驱动开发-遍历进程

最新推荐文章于 2024-07-22 00:04:53 发布
最新推荐文章于 2024-07-22 00:04:53 发布
阅读量897 收藏
点赞数
分类专栏: 驱动 文章标签: 驱动开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/glc22/article/details/78273584
版权
理论来源:http://www.weixianmanbu.com/article/749.html

总结:
!Process 0 0   进程列表
dt _eprocess    ----提示无改命令时使用.reload /f nt
dt _eprocess 进程地址  --得到进程详细信息
DDFF进程地址+0x88  --得到下个进程地址结构指针
地址结构指针-0x88  --得到进程地址
dt _eprocess 地址结构指针-0x88  --得到进程详细信息

注:0x88  为XP所用

代码: --硬编码方式 
#pragma once
#include <ntifs.h>
#include <ntstrsafe.h>
 
//win7x86
#define FLINKOFFSET 0x00b8
#define PEBOFFSET 0x01a8
#define NAMEOFFSET 0x016c
#define PIDOFFSET 0x00b4

VOID EnumProcessInformations()
{
	//第一个进程环境块
	PEPROCESS eprocess_first = PsGetCurrentProcess();
	PLIST_ENTRY pTempList = (PLIST_ENTRY)((PUCHAR)eprocess_first + FLINKOFFSET);
	PEPROCESS eprocess = NULL;
	PUCHAR lpname = NULL;
	ULONG pID = 0;

	//用于调试  KdBreakPoint();
	while (eprocess != eprocess_first)
	{
		if (eprocess == NULL)
		{
			eprocess = (PEPROCESS)((PUCHAR)pTempList - FLINKOFFSET);
		}
		lpname = (PUCHAR)eprocess + NAMEOFFSET;

		pID = *(PULONG *)((ULONG_PTR)eprocess + PIDOFFSET);

		KdPrint(("process %s--%d\n", lpname, pID));

		pTempList = pTempList->Flink;

		eprocess = (PEPROCESS)((PUCHAR)pTempList - FLINKOFFSET);
	} 
 

} 
//卸载函数很简单
VOID unload(PDRIVER_OBJECT p)
{
	DbgPrint("UnloadDriver...");
} 
//驱动入口函数 
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver_Obj, PUNICODE_STRING pRegisterPath)
{

	DbgPrint("DriverEntry...");
	pDriver_Obj->DriverUnload = unload;

	DbgPrint("DriverName:%wZ RegisterPath:%wZ \n ",
		&pDriver_Obj->DriverName,
		pRegisterPath);

	//这里调用
	EnumProcessInformations();

	return STATUS_SUCCESS;
}

WIN7虚拟机效果:

