Windows内核下PID、Handle和EPROCESS之间相互转换的方法

最新推荐文章于 2024-03-10 09:21:46 发布
最新推荐文章于 2024-03-10 09:21:46 发布
阅读量288 收藏
点赞数
文章标签: windows 编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ByteEchoX/article/details/133051316
版权
编程 专栏收录该内容
445 篇文章 ¥29.90 ¥99.00
订阅专栏
本文介绍了在Windows内核编程中如何进行PID、Handle和EPROCESS结构之间的相互转换,包括从PID获取EPROCESS、从句柄获取EPROCESS以及从EPROCESS获取PID的方法,并提供了相应的源代码示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在Windows内核编程中,我们经常需要在进程和句柄之间进行转换,以及获取与进程相关联的EPROCESS结构。这些转换是使用内核模式编程技术实现的。在本文中,我将介绍如何在Windows内核中进行PID、Handle和EPROCESS之间的相互转换,并提供相应的源代码示例。

  1. 从PID获取EPROCESS结构

在Windows内核编程中,EPROCESS结构代表了一个进程的内部表示。要从PID获取与之关联的EPROCESS结构,我们可以使用PsLookupProcessByProcessId函数。下面是一个示例代码:

NTSTATUS GetEprocessFromPid(HANDLE pid, PEPROCESS* eprocess)
{
   
    NTSTATUS status;
    HANDLE processHandle
了解本专栏 订阅专栏 解锁全文
Windows内核pid,handle,eprocess之间相互转换方法
Think88666的博客
08-25 527
Windows内核pid,handle,eprocess之间相互转换方法
[Windows驱动开发] 进程的pid - handle - eprocess之间相互转换方法
墨鱼菜鸡
08-05 255
内核程序开发中,我们常常需要得某进程的pid或句柄,或者需要检索进程的eprocess结构,很多API函数需要的参数也不同,所以掌握pid<->handle<->eprocess相互转换方法会大大提高我们的开发效率。 以下就是我自己在实际开发中总结出来的转换方法,在此记录下来,以供需要的朋友参考。 1、pid->han...
win32内核程序中进程的pid,handle,eprocess之间相互转换方法
dog0230的博客
01-22 179
在win32内核程序开发中,我们常常需要得某进程的pid或句柄,或者需要检索进程的eprocess结构,很多API函数需要的参数也不同,所以掌握pid<->handle<->eprocess相互转换方法会大大提高我们的开发效率。 以下就是我自己在实际开发中总结出来的转换方法,在此记录下来,以供需要的朋友参考。 1、pid->handle ...
驱动开发:内核操作进线程与模块
CSDN
10-21 6693
进程就是活动起来的程序,每一个进程在内核里,都有一个名为EPROCESS的结构记录它的详细信息,其中就包括进程名,PID,PPID,进程路径等,通常在应用层枚举进程只列出所有进程的编号即可,不过在内核层需要把它的 EPROCESS 地址给列举出来。
PID,EPROCESS,HANDLE转换【转】
weixin_30571465的博客
03-26 211
1. 通过 pid目标进程的 EPROCESS (PsLookupProcessByProcessId)。如果当前进程不是目标进程,那么我们切换当前进程,方法当然是通过 KeAttachProcess 或者 KeStackAttachProcess 啦。接下来我们就可以从 _PEB结构中随心所欲的获目标路径,命令行,啥滴东西了。最后别忘了 Detach(如果你没有 Attach 那么这一...
驱动隐藏进程(eprocess断链)
qq_43147121的博客
10-01 1309
具体的原理就不详细描述了,这种办法是最为基础的隐藏手段而且网上有很多文章,只不过我看了一些大部分都只是直接在driverEntry中写死的那种,所以我简单写了个三环0环交互的驱动代码供大家参考。进程在内核中存在一个双向链表将所有的活动进程串联起来,今天写的就是将我们的目标进程从这个链表中移除以达到隐藏进程的目的。
PID的含义及查看方法(macOS系统Windows系统)
2301_76297780的博客
03-10 5055
介绍PID进程标识符的含义及查看方法(macOS系统Windows系统)
eprocess.zip_EPROCESS_eprocess结构体
09-24
EPROCESS结构体的方法通常涉及内核模式调试,这需要对Windows内核有深入的理解。例如,可以使用WinDbg的命令`!process`或者`kdexts`扩展来显示进程信息。在用户模式下,一般不能直接访问EPROCESS,因为这是内核...
EPROCESS遍历进程
For Geek
05-07 2120
