进程结构体EPROCESS

最新推荐文章于 2023-03-19 20:33:19 发布
最新推荐文章于 2023-03-19 20:33:19 发布
阅读量2k 收藏
点赞数
分类专栏: Windows内核原理与实现 文章标签: EPROCESS KPROCESS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/maomao171314/article/details/113513621
版权

1、进程结构体EPROCESS

每个windows进程在0环都有一个对应的结构体:EPROCESS  这个结构体包含了进程所有重要的信息。

kd> dt _EPROCESS

   +0x000 Pcb              : _KPROCESS

   +0x078 ProcessLock      : _EX_PUSH_LOCK

   +0x080 CreateTime       : _LARGE_INTEGER

   +0x088 ExitTime         : _LARGE_INTEGER

   +0x090 RundownProtect   : _EX_RUNDOWN_REF

   +0x094 UniqueProcessId  : Ptr32 Void

   +0x098 ActiveProcessLinks : _LIST_ENTRY

   +0x0a0 QuotaUsage       : [3] Uint4B

   +0x0ac QuotaPeak        : [3] Uint4B

   +0x0b8 CommitCharge     : Uint4B

   +0x0bc PeakVirtualSize  : Uint4B

   +0x0c0 VirtualSize      : Uint4B

   +0x0c4 SessionProcessLinks : _LIST_ENTRY

   +0x0cc DebugPort        : Ptr32 Void

   +0x0d0 ExceptionPort    : Ptr32 Void

   +0x0d4 ObjectTable      : Ptr32 _HANDLE_TABLE

   +0x0d8 Token            : _EX_FAST_REF

   +0x0dc WorkingSetPage   : Uint4B

   +0x0e0 AddressCreationLock : _KGUARDED_MUTEX

   +0x100 HyperSpaceLock   : Uint4B

   +0x104 ForkInProgress   : Ptr32 _ETHREAD

   +0x108 HardwareTrigger  : Uint4B

   +0x10c PhysicalVadRoot  : Ptr32 _MM_AVL_TABLE

   +0x110 CloneRoot        : Ptr32 Void

   +0x114 NumberOfPrivatePages : Uint4B

   +0x118 NumberOfLockedPages : Uint4B

   +0x11c Win32Process     : Ptr32 Void

   +0x120 Job              : Ptr32 _EJOB

   +0x124 SectionObject    : Ptr32 Void

   +0x128 SectionBaseAddress : Ptr32 Void

   +0x12c QuotaBlock       : Ptr32 _EPROCESS_QUOTA_BLOCK

   +0x130 WorkingSetWatch  : Ptr32 _PAGEFAULT_HISTORY

   +0x134 Win32WindowStation : Ptr32 Void

   +0x138 InheritedFromUniqueProcessId : Ptr32 Void

   +0x13c LdtInformation   : Ptr32 Void

   +0x140 VadFreeHint      : Ptr32 Void

   +0x144 VdmObjects       : Ptr32 Void

   +0x148 DeviceMap        : Ptr32 Void

   +0x14c Spare0           : [3] Ptr32 Void

   +0x158 PageDirectoryPte : _HARDWARE_PTE_X86

   +0x158 Filler           : Uint8B

   +0x160 Session          : Ptr32 Void

   +0x164 ImageFileName    : [16] UChar

   +0x174 JobLinks         : _LIST_ENTRY

   +0x17c LockedPagesList  : Ptr32 Void

   +0x180 ThreadListHead   : _LIST_ENTRY

   +0x188 SecurityPort     : Ptr32 Void

   +0x18c PaeTop           : Ptr32 Void

   +0x190 ActiveThreads    : Uint4B

   +0x194 GrantedAccess    : Uint4B

   +0x198 DefaultHardErrorProcessing : Uint4B

