ExitTime : _LARGE_INTEGER +0x080 RundownProtect
Win10下的_EPROCESS结构记录
WorryFree
11-30 1954
kd> dt _EPROCESS ntdll!_EPROCESS +0x000 Pcb : _KPROCESS 内嵌的内核层进程结构体 +0x2e0 ProcessLock : _EX_PUSH_LOCK 自旋锁 用于保护EPROCESS数据成员的同步 +0x2e8 UniqueProcessId : Ptr64 Void 进程的唯一PID +0x2f0 ActiveProcessLinks :
EPROCESS 遍历进程 隐藏 保护
Mikasys的博客
10-20 786
0: kd> dt _KPROCESS nt!_KPROCESS +0x000 Header : _DISPATCHER_HEADER //dt _KEVENT +0x018 ProfileListHead : _LIST_ENTRY //任务管理器上的性能 +0x028 DirectoryTableBase : Uint8B //cr3 +0x030 ThreadListHead : _LIST_ENTRY //当前进程所有线程
获得进程的EPROCESS
Kendiv's Box
01-31 5486
获得进程的EPROCESS发布日期:2004-06-02文摘内容: 文摘出处:http://www.xfocus.net/articles/200406/706.html创建时间:2004-06-01文章属性:原创文章提交:MustBE (zf35_at_citiz.net)By [I.T.S]SystEm32Welcome to our web site http://itaq.ynpc
基于进程 EPROCESS - ActiveProcessLists 枚举进程,并通过摘链隐藏进程
LYSM
06-24 651
实现原理 进程 EPROCESS 结构存储着进程一切信息,所以这个结构体很庞大,而且,不同系统, EPROCESS 结构定义也不相同,它里面的一些成员的偏移也不是固定一成不变的。 可使用函数 PsGetCurrentProcess 获取当前进程结构 EPROCESSPsGetProcessId 从 EPROCESS 结构中获取进程的 PID 信息;使用 PsGetProcessImageFileName 函数,从 ERPROCESS 结构中获取进程的名称信息。 其中,EPROCESS 结构中的成员 Ac
进程的攻与“防” ---- 进程隐藏(Win7 x32 绕过PC Hunter)
qq_42021840的博客
05-04 2329
说来惭愧,360一面的时候,面试官问我如何去隐藏一个进程,我说很简单那,从EProcess的ActiveProcessLinks的双向列表中断开就完事了啊,面试官当时也没有提醒我,直到面试完,我自己研究了一下从双向列表中断开,但是发现只能躲过任务管理器的眼睛,但是用PcHunter 还是可以枚举出来的,我自己又试了一下从暴力方式去枚举进程,发现也是枚举出来,这时候我才想到,双向列表的断开,其本质上...
冰刃初步使用图解(Win7 64位)
bcbobo21cn的专栏
04-18 1万+
1 运行 运行,原来是胡哥所作;胡哥真是棒; 2 查看进程;多了EPROCESS列 每个进程都有一个 EPROCESS 结构,里面保存着进程的各种信息,和相关结构的指针。EPROCESS 结构位于系统地址空间,所以访问这个结构需要有ring0的权限。使用 Win2k DDK 的 KD (内核调试器)我们可以得到 EPROCESS 结构的定义。 3 查看驱动 可看到
eprocess存在进程内存中吗
最新发布
07-14
在Windows操作系统中,EPROCESS进程控制块)是操作系统内核中的数据结构,用于描述和管理一个进程的信息。EPROCESS结构并不直接存在于进程的虚拟内存空间中,而是在内核地址空间中。 每个进程都有一个唯一的EPROCESS结构与之对应,这个结构由操作系统内核在进程创建时动态分配并初始化。EPROCESS结构存储在操作系统内核的非分页内存区域(Nonpaged Pool)中。 由于EPROCESS结构是在内核地址空间中维护的,所以用户模式的应用程序无法直接访问或修改进程的EPROCESS结构。应用程序只能通过操作系统提供的API函数来与内核进行交互,例如通过OpenProcess函数来获取进程句柄,然后使用其他相关的API函数对目标进程进行操作。 需要注意的是,EPROCESS结构保存了关于进程的重要信息,如进程ID、父进程ID、线程列表、句柄表、内存管理信息等。通过操作EPROCESS结构,操作系统内核能够管理和控制进程的行为,并提供对进程资源的访问和保护。 总之,EPROCESS结构存在于操作系统内核地址空间中,并由操作系统内核来维护和管理。应用程序无法直接访问或修改进程的EPROCESS结构,而是通过API函数与内核进行交互来操作进程

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值