遍历_EPROCESS->Vm->WorkingSetExpansionLinks链表枚举进程

最新推荐文章于 2024-01-30 15:54:40 发布
最新推荐文章于 2024-01-30 15:54:40 发布
阅读量476 收藏 1
点赞数
分类专栏: 驱动编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq125096885/article/details/73469798
版权 
#include <ntifs.h>
#include <ntddk.h>  

UCHAR * PsGetProcessImageFileName(__in PEPROCESS Process);
HANDLE PsGetProcessInheritedFromUniqueProcessId(__in PEPROCESS Process);

VOID HelloDDKUnload(IN PDRIVER_OBJECT pDriverObject)
{

}


NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegistryPath)
{
	pDriverObject->DriverUnload = HelloDDKUnload;


	DbgBreakPoint();

	PUCHAR pCurrentProcessName;
	HANDLE InheritedFromUniqueProcessId;
	HANDLE UniqueProcessId;
	PEPROCESS CurrentProcess;
	PLIST_ENTRY ListEntry;
	static int VmOffset = 0x1f8;													//测试用(这里是XP系统)  
	static int WorkingSetExpansionLinksOffset = 0x024;              //测试用(这里是XP系统)  

	static int pEprocessVmWorkingSetExpansionLinksOffset = 0x21C; //测试用(这里是XP系统) (上面两个相加的结果VmOffset+WorkingSetExpansionLinksOffset) 


	ULONG_PTR pEprocessVm = 0;
	PLIST_ENTRY pEprocessWorkingSetExpansionLinksOffset = NULL;


	CurrentProcess = PsGetCurrentProcess();
	pEprocessVm = (PULONG_PTR)((ULONG_PTR)CurrentProcess + VmOffset);
	pEprocessWorkingSetExpansionLinksOffset = (PLIST_ENTRY)((ULONG_PTR)pEprocessVm + WorkingSetExpansionLinksOffset);

	pEprocessWorkingSetExpansionLinksOffset= (PLIST_ENTRY)((ULONG_PTR)CurrentProcess + pEprocessVmWorkingSetExpansionLinksOffset);

	for (ListEntry = pEprocessWorkingSetExpansionLinksOffset->Flink; ListEntry != pEprocessWorkingSetExpansionLinksOffset; ListEntry = ListEntry->Flink)
	{
		//CurrentProcess = (PEPROCESS)(*(ULONG_PTR*)((ULONG_PTR)CurrentProcess + VmOffset+ WorkingSetExpansionLinksOffset) - VmOffset- WorkingSetExpansionLinksOffset);
		CurrentProcess = (PEPROCESS)(*(ULONG_PTR*)((ULONG_PTR)CurrentProcess + pEprocessVmWorkingSetExpansionLinksOffset) - pEprocessVmWorkingSetExpansionLinksOffset);
		if (MmIsAddressValid(CurrentProcess)==FALSE)
		{
			continue;
		}
		UniqueProcessId = PsGetProcessId(CurrentProcess);
		pCurrentProcessName = PsGetProcessImageFileName(CurrentProcess);
		InheritedFromUniqueProcessId = PsGetProcessInheritedFromUniqueProcessId(CurrentProcess);
		KdPrint(("%d %d %s\n", UniqueProcessId, InheritedFromUniqueProcessId, pCurrentProcessName));
	}