   +0x19c LastThreadExitStatus : Int4B

   +0x1a0 Peb              : Ptr32 _PEB

   +0x1a4 PrefetchTrace    : _EX_FAST_REF

   +0x1a8 ReadOperationCount : _LARGE_INTEGER

   +0x1b0 WriteOperationCount : _LARGE_INTEGER

   +0x1b8 OtherOperationCount : _LARGE_INTEGER

   +0x1c0 ReadTransferCount : _LARGE_INTEGER

   +0x1c8 WriteTransferCount : _LARGE_INTEGER

   +0x1d0 OtherTransferCount : _LARGE_INTEGER

   +0x1d8 CommitChargeLimit : Uint4B

   +0x1dc CommitChargePeak : Uint4B

   +0x1e0 AweInfo          : Ptr32 Void

   +0x1e4 SeAuditProcessCreationInfo : _SE_AUDIT_PROCESS_CREATION_INFO

   +0x1e8 Vm               : _MMSUPPORT

   +0x230 MmProcessLinks   : _LIST_ENTRY

   +0x238 ModifiedPageCount : Uint4B

   +0x23c JobStatus        : Uint4B

   +0x240 Flags            : Uint4B

   +0x240 CreateReported   : Pos 0, 1 Bit

   +0x240 NoDebugInherit   : Pos 1, 1 Bit

   +0x240 ProcessExiting   : Pos 2, 1 Bit

   +0x240 ProcessDelete    : Pos 3, 1 Bit

   +0x240 Wow64SplitPages  : Pos 4, 1 Bit

   +0x240 VmDeleted        : Pos 5, 1 Bit

   +0x240 OutswapEnabled   : Pos 6, 1 Bit

   +0x240 Outswapped       : Pos 7, 1 Bit

   +0x240 ForkFailed       : Pos 8, 1 Bit

   +0x240 Wow64VaSpace4Gb  : Pos 9, 1 Bit

   +0x240 AddressSpaceInitialized : Pos 10, 2 Bits

   +0x240 SetTimerResolution : Pos 12, 1 Bit

   +0x240 BreakOnTermination : Pos 13, 1 Bit

   +0x240 SessionCreationUnderway : Pos 14, 1 Bit

   +0x240 WriteWatch       : Pos 15, 1 Bit

   +0x240 ProcessInSession : Pos 16, 1 Bit

   +0x240 OverrideAddressSpace : Pos 17, 1 Bit

   +0x240 HasAddressSpace  : Pos 18, 1 Bit

   +0x240 LaunchPrefetched : Pos 19, 1 Bit

   +0x240 InjectInpageErrors : Pos 20, 1 Bit

   +0x240 VmTopDown        : Pos 21, 1 Bit

   +0x240 ImageNotifyDone  : Pos 22, 1 Bit

   +0x240 PdeUpdateNeeded  : Pos 23, 1 Bit

   +0x240 VdmAllowed       : Pos 24, 1 Bit

   +0x240 SmapAllowed      : Pos 25, 1 Bit

   +0x240 CreateFailed     : Pos 26, 1 Bit

   +0x240 DefaultIoPriority : Pos 27, 3 Bits

   +0x240 Spare1           : Pos 30, 1 Bit

   +0x240 Spare2           : Pos 31, 1 Bit

   +0x244 ExitStatus       : Int4B

   +0x248 NextPageColor    : Uint2B

   +0x24a SubSystemMinorVersion : UChar

   +0x24b SubSystemMajorVersion : UChar

   +0x24a SubSystemVersion : Uint2B

   +0x24c PriorityClass    : UChar

   +0x250 VadRoot          : _MM_AVL_TABLE

   +0x270 Cookie           : Uint4B

 

 

2、EPROCESS的KPROCESS主要成员介绍

1)    +0x000 Header           : _DISPATCHER_HEADER

         “可等待”对象,比如Mutex互斥体、Event事件等(WaitForSingleObject)

