驱动开发-遍历进程

最新推荐文章于 2023-11-17 09:22:06 发布
最新推荐文章于 2023-11-17 09:22:06 发布
阅读量897 收藏
点赞数
分类专栏: 驱动 文章标签: 驱动开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/glc22/article/details/78273584
版权
理论来源:http://www.weixianmanbu.com/article/749.html

总结:
!Process 0 0   进程列表
dt _eprocess    ----提示无改命令时使用.reload /f nt
dt _eprocess 进程地址  --得到进程详细信息
DDFF进程地址+0x88  --得到下个进程地址结构指针
地址结构指针-0x88  --得到进程地址
dt _eprocess 地址结构指针-0x88  --得到进程详细信息

注:0x88  为XP所用

代码: --硬编码方式 
#pragma once
#include <ntifs.h>
#include <ntstrsafe.h>
 
//win7x86
#define FLINKOFFSET 0x00b8
#define PEBOFFSET 0x01a8
#define NAMEOFFSET 0x016c
#define PIDOFFSET 0x00b4

VOID EnumProcessInformations()
{
	//第一个进程环境块
	PEPROCESS eprocess_first = PsGetCurrentProcess();
	PLIST_ENTRY pTempList = (PLIST_ENTRY)((PUCHAR)eprocess_first + FLINKOFFSET);
	PEPROCESS eprocess = NULL;
	PUCHAR lpname = NULL;
	ULONG pID = 0;

	//用于调试  KdBreakPoint();
	while (eprocess != eprocess_first)
	{
		if (eprocess == NULL)
		{
			eprocess = (PEPROCESS)((PUCHAR)pTempList - FLINKOFFSET);
		}
		lpname = (PUCHAR)eprocess + NAMEOFFSET;

		pID = *(PULONG *)((ULONG_PTR)eprocess + PIDOFFSET);

		KdPrint(("process %s--%d\n", lpname, pID));

		pTempList = pTempList->Flink;

		eprocess = (PEPROCESS)((PUCHAR)pTempList - FLINKOFFSET);
	} 
 

} 
//卸载函数很简单
VOID unload(PDRIVER_OBJECT p)
{
	DbgPrint("UnloadDriver...");
} 
//驱动入口函数 
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver_Obj, PUNICODE_STRING pRegisterPath)
{

	DbgPrint("DriverEntry...");
	pDriver_Obj->DriverUnload = unload;

	DbgPrint("DriverName:%wZ RegisterPath:%wZ \n ",
		&pDriver_Obj->DriverName,
		pRegisterPath);

	//这里调用
	EnumProcessInformations();

	return STATUS_SUCCESS;
}

WIN7虚拟机效果:

宇文仲竹
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
驱动开发:内核遍历进程VAD结构体
CSDN
10-13 1万+
树的每一个节点代表一段虚拟地址空间。程序中的代码段,数据段,堆段都会各种占用一个或多个。结构体,需要说明的是栈并不受VAD的管理。同样这是微软定义,如果想要的到最新的,自己下载WinDBG调试内核输入命令。内存块的属性,这个内存结构定义在WinDBG中可看到。结构的偏移值,每个系统都不一样,版本不同偏移值会不同。当需要得到该进程的VAD结构时,只需要使用。结构中可以找到VAD结构的相对偏移。可以看到在本系统中VAD的偏移是。头文件,并写入如下代码,此处的。来显示该进程的VAD树。结构树,这个结构通常在。
Windows内核驱动EPROCESS遍历进程模块
12-14
windows驱动 遍历进程模块
Win10下的_EPROCESS结构记录
WorryFree
11-30 2173
kd> dt _EPROCESS ntdll!_EPROCESS +0x000 Pcb : _KPROCESS 内嵌的内核层进程结构体 +0x2e0 ProcessLock : _EX_PUSH_LOCK 自旋锁 用于保护EPROCESS数据成员的同步 +0x2e8 UniqueProcessId : Ptr64 Void 进程的唯一PID +0x2f0 ActiveProcessLinks :
4.2 Windows驱动开发:内核中进程线程与模块
最新发布
CSDN
11-17 1万+
内核进程线程和模块是操作系统内核中非常重要的概念。它们是操作系统的核心部分,用于管理系统资源和处理系统请求。在驱动安全开发中,理解内核进程线程和模块的概念对于编写安全的内核驱动程序至关重要。内核进程是在操作系统内核中运行的程序。每个进程都有一个唯一的进程标识符(PID),它用于在系统中唯一地标识该进程。在内核中,进程被表示为一个进程控制块(PCB),它包含有关进程的信息,如进程状态、优先级、内存使用情况等。
VC实现进程遍历的四种方法
09-19 6113
方法一 第一种方法是大家比较熟悉的通过ToolHelp Service提供的API函数来实现。 这里用到了3个关键的函数:CreateToolhelp32Snapshot(),Process32First()和Process32Next()。下面给出了关于这三个函数的原形和
易语言开发驱动-遍历Eprocess
11-21
总的来说,"遍历Eprocess"项目是一个有价值的易语言学习资源,对于想要深入学习易语言底层编程、驱动开发和Windows内核知识的开发者来说,提供了实战案例,有助于提升他们的技术水平。通过对源码的研究,开发者可以...
驱动保护进程_隐藏进程_遍历内核句柄
07-02
1、改进程PID,隐藏自己的进程 2、断链隐藏自己的进程,防PG ...5、遍历进程的句柄,并降低指定进程PID的句柄权限,里面有遍历内存进程和每个进程句柄的方法 6、操作debugport,防止调试或者使自己脱离调试,检测调试
10.遍历进程.mp4
09-10
windows x64位驱动程序开发 10.遍历进程
驱动层获取文件大小、遍历文件夹、创建文件
03-26
本文将详细讲解如何在驱动层获取文件大小、遍历文件夹、创建文件以及隐藏文件。 首先,驱动层获取文件大小是通过系统调用或IRP(I/O请求包)实现的。IRP是Windows操作系统中处理设备I/O请求的一种机制。当用户模式...
EPROCESS 遍历进程 隐藏 保护
Mikasys的博客
10-20 823
0: kd> dt _KPROCESS nt!_KPROCESS +0x000 Header : _DISPATCHER_HEADER //dt _KEVENT +0x018 ProfileListHead : _LIST_ENTRY //任务管理器上的性能 +0x028 DirectoryTableBase : Uint8B //cr3 +0x030 ThreadListHead : _LIST_ENTRY //当前进程所有线程
支持2000以后系统的驱动,获取进程的详细信息如:用户名、进程全路径、进程名,获取隐藏进程信息
03-29
支持2000以上系统,主要是通过驱动层获取进程名称、全路径和用户名,能获取到隐藏的进程
x64驱动遍历 DPC 定时器
LYSM
05-22 761
目的 拿到类似于 PChunter 中的信息: 过程 首先,要拿到系统的 _KPRCB ,也就是 KiProcessorBlock 的地址: 我这里显示了 4 地址,这是因为我的 CPU 是 4 核 —— (垃圾电脑勿喷) 对于 KiProcessorBlock 这个 API , Windows 没有导出: 但是可以通过另一种办法获取到这个地址: // 获取特殊寄存器中的值,拿 _KPRCB ULONG64 PrcbAddress = (ULONG64)__readmsr(0xC0000101)
Windows 驱动:获取当前进程
IamRainLiang的专栏
01-25 6863
 这是一个比较简单的问题,在 REGON 的源码中可以找到实现的相关代码,我只是把它们整理封装了一下。//// Process name max length: by bytes// (This value is 16 bytes in RegMon) //#define MAX_PROC_NAME_LEN 256//// This is the offset into a KPEB of t
如何用windbg查看_eprocess结构
weixin_30340819的博客
05-15 709
打开菜单: File->Symbol File Path... 输入: C:/MyCodesSymbols; SRV*C:/MyLocalSymbols*http://msdl.microsoft.com/download/symbols 随便绑定一个进程,然后输入 dt _eprocess 转载于:https://www.cnblogs.com/IWings/p/685...
EPROCESS进程断链
SR0ad的涅盘地
10-24 2012
本身今天说写《Windows驱动开发技术详解》第六章的笔记,但是发现第六章无非是字符串、文件、注册表,其实没有必要抄书,之前写了写笔记,也能够尝试写一点小函数练练手的,就想自己写点小例子记作笔记也是OK的。今天用Windbg的dt命令查看字符串结构的时候,顺带查询了EPROCESS结构,PEB,TEB,_RTL_USER_PROCESS_PARAMETERS这些结构。 kd> dt _EPROC
【检测并遍历所有进程的线程信息】
congqiong6231的博客
07-05 228
为一个杀毒软件,必须扫描所有的进程的每一个线程,才能分析出病毒的行为! 下面我们演示下,基于Visual C++2010开发基于Windows7杀毒应用程序范例, 检测所有的进程线程信息 打开VS2010...
win7-32、驱动模块遍历驱动模块隐藏
Windows内核学习笔记
07-08 879
打印日志前缀,过滤掉不是我们的日志,只会显示我们自己的日志
Windows进程遍历
weixin_42071117的博客
10-12 791
// 进程遍历:获取计算机系统上运行的所有进程的信息,包括用户进程和系统进程。 // 进程遍历的方式有很多: // 1.通过进程快照。 // 2.使用ZwQuerySystemInformation函数。 // 3.使用EnumProcess函数。 // 4.通过PowerShell获取。 // 5.通过WMI方式获取。 // CreateToolhelp32Snapshot函数: // 功能:获取进程信息为指定的进程进程使用的堆、模块、线程,为其建立一个快照。 // 原型
x64驱动 遍历驱动模块
LYSM
07-02 2149
_LDR_DATA_TABLE_ENTRY(未导出) 以下是win10 1803(x64) 上的 _LDR_DATA_TABLE_ENTRY: lkd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY +0x000 InLoadOrderLinks : _LIST_ENTRY // 指向下一个 _LDR_DATA_TABLE_ENTRY 的 InLoadOrderLinks 成员 +0x010 InMemoryOrderL
软件开发词汇百科:关键术语解析
15. **Action**: 在用户界面或事件驱动编程中,动作通常指的是用户触发的事件或系统执行的操作。 16. **Activation**: 在软件安装或更新过程中,激活可能指软件授权的过程。 17. **Active**: 活跃的可以指进程、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值