宇文仲竹
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows内核驱动EPROCESS遍历进程模块
12-14
"EPROCESS遍历进程模块"这个主题涉及到的是如何在内核驱动中获取并遍历当前系统中所有进程的加载模块信息。EPROCESS结构体在Windows内核中代表一个进程,而模块则是进程执行时加载的动态链接库(DLL)或其他可执行...
易语言开发驱动-遍历Eprocess
11-21
总的来说,"遍历Eprocess"项目是一个有价值的易语言学习资源,对于想要深入学习易语言底层编程、驱动开发和Windows内核知识的开发者来说,提供了实战案例,有助于提升他们的技术水平。通过对源码的研究,开发者可以...
驱动保护进程_隐藏进程_遍历内核句柄
07-02
1、改进程PID,隐藏自己的进程 2、断链隐藏自己的进程,防PG ...5、遍历进程的句柄,并降低指定进程PID的句柄权限,里面有遍历内存进程和每个进程句柄的方法 6、操作debugport,防止调试或者使自己脱离调试,检测调试
10.遍历进程.mp4
09-10
windows x64位驱动程序开发 10.遍历进程
驱动层获取文件大小、遍历文件夹、创建文件
03-26
本文将详细讲解如何在驱动层获取文件大小、遍历文件夹、创建文件以及隐藏文件。 首先,驱动层获取文件大小是通过系统调用或IRP(I/O请求包)实现的。IRP是Windows操作系统中处理设备I/O请求的一种机制。当用户模式...
初学驱动开发-windows驱动-命令行编译环境
Fly_Sky
08-08 3955
1.下载并安装WDK7600 2.打开开始菜单Windows Driver Kits\WDK 7600.16385.1\... 3.(配置临时环境路径)新建setIncludeXP.bat编辑内容  其中paths值为wdk安装文件对应的一个是头文件,一个是库文件位置 set paths=D:\WinDDK\7600.16385.1\inc rem set include=%inclu
初学驱动开发-windows驱动-键盘过滤驱动
Fly_Sky
08-10 1059
在入口DriverEntry函数做主要操作 1.AttachSysDevice(pDriverObject, L"\\Device\\KeyboardClass0"); 2.取消关联驱动设备对象 pDriverObject->DriverUnload = DetachSysDevice; 3.添加IRP_MJ_READ并且参考代码实现DispatchRead 实例代码如下:
驱动开发-结束进程
Fly_Sky
10-18 526
在"遍历进程"的基础上做结束进程的操作: 参考:http://blog.csdn.net/u013761036/article/details/67768262 实现结束notepad.exe进程代码: #pragma once #include #include //win7x86 #define FLINKOFFSET 0x00b8 #define PEBOFFSET 0x01a
初学驱动开发-文件+注册表
Fly_Sky
06-23 391
在前几篇的基础上增加文件读写和注册表操作 主要由函数TestFile 和 TestReg 来实现 #ifdef __cplusplusextern "C"{#endif#include #ifdef __cplusplus}#endif #define PAGEDCODE code_seg("PAGE")#define LOCKEDCODE code_seg()#define INITC
16、基于共享内存二叉树的LRU
编程之道在明明德在亲民在止于至善
07-22 296
基于共享内存二叉树的LRU
7、核心:可扩展的共享内存数组结构-分块映射表和数组头
编程之道在明明德在亲民在止于至善
07-17 833
可扩展的共享内存数组结构-分块映射表和数组头
9、核心:共享内存的基础结构和动态增长实现(续)
编程之道在明明德在亲民在止于至善
07-18 474
核心:共享内存的基础结构和动态增长实现
BDD实践指南:Xcode中的行为驱动开发之道
2401_85341950的博客
07-21 826
BDD是一种软件开发技术,它强调以用户的行为和期望结果为中心来开发软件。通过使用Cucumberish框架,Xcode可以有效地支持BDD开发方法。本文详细介绍了BDD的基本概念、优势以及如何在Xcode中实现BDD,包括安装Cucumberish、编写.feature文件和Step Definitions、集成到Xcode测试以及自动化和持续集成。
Qemu virtio-blk 后端驱动开发 - PureFlash对接
winux的专栏
07-21 648
如何为qemu添加新的存储类型驱动
17、基于共享内存的链表
最新发布
编程之道在明明德在亲民在止于至善
07-22 244
基于共享内存的链表
RK3568笔记四十一:DHT11驱动开发测试
07-21 386
DHT11是串行接口(单线双向)DATA 用于微处理器与 DHT11之间的通讯和同步,采用单总线数据格式,一次通讯时间4ms左右,数据分小数部分和整数部分。
基于微信小程序的高校体育互动平台设计与实现
07-21
在当前移动互联网技术广泛渗透各行业的背景下,高校体育教育面临着新的发展机遇和挑战。本研究以满足学生多样化体育需求、促进高校体育信息化管理为目标,探索了利用微信小程序等现代技术的体育互动平台设计与实施。通过深入文献回顾和定性、定量研究方法,全面了解了高校学生的体育需求及现有技术解决方案。在微信小程序技术支持下,设计了功能全面、用户友好、安全性高的平台,并多次迭代优化。实际应用和评估显示,该平台为学生提供了信息发布、活动报名、成绩查询和互动交流等综合体育活动管理服务。数据分析表明,相较传统管理方式,平台显著提升了学生体育活动参与度,增强了锻炼意识,同时为教育工作者提供了高效便捷的管理工具。基于微信小程序的高校体育互动平台为体育教育带来新的研究方向和实践机遇,不仅满足学生需求,还为教育工作者提供了灵活、有效的管理工具。 建议高校体育部门深入合作,结合国家政策推广完善该平台,提供培训和技术支持,确保其广泛应用和推广。
机器学习Python实战-重庆理工大学编著 教学ppt
07-21
机器学习Python实战-重庆理工大学编著 全6章教学ppt(500+页)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值