2)    +0x018 DirectoryTableBase : [2] Uint4B

               页目录表的基址

3)    +0x020 LdtDescriptor    : _KGDTENTRY 

    +0x028 Int21Descriptor  : _KIDTENTRY

                历史遗留,16位Windows 段选择子不够 每个进程都有一个LDT表

               Int21Descriptor  是 DOS下要用的

4)    +0x038 KernelTime       : Uint4B

       +0x03c UserTime         : Uint4B

       统计信息 记录了一个进程在内核模式/用户模式下所花的时间

5)  +0x05c Affinity         : Uint4B

       规定进程里面的所有线程能在哪个CPU上跑,如果值为1,那这个进程的所以线程只能在0号CPU上跑(00000001)                           

如果值为3,那这个进程的所以线程能在0、1号CPU上跑(000000011)    

如果值为4,那这个进程的所以线程能在2号CPU上跑(000000100)  

如果值为5,那这个进程的所以线程能在0,2号CPU上跑(000000101)    

4个字节共32位  所以最多32核 Windows64位 就64核               

如果只有一个CPU 把这个设置为4 那么这个进程就死了

6)  +0x064 BasePriority     : Char

       基础优先级或最低优先级 该进程中的所有线程最起码的优先级.

 

其他成员:

1)    +0x080 CreateTime       : _LARGE_INTEGER              +0x078 ExitTime         : _LARGE_INTEGER

       进程的创建/退出时间

2)    +0x094 UniqueProcessId  : Ptr32 Void

       进程的编号 任务管理器中的PID

3)    +0x098 ActiveProcessLinks : _LIST_ENTRY

       双向链表 所有的活动进程都连接在一起,构成了一个链表。ActiveProcessLinks 断链可实现进程隐藏。

       PsActiveProcessHead指向全局链表头

4)    +0x090 QuotaUsage       : [3] Uint4B                         +0x09c QuotaPeak        : [3] Uint4B   

       物理页相关的统计信息

5)    +0x0a8 CommitCharge     : Uint4B                     

     +0x0ac PeakVirtualSize  : Uint4B                          

     +0x0b0 VirtualSize      : Uint4B

       虚拟内存相关的统计信息

6)    +0x11c VadRoot          : Ptr32 Void

       标识0-2G哪些地址没占用了

7)    +0x0bc DebugPort        : Ptr32 Void

       +0x0c0 ExceptionPort    : Ptr32 Void     

       调试相关

8)    +0x0c4 ObjectTable      : Ptr32 _HANDLE_TABLE

       句柄表

9)    +0x174 ImageFileName    : [16] UChar

       进程镜像文件名 最多16个字节

10)   +0x1a0 ActiveThreads    : Uint4B

       活动线程的数量

11)   +0x1b0 Peb              : Ptr32 _PEB

       PEB((Process Environment Block 进程环境块):进程在3环的一个结构体,里面包含了进程的模块列表、是否处于调试状态等信息。

 

