驱动-进程

最新推荐文章于 2021-12-10 21:38:45 发布
最新推荐文章于 2021-12-10 21:38:45 发布
阅读量191 收藏
点赞数
文章标签: 驱动程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chengtoreal/article/details/114678323
版权

进程结构体EPROCESS一个进程一个
在这里插入图片描述

EPROCESS

  • EPROCESS的第一个成员KPROCESS
  • 0xa0、0xa8 CREATETIME、EXITTIME 创建时间、退出时间
  • 0x0b4 UniqueProcessId 当前进程PID
  • 0x0b8 ActiveProcessLinks 所有的活动进程的双向链表
  • 0x0ec DebugPort 0x0f0 ExceptionPort 调试信息 DebugPort清0后无法调试
  • 0x0f4 ObjectTable 句柄表
  • 0x16c ImageFileName 进程名
  • 0x188 ThreadListHead 当前进程的线程链表
  • 0x198 ActiveThreads 当前进程有多少活动的线程
  • 0x1a8 PEB
  • 0x278 VadRoot 标识进程哪些地址被占用了

KPROCESS

在这里插入图片描述

  • 只要结构体有DISPATCHER_HEADER就能被等待
  • 0x18 DIRECTORYTABLEBASE,页目录表基址
  • 0x2c ThreadListHead 线程链表
  • 0x38 Affinity 规定进程在哪个核跑,总共32位,对应32核,设置对应位为1即可,如果只有4核,只设置第6位为1,就是死进程
  • 0x60 BasePriority 默认优先级
  • 0X88、0X8C 统计信息,记录在3环、0环跑了多长时间
chengtoreal
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux驱动创建进程,手把手教你创建Linux设备驱动和应用程序
weixin_42298352的博客
04-29 381
通过前面两篇文章我们不仅创建的自定义IP模块还移植了Linux操作系统,今天这篇文章的内容是将这两部分联系起来,其实我们创建的myLed IP相对于Linux操作系统可以是它的一个底层设备,因为PS总线为myLed IP分配了寻址地址,这样我们就可以创建myLed IP模块的硬件驱动,然后搭建应用程序,实现软硬件协同设计。当然开始之前还需要大家了解一下Linux驱动的基础知识,以及Makefile...
linux驱动创建进程,Linux 驱动程序开发步骤与过程(ARM平台) -- 之二
weixin_31008279的博客
04-29 334
X86平台下编译,操作,运行:Linux驱动程序:一> 1.建立一个firstqd目录,在此目录建立驱动设备源文件(.C文件)firstqd.c ,2.在同一目录下建立Makefile文件3.同一目录建立驱动设备测试源文件(.C 文件)test.c4.以上三文件建立并编写完毕后.在该目录下用make 命令进行编译,如果没有错误就会生成.ko文件以及一些中间文件.二>在/proc/dev...
linux驱动创建进程,编写Linux驱动八步骤
weixin_42434656的博客
04-29 333
一、建立Linux驱动框架(装载、卸载Linux驱动)Linux内核在使用驱动时首先要装载驱动,在装载过程中进行一些初始化动作(建立设备文件、分配内存等),在驱动程序中需提供相应函数来处理驱动初始化工作,该函数须使用module_init宏指定;Linux系统在退出是需卸载Linux驱动,卸载过程中进行一些退出工作(删除设备文件、释放内存等),在驱动程序中需提供相应函数来处理退出工作,该函数须使用...
驱动监控进程创建
06-03 1923
作 者: hljleo时 间: 2008-05-31,12:32链 接: http://bbs.pediy.com/showthread.php?t=65772这是我在http://www.codeproject.com .学习时看到的一个驱动程序,学习后对其整理的笔记下面这个驱动程序的作用:监控准备运行的可执行文件。(由用户决定是不是让它运行)所以我们要做以下工作:首先是修改(NtCreateS
WFP驱动--进程规则拦截
03-20
**Windows Filtering Platform (WFP) 驱动——进程规则拦截技术详解** Windows Filtering Platform(WFP)是微软从Windows Vista开始引入的一种强大的系统级过滤框架,它允许开发者创建内核驱动程序来拦截和控制...
原版win10-进程保护驱动源码_c_保护驱动_进程保护_win10驱动保护_win10进程保护
09-11
Win10-进程保护驱动源码项目,正如其标题所示,是专门针对Windows 10操作系统设计的,旨在提供一种驱动级别的保护机制,以确保应用程序的安全运行。本文将深入探讨这个项目的核心概念、技术实现以及它在Windows 10...
易语言-易语言驱动隐藏进程
06-25
在易语言中,“驱动隐藏进程”是一个高级技术主题,通常涉及到系统底层操作和进程管理。 在Windows操作系统中,驱动程序是操作系统与硬件设备之间的桥梁,它们运行在内核模式下,具有较高的权限。而隐藏进程则是指...
易语言驱动进程保护
08-21
