枚举进程(1)——遍历通过EPROCESS结构的ActiveProcessLinks链表

最新推荐文章于 2021-11-30 10:35:26 发布
最新推荐文章于 2021-11-30 10:35:26 发布
阅读量4.3k 收藏 9
点赞数
分类专栏: 写几个驱动练练手 文章标签: build exception null file list struct
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beijixing2003/article/details/2514431
版权 
#define EPROCESS_SIZE		1
#define PEB_OFFSET			2
#define FILE_NAME_OFFSET		3
#define PROCESS_LINK_OFFSET		4
#define PROCESS_ID_OFFSET		5
#define EXIT_TIME_OFFSET		6

typedef ULONG	DWORD ;

typedef struct _PROCESS_INFO {
	DWORD	dwProcessId ;
	PUCHAR	pImageFileName ;
} PROCESS_INFO, *PPROCESS_INFO ;

DWORD GetPlantformDependentInfo ( DWORD dwFlag )
{ 
	DWORD current_build; 
	DWORD ans = 0; 

	PsGetVersion(NULL, NULL, ¤t_build, NULL); 

	switch ( dwFlag )
	{ 
	case EPROCESS_SIZE: 
		if (current_build == 2195) ans = 0 ;		// 2000,当前不支持2000,下同
		if (current_build == 2600) ans = 0x25C;		// xp
		if (current_build == 3790) ans = 0x270;		// 2003
		break; 
	case PEB_OFFSET: 
		if (current_build == 2195)	ans = 0; 
		if (current_build == 2600)	ans = 0x1b0; 
		if (current_build == 37
最低0.47元/天 解锁文章
beijixing2003
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
EPROCESS 结构体属性介绍
hambaga的博客
03-10 2031
typedef struct _EPROCESS { // KPROCESS 和 EPROCESS 地址相同 KPROCESS Pcb; // // Lock used to protect: // The list of threads in the process. // Process token. // Win32 process field. // Process and thread affinity setting. /
(EPROCESS/KPROCESS/ETHREAD/KTHREAD)进程与线程内核层中的结构
weixin_45678798的博客
07-27 1369
现代操作系统通过中央处理器进行任务执行的操作,通过把时间细分,在适当的时间粒度上轮流执行任务,每个任务都有机会进行执行。通过这种方式用户会认为系统的任务是在同时进行的,这种并行方式被称为伪并行,当然如果存在多个处理器,也可变成真并行。...........................
_EPROCESS断链 —— 实现进程内核隐藏
walker的博客
03-06 2283
我们可以利用 _EPROCESS 结构体中的 ActiveProcessLinks 双向链表遍历进系统中的进程,并将特定进程从该双向链表中移除,以达到隐藏特定进程的目的。 _EPROCESS _EPROCESS 结构体是内核用于管理和维护进程结构体,每个进程都会有一个属于自己的结构体。同一个程序创建了多个进程,其就会有对应个数的 _EPROCESS 。 _EPROCESS结构如下: kd> dt _EPROCESS nt!_EPROCESS +0x000 Pcb
Win10下的_EPROCESS结构记录
WorryFree
11-30 2171
kd> dt _EPROCESS ntdll!_EPROCESS +0x000 Pcb : _KPROCESS 内嵌的内核层进程结构体 +0x2e0 ProcessLock : _EX_PUSH_LOCK 自旋锁 用于保护EPROCESS数据成员的同步 +0x2e8 UniqueProcessId : Ptr64 Void 进程的唯一PID +0x2f0 ActiveProcessLinks :
进程结构体EPROCESS
maomao171314的专栏
02-01 2086
1、进程结构体EPROCESS 每个windows进程在0环都有一个对应的结构体:EPROCESS 这个结构体包含了进程所有重要的信息。 kd> dt _EPROCESS +0x000 Pcb : _KPROCESS +0x078 ProcessLock : _EX_PUSH_LOCK +0x080 CreateTime : _LARGE_INTEGER +0x088 ExitTime : _LARG...
Windows内核驱动EPROCESS遍历进程模块
12-14
这可以通过遍历全局的进程链表(PsActiveProcessHead)来实现。每个进程都有一个EPROCESS结构,它们通过链表链接在一起。 2. **访问EPROCESS结构**:遍历过程中,对每个EPROCESS结构进行检查。结构中的` Peb `...
EPROCESS_ActiveProcessLinks.rar_eprocess.h_ntddk.h
09-14
这个EPROCESS结构在ntddk.h中有定义,但是并未给出具体的结构,因此要得到EPROCESS中一些重要的成员变量,只能通过偏移的方法,比如PID,ImageName等.这些偏移可以在Windbg中dt _EPROCESS得到,但是不公开感觉还是不...