maomao171314
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows内核驱动EPROCESS遍历进程模块
12-14
EPROCESS结构体在Windows内核中代表一个进程,而模块则是进程执行时加载的动态链接库(DLL)或其他可执行文件。 EPROCESS结构体是Windows内核中的核心数据结构之一,它包含了关于进程的各种信息,如进程ID、安全上...
get-EPROCESS.zip_EPROCESS
09-23
它的结构体包含了EPROCESS结构的地址,以及其他如进程可执行文件路径、进程是否为32位或64位等信息。 5. **C语言实现**:在提供的"获得本身进程的EPROCESS地址.c"文件中,程序员可能通过以下步骤获取EPROCESS地址:...
通过遍历系统句柄信息(SystemHandleInformation),获取系统进程和当前进程的eprocess
热门推荐
pureman_mega的博客
11-23 1万+
实验环境:win10 1909 64 参考:https://blog.csdn.net/qinlicang/article/details/4489727 首先,获取系统的句柄信息;然后,在句柄信息表中进行搜索,通过数据结构进行匹配;最后,确定系统进程和当前进程的eprocess; 主要数据结构如下: typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO { USHORT UniqueProcessId; USHORT CreatorBack
EPROCESS 遍历进程 隐藏 保护
Mikasys的博客
10-20 814
0: kd> dt _KPROCESS nt!_KPROCESS +0x000 Header : _DISPATCHER_HEADER //dt _KEVENT +0x018 ProfileListHead : _LIST_ENTRY //任务管理器上的性能 +0x028 DirectoryTableBase : Uint8B //cr3 +0x030 ThreadListHead : _LIST_ENTRY //当前进程所有线程
获得进程的EPROCESS
Kendiv's Box
01-31 5519
获得进程的EPROCESS发布日期:2004-06-02文摘内容: 文摘出处:http://www.xfocus.net/articles/200406/706.html创建时间:2004-06-01文章属性:原创文章提交:MustBE (zf35_at_citiz.net)By [I.T.S]SystEm32Welcome to our web site http://itaq.ynpc
(EPROCESS/KPROCESS/ETHREAD/KTHREAD)进程与线程内核层中的结构
weixin_45678798的博客
07-27 1355
现代操作系统通过中央处理器进行任务执行的操作,通过把时间细分,在适当的时间粒度上轮流执行任务,每个任务都有机会进行执行。通过这种方式用户会认为系统的任务是在同时进行的,这种并行方式被称为伪并行,当然如果存在多个处理器,也可变成真并行。...........................
驱动下通过进程PID获得进程名 (动态获取ImageFileName在EPROCESS结构体中的相对偏移)...
weixin_30828379的博客
01-31 856
思路   进程EPROCESS结构体中含有进程名ImageFileName(需求处ImageFileName在EPROCESS结构体中的相对偏移)——》获得进程EPROCESS——》通过进程句柄获得EPROCESS——》通过进程PID打开进程获得进程句柄 计算ImageFileName在EPROCESS结构体中的相对偏移     方法一 来个判断操作系统,再利用windbg调试得到相...
eprocess.zip_EPROCESS_eprocess结构体
09-24
在Windows操作系统中,EPROCESS结构体是内核级的数据结构,它代表了系统中的一个进程。这个结构体包含了关于进程的各种信息,如进程ID、内存分配、权限、句柄表等。当我们谈论“wrk中当前进程的EPROCESS结构体”时,...
EPROCESS_EPROCESS_Vc_
09-30
在Windows操作系统中,EPROCESS是内核级的数据结构,它代表了一个系统中的进程。这个结构体包含了关于进程的各种信息,如进程ID、内存分配、权限级别等。"EPROCESS_EPROCESS_Vc_"这个标题可能指的是对EPROCESS结构体...
获取EPROCESS.pdf
11-16
EPROCESS结构体是Windows操作系统中最重要的数据结构之一,它包含了进程的所有信息,如进程的句柄表、内存管理信息、文件管理信息等。 获取EPROCESS的方法有多种,例如使用 ZwQuerySystemInformation 函数获取所有...
_EPROCESS结构简单了解!
05-07 239
_EPROCESS结构简单了解! lkd>dt_EPROCESSnt!_EPROCESS+0x000Pcb:_KPROCESS+0x06cProcessLock:_EX_PUSH_LOCK+0x070CreateTime:_LARGE_INTEGER+0x078Exi...
34进程与线程之进程结构体
qq_18059143的博客
11-29 590
前言:操作系统创造进程和线程,实质就是构建一个结构体。 一、进程结构体EPROCESS 使用命令查看:dt _EPROCESS PEB也是描述进程的一个结构体,但是是提供给3环使用的,而不是0环。每个windows进程在0环都有一个对应的结构体:EPROCESS 这个结构体包含了进程所有重要的信息。 成员之KPROCESS +...
win32api之进程的创建与使用(二)
xf555er的博客
03-19 1580
在计算机操作系统中,进程是正在运行中的程序的实例。进程是操作系统进行资源分配和管理的基本单位,包括内存、文件句柄、系统状态等。每个进程都有自己的独立内存空间和运行状态,因此它们不会互相干扰,也不会互相影响。多个进程可以在操作系统上同时运行,每个进程都在自己的空间里执行自己的代码。