Windows为每一个进程都安排了一个EPROCESS的结构用于维护每一个进程,当然EPROCESS是属于内核管理的,所以只有ring0层的程序才可以访问这个结构,下面我们来看一下EPROCESS的结构是怎样的。 kd> dt _eprocess ntdll!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessL...
windows内核- 内核中进程与句柄互转(六)
rosykee的专栏
12-10 647
ObReferenceObjectByHandle函数接受一个句柄一个对象类型作为参数,并返回对该对象的引用。在内核开发中,经常需要进行进程句柄之间的互相转换。进程通常由一个唯一的进程标识符(PID)来标识,而句柄是指对内核对象的引用。通过 GetProcessId(HANDLE)返回句柄对应的进程PID。例程接受进程的进程 ID,并返回指向进程的 EPROCESS 结构的引用指针。函数接受一个EProcess结构作为参数,并返回该进程的PID。结构表示一个进程,而HANDLE是一个句柄。
句柄(handle文件标识符(PID
qq_45444695的博客
11-12 1654
今天有朋友问到,什么是句柄,什么是handle,什么是进程标识符,什么又是PID? 其实句柄就是handle,而进程标识符就是PID, 那么句柄标识符又分别是什么?他们之间又有何联系? 句柄的声明 typedef void *HANDLE 它句柄的本质就是一个指针,但是它的作用又不同于指针,它又不是真正意义上的指针,或者说说句柄是一个受限的指针。 给你一个指针,你可以拿这个指针做几乎任何事情,给你一个句柄,你只能干一些Windows允许你干的事情。 我们知道Windows是一个以虚拟内存为基础的操作系统。
内核程序中进程的pid,handle,eprocess之间相互转换方法
whatday的专栏
09-10 5846
在win32内核程序开发中,我们常常需要得某进程的pid或句柄,或者需要检索进程的eprocess结构,很多API函数需要的参数也不同,所以掌握pidhandleeprocess相互转换方法会大大提高我们的开发效率。 以下就是我自己在实际开发中总结出来的转换方法,在此记录下来,以供需要的朋友参考。 1、pid->handle OBJECT_ATTRIBUTES Objec
驱动下通过进程PID获得进程名 (动态获ImageFileName在EPROCESS结构体中的相对偏移)...
weixin_30828379的博客
01-31 948
思路   进程EPROCESS结构体中含有进程名ImageFileName(需求处ImageFileName在EPROCESS结构体中的相对偏移)——》获得进程EPROCESS——》通过进程句柄获得EPROCESS——》通过进程PID打开进程获得进程句柄 计算ImageFileName在EPROCESS结构体中的相对偏移     方法一 来个判断操作系统,再利用windbg调试得到相...
PID & PEPROCESS & HANDLE 相互转换
anjiao_1989的专栏
04-04 1358
PID & PEPROCESS & HANDLE 相互转换 from \ to PID PEPROCESS HANDLE PID PsLookupProcessByProcessId PEPROCESS PsGetProcessId ObOpenObjectByPointer HANDLE ObReferenceObjectByHandle ...
[转] win32内核程序中进程的pid,handle,eprocess之间相互转换方法
weixin_34290000的博客
05-10 174
很有用,收下以后方便查询。 原贴地址:http://bbs.pediy.com/showthread.php?t=119193   在win32内核程序开发中,我们常常需要得某进程的pid或句柄,或者需要检索进程的eprocess结构,很多API函数需要的参数也不同,所以掌握pid&lt;-&gt;handle&lt;-&gt;eprocess相互转换方法会大大提高我们的开发效率。以下就...
Qt在windows下杀死进程:QProcess系统API两种方式
热门推荐
Коля的博客
07-10 1万+
虽然方法能查到,这里总结一下,以后方便回顾一下 1、QProcess QProcess p; QString c = "taskkill /im DingTalk.exe /f"; p.execute(c); p.close(); 直接执行CMD中的命令,注意空格!!! 2、系统API 根据进程名称先找到进程PID,再根据PID杀死进程 #include
PID与进程句柄的关系
z4ky的博客
05-19 2725
在操作系统内核区维护着一张全局句柄表,全局句柄表里面存放着所有进程内核对象,而全局句柄表的索引就是PID 当前进程的 进程句柄 是当前进程句柄表的索引,它只在本进程有效 但是PID是全局句柄表的索引,所以它对所有的进程都有效 ...
Linux系统下Java运行Process时,获到其PID方法
StartLine
08-16 5715
某些方式需要运用到JDK9   问题背景 有时我们会调用控制台命令,来进行某些操作。而这些操作的进程有些是需要手动Kill掉的,那么问题来了,我们如何得到他的PID呢   解决方法(前两种有缺陷) 1、使用 ps -ef  命令获所有PID,进行筛选 当我们运行ps -ef 的时候,会显示出一个列表,上标包括 UID   PID   PPID   C   STIME   TTY ...