易语言驱动进程保护源码系统结构:取变量地址_整数型_,驱动程序通信_,CreateFileA,DeviceIoControl,CloseHandle,FindWindowA,GetForegroundWindow,GetCurrentProcessId, ======程序集1 || ||------_启动子程序 || ||-...
驱动进程保护
05-22
驱动进程保护是计算机安全领域中的一个重要概念,主要目的是防止恶意软件篡改或终止关键系统进程。在Windows操作系统中,驱动进程保护通常涉及到系统内核层的编程,以确保核心服务的安全运行。以下是对这个主题的...
Windows 驱动阻止进程创建
a907763895的专栏
10-19 5333
windows Vista及以后版本可以使用PsSetCreateProcessNotifyRoutineEx函数检测到进程创建和退出,当进程创建时什么回调函数中的参数的成员CreateStatus为不成功的值即可阻止进程创建,但是一般会弹出一个对话框,这个不太友好,解决的办法是 设置CreateStatus为STATUS_ACCESS_DISABLED_NO_SAFER_UI_BY_POLICY
驱动实验一(第一个驱动程序创建
个人笔记
12-10 618
第一个驱动程序 创建驱动 1.创建工程 2.添加源文件 3.MyDriver1 Package可选择性移除,不影响功能。 4.配置调整不必要的属性 C/C++ 5.main.c源码 #include<ntddk.h> VOID nothing(HANDLE ppid, HANDLE mypid, BOOLEAN bcreate) { DbgPrint("ProcessNotify\n"); } VOID DrvUnload(PDRIVER_OBJECT pdriver) { Db
Windows下创建进程-CreateProcess()
热门推荐
夜、醉梦红尘
11-27 3万+
函数说明: CreateProcess是Windows下用于创建进程的API函数,用来创建一个新的进程和它的主线程,这个新进程运行指定的可执行文件。 函数原型: BOOL CreateProcess (     LPCTSTR lpApplicationName,             LPTSTR lpCommandLine,             LPSECURITY_ATT
【linux】驱动程序创建和读写进程文件
IWTG 专栏
04-05 861
代码框架如下, my_proc_file_read,my_proc_file_write等完整代码参见http://download.csdn.net/detail/iwtg/5222961 static struct proc_dir_entry *my_proc_entry; static char *cookie_pot; // Space for my_proc_file
进程结构体和线程结构体
kernweak的博客
05-03 1136
首先说明这分析的是XP系统,WIN7每个单元偏移略有差距 进程结构体EPROCESS 每个windows进程在0环都有一个对应的结构体:EPROCESS 这个结构体包含了进程所有重要的信息。 PEB在3环,EPROCESS在0环。 KPROCESS主要成员介绍 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23...
附加进程的作用→_→
weixin_30399055的博客
05-11 396
作用一:调试已发布的网站。 例如:我们将网站部署到IIS上面了,然后我们想调试。这时可以在 vs中打上断点,然后将运行的网站附加到进程,即可调试。 作用二:调试 启动时选择“开始执行(不调试的)”。这时我们可以打上断点,然后将IIS Express附加到进程即可。 引入CSDN坛友的一句话:一般的调试是程序运行之前就先启动调试,类似从汽车站上汽车。 附加到进程(Attachtop...
遍历进程活动链表(ActiveProcessLinks)、DKOM隐藏进程
08-11 230
1.EPROCESS结构体 EPROCESS块来表示。EPROCESS块中不仅包含了进程相关了很多信息,还有很多指向其他相关结构数据结构的指针。例如每一个进程里面都至少有一个ETHREAD块表示的线程。进程的名字,和在用户空间的PEB(进程环境)块等等。EPROCESS中除了PEB成员块在是用户空间,其他都是在系统空间中的。 2.查看EPROCESS结构 kd> dt_e...
驱动中获取进程名的正确方法
求索
04-29 6865
这是个古老的话题,没有技术含量,只不过看到网上很多驱动代码在获取进程名时总喜欢去读偏移 EPROCESS.ImageFileName,感觉比较误导新人。 这个方法其实很不科学,硬编码偏移带来的兼容性问题以及16字节截断的问题(Win7过后是15字节)就不用说了,关键是这个 EPROCESS.ImageFileName 其实并不靠谱。 咱们可以做个实验,随便打开一个程序,比如记事本notep
windows 驱动程序创建进程
最新发布
07-28
在 Windows 驱动程序创建进程可以使用 ZwCreateProcess 或 NtCreateProcess 函数。这两个函数是内核级函数,可以在驱动程序中使用。 下面是一个简单的示例代码,展示了如何在驱动程序中使用 ZwCreateProcess 函数...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值