EPROCESS 遍历进程 隐藏 保护

最新推荐文章于 2022-07-27 05:42:55 发布
最新推荐文章于 2022-07-27 05:42:55 发布
阅读量848 收藏 7
点赞数
分类专栏: 驱动 逆向 Windows 文章标签: 操作系统 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mikasys/article/details/116723731
版权
本文介绍了Windows内核中_KPROCESS和_EPROCESS结构体的关键字段,包括进程的调度、同步、内存管理和权限等信息。同时,展示了如何遍历、隐藏和保护进程的内核级操作示例代码,涉及到了进程链表的修改和进程保护标志的设置。
摘要由CSDN通过智能技术生成 
0: kd> dt _KPROCESS
nt!_KPROCESS
   +0x000 Header           : _DISPATCHER_HEADER		//dt _KEVENT
   +0x018 ProfileListHead  : _LIST_ENTRY			//任务管理器上的性能
   +0x028 DirectoryTableBase : Uint8B				//cr3
   +0x030 ThreadListHead   : _LIST_ENTRY			//当前进程所有线程
   +0x040 ProcessLock      : Uint8B					//进程锁 Ring3线程同步
   +0x048 Affinity         : _KAFFINITY_EX			//亲核性,CPU默认核心
   +0x070 ReadyListHead    : _LIST_ENTRY			//就绪线程列表
   +0x080 SwapListEntry    : _SINGLE_LIST_ENTRY		//单向链表  
   +0x088 ActiveProcessors : _KAFFINITY_EX			//核心
   +0x0b0 AutoAlignment    : Pos 0, 1 Bit
   +0x0b0 DisableBoost     : Pos 1, 1 Bit
   +0x0b0 DisableQuantum   : Pos 2, 1 Bit
   +0x0b0 ActiveGroupsMask : Pos 3, 4 Bits
   +0x0b0 ReservedFlags    : Pos 7, 25 Bits
   +0x0b0 ProcessFlags     : Int4B					//进程标志位
   +0x0b4 BasePriority     : Char					//优先级
   +0x0b5 QuantumReset     : Char					//默认时间片 一般是6个时间片(2个时钟中断)就被切走
   +0x0b6 Visited          : UChar					//
   +0x0b7 Unused3          : UChar
   +0x0b8 ThreadSeed       : [4] Uint4B
   +0x0c8 IdealNode        : [4] Uint2B
   +0x0d0 IdealGlobalNode  : Uint2B
   +0x0d2 Flags            : _KEXECUTE_OPTIONS		//DEP
   +0x0d3 Unused1          : UChar
   +0x0d4 Unused2          : Uint4B
   +0x0d8 Unused4          : Uint4B
   +0x0dc StackCount       : _KSTACK_COUNT
   +0x0e0 ProcessListEntry : _LIST_ENTRY
   +0x0f0 CycleTime        : Uint8B
   +0x0f8 KernelTime       : Uint4B
   +0x0fc UserTime         : Uint4B
   +0x100 InstrumentationCallback : Ptr64 Void
   +0x108 LdtSystemDescriptor : _KGDTENTRY64
   +0x118 LdtBaseAddress   : Ptr64 Void
   +0x120 LdtProcessLock   : _KGUARDED_MUTEX
   +0x158 LdtFreeSelectorHint : Uint2B
   +0x15a LdtTableLength   : Uint2B

EPROCESS

0: kd> dt _EPROCESS
nt!_EPROCESS
   +0x000 Pcb              : _KPROCESS
   +0x160 ProcessLock      : _EX_PUSH_LOCK					//只锁EPROCESS
   +0x168 CreateTime       : _LARGE_INTEGER					//创建时间
   +0x170 ExitTime         : _LARGE_INTEGER					//退出时间
   +0x178 RundownProtect   : _EX_RUNDOWN_REF				//进程锁
   +0x180 UniqueProcessId  : Ptr64 Void						//PID
   +0x188 ActiveProcessLinks : _LIST_ENTRY					//进程链表
   +0x198 ProcessQuotaUsage : [2] Uint8B					//性能统计
   +0x1a8 ProcessQuotaP
最低0.47元/天 解锁文章
Mikasys
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows内核驱动EPROCESS遍历进程模块
12-14
"EPROCESS遍历进程模块"这个主题涉及到的是如何在内核驱动中获取并遍历当前系统中所有进程的加载模块信息。EPROCESS结构体在Windows内核中代表一个进程,而模块则是进程执行时加载的动态链接库(DLL)或其他可执行...