EPROCESS结构体
最新发布
05-14
<think>好的,我现在要回答用户关于EPROCESS结构体定义使用方法的问题。首先,用户是Windows内核开发的初学者,可能需要基础的解释。我需要参考提供的引用资料,尤其是引用34,其中提到了EPROCESS与链表、VAD结构的关系。 首先,EPROCESS结构体是Windows内核中表示进程的关键数据结构,包含进程的各种信息。根据引用4,EPROCESS结构中有VAD结构的偏移,所以需要说明其存储进程的虚拟地址信息。同时,引用3提到内核使用LIST_ENTRY链表,可能EPROCESS中的ActiveProcessLinks就是这种链表结构,用于连接所有进程。 接下来,结构体定义部分,用户可能需要知道主要成员,如进程ID、句柄表、PEB地址等。由于EPROCESS在不同系统版本中定义不同,应提醒用户使用调试工具查看具体版本的定义。 关于使用方法,需要说明如何通过PsGetCurrentProcess获当前进程的EPROCESS,如何遍历进程链表,以及如何访问VAD等成员。这里要结合引用4中的例子,比如使用!process指令偏移量来定位VAD结构。 最后,生成相关问题时要围绕EPROCESS的应用场景、遍历方法、与线程结构体的关系等,帮助用户深入理解。同时确保使用正确的LaTeX格式,行内公式用$,独立公式用$$,并检查语法正确性。</think>### EPROCESS结构体的定义与使用方法 #### 一、EPROCESS结构体定义 `EPROCESS`是Windows内核中描述进程的核心数据结构,包含进程的所有元数据。其定义因Windows版本不同而有所差异,但核心成员包括: $$ \begin{aligned} &\text{+0x2e8 UniqueProcessId : Ptr64 Void} \quad \text{(进程PID)} \\ &\text{+0x448 ObjectTable : Ptr64 _HANDLE_TABLE} \quad \text{(句柄表)} \\ &\text{+0x5c8 Peb : Ptr64 _PEB} \quad \text{(用户态进程环境块)} \\ &\text{+0x658 VadRoot : Ptr64 _MM_AVL_TABLE} \quad \text{(VAD树根节点)} \\ &\text{+0x5f0 ActiveProcessLinks : _LIST_ENTRY} \quad \text{(进程链表节点)} \end{aligned} $$ 该结构体长度通常超过0x1000字节[^4],实际定义需通过WinDbg查看: ```bash 0: kd> dt nt!_EPROCESS ``` #### 二、主要成员解析 1. **进程标识** - `UniqueProcessId`:进程PID,通过`PsGetProcessId`函数获 - `ImageFileName`:进程映像文件名(如x64.exe) 2. **内存管理** - `VadRoot`指向进程的虚拟地址描述符树(VAD Tree),可通过`!vad`命令查看: ```bash 0: kd> !process ffffe28fbb0860c0 7 ``` 3. **链表结构** - `ActiveProcessLinks`是`LIST_ENTRY`类型的内核链表节点,用于连接所有活动进程: $$ \text{遍历公式:NextProcess = CONTAINING_RECORD(ListEntry.Flink, EPROCESS, ActiveProcessLinks)} $$ #### 三、使用方法示例 1. **获当前进程** ```c PEPROCESS CurrentProcess = PsGetCurrentProcess(); ``` 2. **遍历进程链表** ```c PLIST_ENTRY ListHead = PsGetProcessListHead(); PLIST_ENTRY CurrentEntry = ListHead->Flink; while (CurrentEntry != ListHead) { PEPROCESS Process = CONTAINING_RECORD(CurrentEntry, EPROCESS, ActiveProcessLinks); DbgPrint("Process Name: %s\n", Process->ImageFileName); CurrentEntry = CurrentEntry->Flink; } ``` 3. **访问VAD树** ```c PMM_AVL_TABLE VadRoot = Process->VadRoot; if (VadRoot->NumberGenericTableElements > 0) { // 遍历VAD树分析内存布局 } ``` #### 四、开发注意事项 1. **版本兼容性** EPROCESS结构偏移量随系统版本变化(如Win10与Win7不同),应使用`FIELD_OFFSET`宏动态获偏移[^3]。 2. **内存访问** 访问用户空间地址需使用`ProbeForRead`验证,或通过MDL映射物理内存[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值