Windows驱动学习笔记之三 驱动枚举进程(WIN64)

最新推荐文章于 2022-10-22 09:51:42 发布
最新推荐文章于 2022-10-22 09:51:42 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: 驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iceamber2012/article/details/25298141
版权
本文介绍了在Windows 64位驱动中枚举进程时应注意的两个关键点:避免显示已退出的进程,以及正确获取完整进程名称。通过检查_EPROCESS结构的EXITTIME和ObjectTable字段来判断进程状态,同时指出PsGetProcessImageFileName可能截断长进程名。建议使用_EAUDIT_PROCESS_CREATION_INFO和相关API获取全路径,并转换为DOS路径。
摘要由CSDN通过智能技术生成


WIN64 驱动下枚举进程实际是最简单的,网上流传的版本很多(跟32位没什么区别),其实都是是获取 _EPROCESS,通过_EPROCESS来获取系统的所有进程。

这里只想说对于新手要注意两点:

                    1.是别把已经退出的进程也给显示出来

                        _EPROCESS->EXITTIME   注意这个可以判断进程是否已经退出 ,退出就没必要再显示了,直接忽略掉

                        _EPROCESS->ObjectTable 这个也是判断进程是否退出的好方法,如果进程真的完全死掉了,这位为NULL,但这个对于系统空闲进程(Idle)不能这么判断,Idle也为NULL,但EXITTIME却不显示退出

                       最好是两个一起判断,因为EXITTIME也不完全保证(如果有人把这个值故意设置成退出呢?)

                    2.是PsGetProcessImageFileName不要用

                       对于新手来说有API直接返回固然是好事,但这个API对应的是_EPROCESS->ImageName[16],看到数组了吗?