	return STATUS_SUCCESS;
}

125096
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
关于PsGetProcessImageFileName获取结果不全的问题
Think88666的博客
09-21 1609
最近在使用该例程时发现一个问题,其返回值并不完整,返回名称是残缺不全的15字节,
64位下使用回调函数实现监控
hongduilanjun的博客
11-01 1523
在32位的系统下,我们想要实现某些监控十分简单,只需要找到对应的API实现挂钩操作即可检测进程。但在64位系统下随着的引入,导致我们如果继续使用挂钩API的方式进行监控会出现不可控的情况发生。微软也考虑到了用户程序的开发,所以开放了方便用户调用的系统回调API函数,在64位系统下的监控,使用系统回调相对于直接hook的方式往往是更值得青睐的一方。
[内核编程]进程操作
輚至消亡
07-12 1084
1. 进程枚举 首先来介绍2个重要函数: PCHAR PsGetProcessImageFileName(IN PEPROCESS pProcess) 这个函数是从内核导出的,声明后可以直接使用 作用是可以通过EPROCESS的指针获取对应进程映像名。实际上直接从EPROCESS结构内自己获取也可以。 该函数在ntifs.h内有声明,包含后就可以直接使用。 作用是通过PID获取对应进程的EPROCESS结构。 看一个例子: NTSYSCALLAPI PCHAR PsGetProce.
通过暴力搜索PID遍历进程并获取进程信息
LYSM
06-23 2875
背景 通常我们在内核中使用 ZwQuerySystemInformation 函数来遍历进程模块并获取进程信息,这种是通过正常的进程遍历方式,所以,有很多 Rootkit 程序会 HOOK 这个 ZwQuerySystemInformation 函数,过滤指定进程,从而实现进程的隐藏。 本文实现的进程遍历和获取进程信息并不打算使用 ZwQuerySystemInformation 这种方式,而是直接暴力搜索进程的 PID,根据有效的 PID 获取相应进程的信息,从而实现进程遍历。现在,我就来讲解具体的实现
Windows内核驱动EPROCESS遍历进程模块
12-14
"EPROCESS遍历进程模块"这个主题涉及到的是如何在内核驱动中获取并遍历当前系统中所有进程的加载模块信息。EPROCESS结构体在Windows内核中代表一个进程,而模块则是进程执行时加载的动态链接库(DLL)或其他可执行...
get-EPROCESS.zip_EPROCESS
09-23
- 读取PEB结构,获取`Peb->ProcessParameters`等字段,进一步找到EPROCESS结构的地址。 6. **安全注意事项**:直接操作内核数据结构必须谨慎,错误的操作可能导致系统不稳定甚至崩溃。在用户模式下,应尽量避免...
EPROCESS.rar_EPROCE_EPROCESS_EPROCESS win7_EPROCESS winxp_win 7
09-14
EPROCESS是Windows操作系统内核中的一个关键数据结构,它代表了一个正在执行的进程。这个结构在Windows XP、2003 SP1、Vista以及Windows 7等不同版本的系统中都有所应用,并且随着操作系统的演进,其内部细节可能会...
eprocess.zip_EPROCESS_eprocess结构体
09-24
在Windows操作系统中,EPROCESS结构体是内核级的数据结构,它代表了系统中的一个进程。这个结构体包含了关于进程的各种信息,如进程ID、内存分配、权限、句柄表等。当我们谈论“wrk中当前进程的EPROCESS结构体”时,...
EPROCESS_EPROCESS_Vc_
09-30
链表的每个节点即为一个EPROCESS实例,包含指向前后节点的指针,使得遍历和查找特定进程变得简单快捷。 Vc(Virtualization Control)部分可能是指EPROCESS结构中与虚拟化技术相关的字段或功能。在Windows内核中,...
[Rootkit] - 修改 EPROCESS 隐藏进程
LYSM
08-20 880
背景 EPROCESS 中有两个成员 UniqueProcessId // 唯一的pid InheritedFromUniqueProcessId // 唯一父进程pid 效果图
PsGetProcessImageFileName - 获取进程的主模块路径
热门推荐
死胖子的博客
08-24 1万+
/** 向前声明 */ NTKERNELAPI UCHAR * PsGetProcessImageFileName(__in PEPROCESS Process); 声明后即可使用
进程完整路径获取方式底层实现剖析
最新发布
sunjiaoya的博客
01-30 762
解析GetProcessImageFileName和QueryFullProcessImageName、SeLocateProcessImageName函数,进程完整路径获取方式底层实现剖析
驱动开发:内核操作进线程与模块
CSDN
10-21 5555
进程就是活动起来的程序,每一个进程在内核里,都有一个名为EPROCESS的结构记录它的详细信息,其中就包括进程名,PID,PPID,进程路径等,通常在应用层枚举进程只列出所有进程的编号即可,不过在内核层需要把它的 EPROCESS 地址给列举出来。
浅谈一下驱动开发中的硬编码
cqyczj的专栏
04-18 2205
链 接: http://bbs.pediy.com/showthread.php?t=142463 驱动开发中硬编码是比较烦人的,不仅让别人看起来不怎么专业,自己看着心里也疙疙瘩瘩的不舒服 最常见的就是对于EPROCESS结构中ImageFileName的定位,不同系统下这个域的偏移是不同的, 常见做法就是得到EPROCESS之后根据系统的不同来加上不同的偏移, 或者也有在PsIn
Windows内核下遍历所有进程的几种方法
Think88666的博客
08-26 1086
Windows内核下遍历所有进程的几种方法;枚举进程;
Win64 驱动内核编程-7.内核里操作进程
墨鱼菜鸡
12-18 164
在内核里操作进程 在内核里操作进程,相信是很多对WINDOWS内核编程感兴趣的朋友第一个学习的知识点。但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个和进程相关的NATIVEAPI而已(当然了,本文所说的进程操作,还包括对线程和DLL模块的操作...
遍历_EPROCESS->ActiveProcessLinks链表枚举进程
125096
06-18 1038
#include UCHAR * PsGetProcessImageFileName(__in PEPROCESS Process); HANDLE PsGetProcessInheritedFromUniqueProcessId(__in PEPROCESS Process); VOID HelloDDKUnload(IN PDRIVER_OBJECT pDriverObject) {
如何获取父进程的ID
yangshen998
10-23 1232
如何获取父进程的ID(hangwire发表于2001-12-26 17:00:47) 从所周知,在Windows NT/2000系统的API黑洞之一便是NTDLL.DLL,此DLL包含了许多未公开的API函数。本文将列举一、二,并用它们示范如何获取任何指定进程的父进程ID。 NTDLL.DLL中有一个函数叫NtQueryInformationProcess,用它可以将指定类型的进程信息拷贝到某个缓...
Windows C语言驱动遍历进程获取进程参数
05-30
3. 遍历每个进程的双向链表来获取进程参数,可以使用以下代码: ``` PEB* peb = PsGetProcessPeb(Process); // 获取进程的PEB结构体指针 RTL_USER_PROCESS_PARAMETERS* params = peb->ProcessParameters; // 获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值