进程结构体EPROCESS
maomao171314的专栏
02-01 2138
1、进程结构体EPROCESS 每个windows进程在0环都有一个对应的结构体:EPROCESS 这个结构体包含了进程所有重要的信息。 kd> dt _EPROCESS +0x000 Pcb : _KPROCESS +0x078 ProcessLock : _EX_PUSH_LOCK +0x080 CreateTime : _LARGE_INTEGER +0x088 ExitTime : _LARG...
EPROCESS 结构
热门推荐
swanabin的专栏
07-05 1万+
每个进程都有一个 EPROCESS 结构,里面保存着进程的各种信息,和相关结构的指针。EPROCESS 结构位于系统地址空间,所以访问这个结构需要有ring0的权限。使用 Win2k DDK 的 KD (内核调试器)我们可以得到 EPROCESS 结构的定义。注意下面的是 Win2k Build 2195 下的 EPROCESS 结构定义。 kd> !strct eprocess !s
通过遍历系统句柄信息(SystemHandleInformation),获取系统进程和当前进程的eprocess
pureman_mega的博客
11-23 1万+
实验环境:win10 1909 64 参考:https://blog.csdn.net/qinlicang/article/details/4489727 首先,获取系统的句柄信息;然后,在句柄信息表中进行搜索,通过数据结构进行匹配;最后,确定系统进程和当前进程的eprocess; 主要数据结构如下: typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO { USHORT UniqueProcessId; USHORT CreatorBack
进程线程 1.EPROCESS进程隐藏
Mikasys的博客
11-05 1389
一、EPROCESS结构体 EPROCESS结构 kd> dt _EPROCESS ntdll!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime : _LARGE_INTEGER +0x078 ExitTime : _LARGE_INTEGER +0x080 RundownProtect
进程线程001 进程线程结构体和KPCR
鬼手的博客
12-26 1227
文章目录前言EPROCESSKPROCESS主要成员EPROCESS其他成员ETHREADKTHREAD主要成员介绍ETHREAD其他成员介绍KPCRKPCR介绍_NT_TIB主要成员介绍KPCR的其他成员介绍KPRCB成员介绍KPRCB成员介绍 前言 进程线程的知识点很多,如果我们想了解问题的本质,就要从一些关键的结构体学起,先来介绍一个与进程密切相关的结构体 EPROCESS 每个进程在零环都...
隐藏保护进程源码
10-18
在IT领域,尤其是系统安全和逆向工程中,"隐藏保护进程源码"是一个非常吸引人的主题。这里的“隐藏”和“保护”通常指的是通过技术手段使得特定进程操作系统中变得不可见,同时防止被其他恶意软件或者调试工具检测...
易语言隐藏进程模块
08-16
易语言隐藏进程模块源码 系统结构:隐藏进程,用保护型打开进程,提升进程权限,写物理内存,读物理内存,取进程EProcess,十六文本至长整数,取字节集指针_,NtSystemDebugControl,取自进程ID,关闭系
易语言枚举隐藏进程
08-21
易语言枚举隐藏进程源码系统结构:枚举进程,提升进程权限,提升进程权限,隐藏进程,取进程EProcess,十六文本至长整数,读物理内存,写物理内存,CreateToolhelp32Snapshot,Process32First,Process32Next,C
通过摘除EPROCESS隐藏系统进程
11-30
"通过摘除EPROCESS隐藏系统进程"是一种高级的恶意软件技术,用于使恶意进程在系统中变得不可见,以此躲避安全软件的检测。这种方法涉及到对Windows内核的深入理解和对系统调用的熟练操作。 首先,我们要理解...
