遍历_EPROCESS->ActiveProcessLinks链表枚举进程

最新推荐文章于 2023-06-23 17:07:34 发布
最新推荐文章于 2023-06-23 17:07:34 发布
阅读量1k 收藏
点赞数
分类专栏: 驱动编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq125096885/article/details/73436724
版权 
#include <ntddk.h>

UCHAR * PsGetProcessImageFileName(__in PEPROCESS Process);
HANDLE PsGetProcessInheritedFromUniqueProcessId(__in PEPROCESS Process);

VOID HelloDDKUnload(IN PDRIVER_OBJECT pDriverObject)
{

}


NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegistryPath)
{
	pDriverObject->DriverUnload = HelloDDKUnload;


	DbgBreakPoint();

	PUCHAR pCurrentProcessName;
	HANDLE InheritedFromUniqueProcessId;
	HANDLE UniqueProcessId;
	PEPROCESS CurrentProcess;
	PLIST_ENTRY ListEntry;

	static int ActiveProcessLinks = 0x088;				//测试用(这里是XP系统)
	PLIST_ENTRY pProcessActiveProcessLinks = 0;

	CurrentProcess=PsGetCurrentProcess();
	pProcessActiveProcessLinks = (PLIST_ENTRY)((ULONG_PTR)CurrentProcess + ActiveProcessLinks);

	for (ListEntry = pProcessActiveProcessLinks->Flink;ListEntry != pProcessActiveProcessLinks;ListEntry = ListEntry->Flink)
	{
		CurrentProcess = (PEPROCESS)(*(ULONG_PTR*)((ULONG_PTR)CurrentProcess + ActiveProcessLinks) - ActiveProcessLinks);
		UniqueProcessId=PsGetProcessId(CurrentProcess);
		pCurrentProcessName=PsGetProcessImageFileName(CurrentProcess);
		InheritedFromUniqueProcessId=PsGetProcessInheritedFromUniqueProcessId(CurrentProcess);
		KdPrint(("%d %d %s\n", UniqueProcessId, InheritedFromUniqueProcessId, pCurrentProcessName));
	}
	