基于EPROCESS结构中双向链表进程检测方法
02-21
通过遍历EPROCESS结构的双向链表,我们可以实现以下功能: 1. **进程枚举**:列出系统中所有运行的进程,包括进程ID、进程名、用户权限等。 2. **进程监控**:实时监控进程的创建、退出、挂起和恢复等事件。 3. **...
易语言枚举隐藏进程
08-21
易语言枚举隐藏进程源码系统结构:枚举进程,提升进程权限,提升进程权限,隐藏进程,取进程EProcess,十六文本至长整数,读物理内存,写物理内存,CreateToolhelp32Snapshot,Process32First,Process32Next,C
NT下进程枚举.rar
04-05
2. **进程结构体**:在Windows NT中,进程由多个数据结构表示,如`EPROCESS`和`PEB`(Process Environment Block)。`EPROCESS`包含了进程的各种状态和属性,而`PEB`是每个进程的全局信息存储区。 3. **权限与访问...
基于进程 EPROCESS - ActiveProcessLists 枚举进程,并通过摘链隐藏进程
LYSM
06-24 740
实现原理 进程 EPROCESS 结构存储着进程一切信息,所以这个结构体很庞大,而且,不同系统, EPROCESS 结构定义也不相同,它里面的一些成员的偏移也不是固定一成不变的。 可使用函数 PsGetCurrentProcess 获取当前进程结构 EPROCESS; PsGetProcessId 从 EPROCESS 结构中获取进程的 PID 信息;使用 PsGetProcessImageFileName 函数,从 ERPROCESS 结构中获取进程的名称信息。 其中,EPROCESS 结构中的成员 Ac
再谈进程PID相同的深入探究
sunxuns
04-08 1532
  创建时间:2005-04-21 更新时间:2005-04-21文章属性:原创文章提交:sunwear (btwlu_at_163.com)再谈进程PID相同的深入探究作者:sunwear [E.S.T]shellcoder@163.comhttp://blog.csdn.net/s
EPROCESS 结构
热门推荐
swanabin的专栏
07-05 1万+
每个进程都有一个 EPROCESS 结构,里面保存着进程的各种信息,和相关结构的指针。EPROCESS 结构位于系统地址空间,所以访问这个结构需要有ring0的权限。使用 Win2k DDK 的 KD (内核调试器)我们可以得到 EPROCESS 结构的定义。注意下面的是 Win2k Build 2195 下的 EPROCESS 结构定义。 kd> !strct eprocess !s
执行体进程--EPROCESS
BpLife
12-08 1338
执行体层位于内核层之上,它侧重于提供各种管理策略,同时为上层应用层程序提供基本的功能接口。 // Process structure. // // If you remove a field from this structure, please also // remove the reference to it from within the kernel debugger // (nt\p
EPROCESS
07-28 192
typedef struct _EPROCESS { KPROCESS Pcb; // // Lock used to protect: // The list of threads in the process. // Process token. // Win32 process field. // Process and thread affinity set...
遍历_EPROCESS->ActiveProcessLinks链表枚举进程
125096
06-18 1038
#include UCHAR * PsGetProcessImageFileName(__in PEPROCESS Process); HANDLE PsGetProcessInheritedFromUniqueProcessId(__in PEPROCESS Process); VOID HelloDDKUnload(IN PDRIVER_OBJECT pDriverObject) {
_EPROCESS结构简单了解!
创造神话,实现梦想!
08-13 9728
lkd> dt _EPROCESS nt!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime
遍历_EPROCESS->SessionProcessLinks链表枚举进程
125096
06-19 717
#include #include UCHAR * PsGetProcessImageFileName(__in PEPROCESS Process); HANDLE PsGetProcessInheritedFromUniqueProcessId(__in PEPROCESS Process); VOID HelloDDKUnload(IN PDRIVER_OBJECT pDrive
WIN7 进程隐藏 EPROCESS结构小结
rosykee的专栏
02-06 3274
win7下用windbg工具查看结构信息: ....... 在这个结构中有我们关心的两个数据,一个是偏移0x88处的ActiveProcessLinks,另一个是偏移0xc4处的ObjectTable。  ActiveProcessLinks是活动进程链表,它的作用就是把一个个的EPROCESS结构链接在一起。它是一个_LIST_ENTRY的结构类型: Flink是指向
eprocess存在进程内存中吗
最新发布
07-14
通过操作EPROCESS结构,操作系统内核能够管理和控制进程的行为,并提供对进程资源的访问和保护。 总之,EPROCESS结构存在于操作系统内核地址空间中,并由操作系统内核来维护和管理。应用程序无法直接访问或修改进程...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值