                       最多只能16个字符啊,要是进程名子超过了肿么办呢,肯定取不全了,取一半肯定不是我们想要的。所以不建议使用这个API。

                       其实还有很多地方可以取,这里说一个

                        EProcess -> _SE_AUDIT_PROCE

最低0.47元/天 解锁文章
云海剑痴
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
驱动枚举进程
爱杀之爪的矩阵
03-14 1964
Driver.cpp // DriEnumProcess.cpp : Defines the entry point for the console application.//#include "Driver.h"#include "ntddk.h"#include #include "stdarg.h"#include "stdio.h"#include "ntddkbd.h"
易语言驱动枚举系统进程
07-15
易语言驱动枚举系统进程源码,驱动枚举系统进程,DriverEntry,驱动通信,DispatchCreateClose,驱动卸载,创建符号链接及设备,读内存,DbgPrint,DbgPrintInt,memcpy,IoCreateDevice,IoCreateSymbolicLink,RtlAnsiStringToUnicodeString,RtlInitAnsiString,RtlFr
[windows 驱动开发] r0 枚举进程
LYSM
04-12 537
#include "ntddk.h" typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation, // 0 SystemProcessorInformation, // 1 SystemPerformanceInformation, // 2 SystemTimeOfDayInformation,
windows 驱动实现进程枚举
全栈胖叔叔
05-08 967
因为最近有需求写windows平台下的发外挂模块,需要实现对进程的监控,其中一个线程需要匹配进程名,那么问题来了,这就需要获取所有进程名称。 在用户层ring3下,枚举进程的方法主要有: 1.CreateToolhelp32Snapshot 通过快照枚举,x86和x64,winxp-win10 均可获取到进程名称。 2.通过 Psapi.dll,LoadLibrary(“PSAPI.DLL”),调用其EnumProcesses()枚举进程,x86和x64,winxp-win10 均可获取到进程名称,但是这个
【转】Windows下如何枚举所有进程(含代码)
zdragon2002的专栏
01-03 1万+
Windows下如何枚举所有进程 Posted on 13:37:00 by 晓月 and filed under Coding, Windows, Windows Mobile   要编写一个类似于 Windows 任务管理器的软件,首先遇到的问题是如何实现枚举所有进程。暂且不考虑进入核心态去查隐藏进程一类的,下面提供几种方法。请注意每种方法的使用局限,比如使用这些 API 所需要的操作
苹果2013款A1466 笔记Win10驱动
09-23
苹果2013款A1466 笔记Win10驱动,仅提供驱动文件,不提供任何技术支持,请知悉。 CPU:i7 -5650U 内存:DDR3 8G 硬盘:SSD 256G 显卡:HD Graphics 6000 安装操作系统:Win10专业版 驱动安装请运行包内BootCamp...
索尼SVF152A25T笔记Win10驱动
12-24
索尼SVF152A25T笔记Win10驱动 仅提供驱动,不提供任何技术支持,请知悉; 压缩包内绝无任何垃圾流氓广告软件等内容,请放心下载; 驱动驱动精灵备份出来的,可直接用驱动精灵恢复驱动即可; 安装前请自己核对...
联想开天N70z G1d笔记Win10驱动
最新发布
01-25
联想开天N70z G1d笔记Win10驱动 压缩包内仅提供驱动,无任何垃圾流氓广告程序,放心下载; 本包含: 主 板 Lenovo ACPI-Compliant Virtual Power Controller 网 卡 Realtek RTL8852AE WiFi 6 802.11ax PCIe ...
Thinkpad笔记本 T470p Win7x64驱动程序
04-14
ThinkPad T470p是一款高性能的企业级笔记本电脑,它采用了强大的硬件配置,为了确保其在Windows 7 x64操作系统下的稳定运行,必须安装正确的驱动程序。驱动程序是计算机硬件与操作系统之间的桥梁,它们使得操作系统...
笔记本+win7下USB转串口驱动
11-04
笔记本+win7下USB转串口驱动 笔记本+win7下USB转串口驱动 具体方法看我blog中的一篇文章:http://blog.csdn.net/dreambegin/article/details/6937376
EnumDriver_Windows编程_驱动枚举_
10-04
驱动枚举驱动隐藏,驱动编程。枚举系统内所有驱动枚举后可实现断链
VC++实现枚举进程与模块
weixin_30547797的博客
10-24 224
#pragma once #define _WIN32_WINNT 0x0500 #include"windows.h" #include"tlhelp32.h" #include"stdio.h" #include"NativeApi.h" #include"wchar.h" #include"psapi.h"//SDK6.0 #pragma comment(lib,"psapi.lib"...
驱动开发:内核枚举进程与线程ObCall回调
热门推荐
CSDN
10-22 1万+
首先我们需要定义好结构体,结构体是微软公开的,如果有其它需要请自行去微软官方去查。线程回调,之所以放在一起来讲解是因为这两中回调在枚举是都需要使用通用结构体。中我们通过特征码定位实现了对注册表回调的枚举,本篇文章。的枚举,如果是想要输出线程句柄,则只需要替换代码中的。就可以拿到链表头结构,得到后将其解析为。代码部分的实现很容易,由于进程与。所以放在一起来讲解最好不过。运行这段驱动程序,即可得到。运行这段驱动程序,即可得到。将教大家如何枚举系统中的。即可,修改后的代码如下。的枚举很容易,直接通过。
枚举进程模块
qq_41490873的博客
08-25 311
winternl.h中定义了PEB 和TEB typedef struct _PEB_LDR_DATA { BYTE Reserved1[8]; PVOID Reserved2[3]; LIST_ENTRY InMemoryOrderModuleList; } PEB_LDR_DATA, *PPEB_LDR_DATA; typedef struct _LDR_DATA_TABLE_ENTRY { PVOID Reserved1[2]; LIST_ENTRY InM
x64驱动 遍历 PspCidTable 枚举进程和线程
LYSM
06-05 2844
介绍 PspCidTable 是一个内核句柄表,存放进程和线程的内核对象(EPROCESS 和 ETHREAD),并通过 PID 和 TID 进行索引(所以进程ID和线程ID不可能相同),ID 号以 4 递增。 获取 PspCidTable 地址 win7: PsLookupProcessByProcessId(被导出) -> PspCidTable win10: PsLookupProcessByProcessId(被导出) -> PspReferenceCidTableEntry -&g
枚举windows进程
JoeBlackZQQ的专栏
11-22 998
 将当前运行的进程列举出来(C++ Code): #include#include//#include #includeusing namespace std;int main(){    int count=0;    PROCESSENTRY32 pe32;    //使用这个数据之前设置大小    pe32.dwSize=sizeof(pe32);    HANDLE hProc
Win64 驱动内核编程-25.X64枚举和隐藏内核模块
天使也掉毛
03-26 4685
X64枚举和隐藏内核模块     在 WIN64 上枚举内核模块的人方法:使用 ZwQuerySystemInformation 的第 11 号功能和枚举 KLDR_DATA_TABLE_ENTRY 中的 InLoadOrderLinks 双向链表;隐藏内核模块的通用方法是把指定的驱动对象从 KLDR_DATA_TABLE_ENTRY中的 InLoadOrderLinks 双向链表上摘除。 X
驱动内Enum所有进程和线程
weixin_34265814的博客
04-22 368
#ifdef __cplusplus extern "C" { #endif #include <ntddk.h> #ifdef __cplusplus } #endif #define PROCESSNAME_OFFSET 0x174 #define NTOPENPROCESS_SIGN 0x7a #define NTOPENPROCES...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值