	return STATUS_SUCCESS;
}

125096
关注
专栏目录
枚举进程(1)——遍历通过EPROCESS结构的ActiveProcessLinks链表
北极星2003的专栏
06-05 4382
#define EPROCESS_SIZE 1#define PEB_OFFSET 2#define FILE_NAME_OFFSET 3#define PROCESS_LINK_OFFSET 4#define PROCESS_ID_OFFSET 5#define EXIT_TIME_OFFSET 6typedef ULONG DWORD ;typ
【分块】枚举(enum)-链表
远行客
03-20 569
题目来源:《高级数据结构》 题意 &nbsp;&nbsp;&nbsp;&nbsp;有一列整数,共n个。每次可以对这些整数有两种操作: &nbsp;&nbsp;&nbsp;&nbsp;(1)第i个到第j个整数分别加上数p; &nbsp;&nbsp;&nbsp;&nbsp;(2)询问这些数中比t小的数的个数。 输入 第一行有两个数,n和m(1≤n≤100000,m≤1000...
通过EPROCESS链表枚举进程(代码转)
vincent_1011的专栏
01-23 1233
一段看雪的北极星2003大哥写的程序------ULONGGetPlantformDependentInfo( ULONG dwFlag) { ULONG current_build; ULONG ans = 0; PsGetVersion(NULL, NULL, &current_build, NULL);
内核断链(ActiveProcessLinks)
最新发布
qq_45844442的博客
06-23 280
3.在这个程序中没有直接使用EPROCESS+0xE8是为了兼容所有系统,而且通过搜寻特征的方法可以躲避各种检测。2.将其转换为大写匹配是否是目标程序,如果是则通过寻找目标EPROCESS结构体的。1.首先通过遍历所有的PID,使用。函数得到目标进程的全路径名称。
遍历EPROCESS中的ActiveProcessLinks枚举进程
weixin_33884611的博客
06-24 237
遍历EPROCESS中的ActiveProcessLinks枚举进程 前面对PEB的相关结构和其中的重要成员进行了分析和学习,现在开始真正进入内核,学习内 核中的一些结构. 这个EPROCESS结构在ntddk.h中有定义,但是并未给出具体的结构,因此要得到EPROCESS中一些重要的成员变量,只能通过偏移的方法,比 如PID,ImageName等.这些偏移可以...
WinDBG遍历_LIST_ENTRY链表
10-19 1170
因为Window不同版本的内核数据结构有所不同,先声明实验环境。本实验在window7 32位系统下并且运行运算器(calc.exe)测试。为了显示的信息不至于冗长,在开始实验前先讲讲dt命令的-y参数及ExpTimerResolutionListHead全局变量。 1、dt命令查看_EPROCESS结构及-y参数 lkd> dt nt!_EPROCESS +0x0...
EPROCESS.rar_EPROCE_EPROCESS_EPROCESS win7_EPROCESS winxp_win 7
09-14
EPROCESS是Windows操作系统内核中的一个关键数据结构,它代表了一个正在执行的进程。这个结构在Windows XP、2003 SP1、Vista以及Windows 7等不同版本的系统中都有所应用,并且随着操作系统的演进,其内部细节可能会...
EPROCESS_ActiveProcessLinks.rar_eprocess.h_ntddk.h
09-14
这个EPROCESS结构在ntddk.h中有定义,...这些偏移可以在Windbg中dt _EPROCESS得到,但是不公开感觉还是不爽,而且这东西在不同的系统版本中不一样,如果要兼容的话,就必须先判断操作系统版本,遍历EPROCESS中的进程
eprocess.zip_EPROCESS_eprocess结构体
09-24
在Windows操作系统中,EPROCESS结构体是内核级的数据结构,它代表了系统中的一个进程。这个结构体包含了关于进程的各种信息,如进程ID、内存分配、权限、句柄表等。当我们谈论“wrk中当前进程的EPROCESS结构体”时,...
遍历EPROCESS链表
如鹿渴慕泉水的专栏
12-21 641
dt nt!_EPROCESS poi(nt!PsInitialSystemProcess) xploit.self_token = xploit.self_token & (~0xF); 1: kd> dx -id 0,0,ffffb9038ed2d0c0 -r1 (*((ntkrnlmp!_EX_FAST_REF *)0xffffb9038505a4f8)) (*((ntkrnlmp!_EX_FAST_REF *)0xffffb9038505a4f8)) [
易语言驱动进程保护
07-15
易语言驱动进程保护源码,驱动进程保护,取变量地址_整数型_,驱动程序通信_,CreateFileA,DeviceIoControl,CloseHandle,FindWindowA,GetForegroundWindow,GetCurrentProcessId
eprocess
03-13
eprocess
通过ActiveProcessLinks遍历进程
pureman_mega的博客
12-26 839
进程遍历有多种方法。在应用程序里可以使用CreateToolHelp32SnapShot函数先做个进程快照(snapshot),然后通过返回的数据进行遍历。在内核编程里可以通过内核数据结构来实现。 内核结构EPROCESS(执行体进程块 executive process)是一个不透明(opaque)的结构体,大概意思就是这个结构不对外公开,但是还是可以通过WinDbg获取它的各成员名和类型
【旧文章搬运】遍历EPROCESS中的ActiveProcessLinks枚举进程
weixin_30569153的博客
12-26 153
原文发表于百度空间,2008-7-25========================================================================== 前面对PEB的相关结构和其中的重要成员进行了分析和学习,现在开始真正进入内核,学习内核中的一些结构.这个EPROCESS结构在ntddk.h中有定义,但是并未给出具体的结构,因此要得到EPROCESS中一些重要...
简述共用体枚举链表
翩翩少年
02-03 308
一、共用体 1.1 概念 概念:不同数据类型的成员共用一块内存空间 1.2 共用体的定义 union 共用体名 { 成员列表; }; 说明: union 是表示共用体的关键字 union 共用体名 表示共用体类型 成员列表: 数据类型 变量名 1.3 共用体类型变量的定义 a) 在定义共用体的同时,定义结构体类型的变量 b) 先定义共用体,在定义共用体类型的变量 c) 在定义共用体的...
内核下枚举进程(一)进程活动链
10-08 210
今天学会了一种在内核下枚举进程的方法,写下来与大家共享。用到了的是EPROCESS 结构,EPROCESS 是一个关于进程的结构,此结构很庞大,包括的内容非常丰富.由于此结构未文档化所以用windbg来查看输入dt _eprocess命令查看该结构如下: ntdll!_EPROCESS +0x000 Pcb : _KPROCESS //进程控制...
3种方式获取ActiveProcessLinks以实先断链隐藏进程
weixin_73368512的博客
12-10 353
【代码】3种方式获取ActiveProcessLinks以实先断链隐藏进程
遍历_EPROCESS->Vm->WorkingSetExpansionLinks链表枚举进程
125096
06-19 496
#include #include UCHAR * PsGetProcessImageFileName(__in PEPROCESS Process); HANDLE PsGetProcessInheritedFromUniqueProcessId(__in PEPROCESS Process); VOID HelloDDKUnload(IN PDRIVER_OBJECT pDrive
修改ActiveProcessLinks链表隐藏进程
weixin_33766805的博客
02-21 176
在Windows内核中有一个活动进程链表AcvtivePeorecssList。它是一个双向链表,保存着系统中所有进程的EPROCESS结构。特别地,进程的EPROCESS结构包含一个具有指针成员FLINK和BLINK的LIST_ENTRY结构,这两个指针分别指向当前进程的前方和后方进程。当某些模块需要获得系统中运行的所有进程信息时,就会遍历这个链表。若在PsActviePoroess...
掌握Windows内核驱动中EPROCESS进程遍历技术
2. 通过EPROCESS结构体中的ActiveProcessLinks链表遍历所有进程ActiveProcessLinks是内嵌在EPROCESS结构中的一个双向链表,链接了系统中的所有进程。 3. 对于每个遍历到的EPROCESS结构体,可以从中提取出进程的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值