Windows 内核对象
C++ 永无止境
12-15 2273
1.      内核对象(keneralobject )概念:操作系统用来管理文件、进程、线程等的内核数据结构,应用程序不能直接访问,必须通过handle来访问 2.      内核对象固定成员变量:每个内核对象至少有一个引用计数(用来决定是否释放内核对象,与com引用计数类似)和一个安全属性对象(用来决定访问权限等)成员变量。 3.      keneral object 与handle 区
Windows进程与线程学习笔记(一)—— 进程结构体
qq_41988448的博客
11-12 1795
Windows进程与线程学习笔记(一)—— 进程结构体&线程结构体前言进程结构体 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 进程结构体 ...
Windows内核基础之进程
tutucoo
12-07 862
1. 进程结构体EPROCESS 每个运行中的进程在Windows内核中都有一个EPROCESS结构体,这个结构体包含了进程所有重要的信息。 在WinDbg中使用指令dt _EPROCESS可以查看进程结构体的所有成员。 nt!_EPROCESS +0x000 Pcb : _KPROCESS +0x098 ProcessLock : _EX_PUS...
PROCESS_INFORMATION结构体说明
weixin_42077546的博客
07-22 1667
​​​​​​PROCESS_INFORMATION结构体如下: typedef struct _PROCESS_INFORMATION { HANDLE hProcess; //存放每个对象的与进程相关的句柄 HANDLE hThread; //返回的线程句柄。 DWORD dwProcessId; //用来存放进程ID号 DWORD dwThreadId; //用来存放线程ID号 } PROCESS_INFORMATION, *PPROCESS_INFORMATION, *LPPROCE.
进程结构体和线程结构体
kernweak的博客
05-03 1135
首先说明这分析的是XP系统,WIN7每个单元偏移略有差距 进程结构体EPROCESS 每个windows进程在0环都有一个对应的结构体:EPROCESS 这个结构体包含了进程所有重要的信息。 PEB在3环,EPROCESS在0环。 KPROCESS主要成员介绍 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23...
如何用windbg查看_eprocess结构
weixin_30340819的博客
05-15 706
打开菜单: File->Symbol File Path... 输入: C:/MyCodesSymbols; SRV*C:/MyLocalSymbols*http://msdl.microsoft.com/download/symbols 随便绑定一个进程,然后输入 dt _eprocess 转载于:https://www.cnblogs.com/IWings/p/685...
Windows 驱动根据EPROCESS获取进程命令行参数
最新发布
05-31
获取进程的命令行参数可以通过EPROCESS结构体中的Peb成员实现。具体来说,可以使用PsLookupProcessByProcessId函数获取EPROCESS结构体指针,然后通过Peb成员获取PEB结构体指针,最后通过PEB结构体中的ProcessParameters成员获取RTL_USER_PROCESS_PARAMETERS结构体指针,从而获取命令行参数。以下是示例代码: ```c NTSTATUS GetCommandLineByProcessId(HANDLE processId, PUNICODE_STRING *commandLine) { NTSTATUS status = STATUS_SUCCESS; PEPROCESS process = NULL; PPEB peb = NULL; PRTL_USER_PROCESS_PARAMETERS processParameters = NULL; // 根据进程ID获取EPROCESS结构体指针 status = PsLookupProcessByProcessId(processId, &process); if (!NT_SUCCESS(status)) { DbgPrint("Failed to lookup process by process ID, status: 0x%x\n", status); goto Cleanup; } // 获取PEB结构体指针 peb = PsGetProcessPeb(process); if (peb == NULL) { DbgPrint("Failed to get process PEB\n"); status = STATUS_UNSUCCESSFUL; goto Cleanup; } // 获取RTL_USER_PROCESS_PARAMETERS结构体指针 processParameters = peb->ProcessParameters; if (processParameters == NULL) { DbgPrint("Failed to get process parameters\n"); status = STATUS_UNSUCCESSFUL; goto Cleanup; } // 获取命令行参数 *commandLine = &processParameters->CommandLine; Cleanup: if (process != NULL) { ObDereferenceObject(process); } return status; } ``` 注意,这段代码只是一个示例,实际使用时需要根据具体情况做出适当的修改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值