Win10下的_EPROCESS结构记录
WorryFree
11-30 2256
kd> dt _EPROCESS ntdll!_EPROCESS +0x000 Pcb : _KPROCESS 内嵌的内核进程结构体 +0x2e0 ProcessLock : _EX_PUSH_LOCK 自旋锁 用于保护EPROCESS数据成员的同步 +0x2e8 UniqueProcessId : Ptr64 Void 进程的唯一PID +0x2f0 ActiveProcessLinks :
EPROCESS进程全路径
SomeTimes
01-21 5459
Windows内核中通过PEPROCESS获取进程全路径。
PID & PEPROCESS & HANDLE 相互间转换
anjiao_1989的专栏
04-04 1193
PID & PEPROCESS & HANDLE 相互间转换 from \ to PID PEPROCESS HANDLE PID PsLookupProcessByProcessId PEPROCESS PsGetProcessId ObOpenObjectByPointer HANDLE ObReferenceObjectByHandle ...
获得进程的EPROCESS
Kendiv's Box
01-31 5551
获得进程的EPROCESS发布日期:2004-06-02文摘内容: 文摘出处:http://www.xfocus.net/articles/200406/706.html创建时间:2004-06-01文章属性:原创文章提交:MustBE (zf35_at_citiz.net)By [I.T.S]SystEm32Welcome to our web site http://itaq.ynpc
(EPROCESS/KPROCESS/ETHREAD/KTHREAD)进程与线程内核层中的结构
weixin_45678798的博客
07-27 1470
现代操作系统通过中央处理器进行任务执行的操作,通过把时间细分,在适当的时间粒度上轮流执行任务,每个任务都有机会进行执行。通过这种方式用户会认为系统的任务是在同时进行的,这种并行方式被称为伪并行,当然如果存在多个处理器,也可变成真并行。...........................
EPROCESS遍历进程
For Geek
05-07 1996
Windows为每一个进程都安排了一个EPROCESS的结构用于维护每一个进程,当然EPROCESS是属于内核管理的,所以只有ring0层的程序才可以访问这个结构,下面我们来看一下EPROCESS的结构是怎样的。 kd> dt _eprocess ntdll!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessL...
再谈进程PID相同的深入探究
sunxuns
04-08 1546
  创建时间:2005-04-21 更新时间:2005-04-21文章属性:原创文章提交:sunwear (btwlu_at_163.com)再谈进程PID相同的深入探究作者:sunwear [E.S.T]shellcoder@163.comhttp://blog.csdn.net/s
基于进程 EPROCESS - ActiveProcessLists 枚举进程,并通过摘链隐藏进程
LYSM
06-24 764
实现原理 进程 EPROCESS 结构存储着进程一切信息,所以这个结构体很庞大,而且,不同系统, EPROCESS 结构定义也不相同,它里面的一些成员的偏移也不是固定一成不变的。 可使用函数 PsGetCurrentProcess 获取当前进程结构 EPROCESS; PsGetProcessId 从 EPROCESS 结构中获取进程的 PID 信息;使用 PsGetProcessImageFileName 函数,从 ERPROCESS 结构中获取进程的名称信息。 其中,EPROCESS 结构中的成员 Ac
冰刃初步使用图解(Win7 64位)
bcbobo21cn的专栏
04-18 1万+
1 运行 运行,原来是胡哥所作;胡哥真是棒; 2 查看进程;多了EPROCESS列 每个进程都有一个 EPROCESS 结构,里面保存着进程的各种信息,和相关结构的指针。EPROCESS 结构位于系统地址空间,所以访问这个结构需要有ring0的权限。使用 Win2k DDK 的 KD (内核调试器)我们可以得到 EPROCESS 结构的定义。 3 查看驱动 可看到
Windows C语言驱动遍历进程获取进程参数
最新发布
05-30
要在Windows C语言驱动程序中遍历进程并获取进程参数,可以使用以下步骤: 1. 获取当前进程的EPROCESS结构体指针,可以使用PsGetCurrentProcess函数。 2. 使用PsLookupProcessByProcessId函数遍历系统中所有的进程并获取每个进程的EPROCESS结构体指针。 3. 遍历每个进程的双向链表来获取进程参数,可以使用以下代码: ``` PEB* peb = PsGetProcessPeb(Process); // 获取进程的PEB结构体指针 RTL_USER_PROCESS_PARAMETERS* params = peb->ProcessParameters; // 获取进程参数结构体指针 UNICODE_STRING imagePath = params->ImagePathName; // 获取进程的可执行文件路径 ``` 注意:在驱动程序中访问用户空间的数据需要使用特殊函数,如ProbeForRead和ProbeForWrite,以确保内存访问的安全性。此外,要在驱动程序中进行此类操作需要管理员权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值