[内核编程]进程操作

最新推荐文章于 2023-09-24 10:16:53 发布
最新推荐文章于 2023-09-24 10:16:53 发布
阅读量1.4k 收藏
点赞数
分类专栏: Windows驱动编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37232329/article/details/118675511
版权

1. 进程枚举

首先来介绍2个重要函数:

PCHAR PsGetProcessImageFileName(IN PEPROCESS pProcess)

这个函数是从内核导出的,声明后可以直接使用

作用是可以通过EPROCESS的指针获取对应进程映像名。实际上直接从EPROCESS结构内自己获取也可以。

 该函数在ntifs.h内有声明,包含后就可以直接使用。

作用是通过PID获取对应进程的EPROCESS结构。

看一个例子:

NTSYSCALLAPI PCHAR PsGetProcessImageFileName(IN PEPROCESS pProcess);

VOID EnumProcess()
{
	ULONG64 iPID = 0;
	PEPROCESS EProcess = NULL;
	NTSTATUS Status = STATUS_SUCCESS;

    // 由于进程号都是以4为倍数的
	for (iPID = 4; iPID < 20000; iPID += 4)
	{
		Status = PsLookupProcessByProcessId(iPID, &EProcess);
		if (NT_SUCCESS(Status))
		{
			KdPrint(("%d\t%s\r\n", iPID, PsGetProcessImageFileName(EProcess)));
		}
	}
}

直接调用这个函数就可以列出进程列表。

2. 进程挂起与调度

在Ring3下Windows没有直接可以挂起进程的API,但是内核下却是有的。

挂起进程函数: 

NTSTATUS PsSuspendProcess(PEPROCESS Process)

其可以通过进程的EPROCESS结构来挂起对应进程

调度进程函数:

NTSTATUS PsResumeProcess(PEPROCESS Process)

其可以通过进程的EPROCESS结构来继续对应进程

来看一下对应的功能代码:

/****************************
* 这些函数从内核导出但未声明	*
****************************/
// 从EPROCESS结构获取对应的进程映像名
NTSYSCALLAPI PCHAR PsGetProcessImageFileName(IN PEPROCESS pProcess);
// 进程挂起与调度内核函数
NTSYSCALLAPI NTSTATUS PsSuspendProcess(PEPROCESS Process);
NTSYSCALLAPI NTSTATUS PsResumeProcess(PEPROCESS Process);

VOID R0ProcessOpa(ULONG64 ulPID, BOOLEAN fHang)
{
	PEPROCESS Process;
	NTSTATUS status;
	HANDLE hPID = (HANDLE)ulPID;

	status = PsLookupProcessByProcessId(hPID, &Process);
	if (!NT_SUCCESS(status))
	{
		return;
	}
	if (fHang)
	{
		PsSuspendProcess(Process);
	}
	else
	{
		PsResumeProcess(Process);
	}
}

值的注意的是,我在Win7及以上版本(X64)发现这两个函数在内核中是导出的。只要声明即可

但是在XP(X86)下实验时发现内核没导出。实际上可以通过暴利搜索搜到函数起始位置

这里我使用硬编码的方式来获取:

 在我的XP版本下PsSuspendProcess地址是: 0x805cbdf8

 在我的XP版本下PsResumeProcess地址是: 0x805cbcaa

接下来实现代码:

/****************************
* 这些函数从内核导出但未声明	*
****************************/
// 从EPROCESS结构获取对应的进程映像名
NTSYSCALLAPI PCHAR PsGetProcessImageFileName(IN PEPROCESS pProcess);
// 进程挂起与调度内核函数
NTSYSCALLAPI NTSTATUS PsSuspendProcess(PEPROCESS Process);
NTSYSCALLAPI NTSTATUS PsResumeProcess(PEPROCESS Process);

// 定义对应函数指针
typedef NTSTATUS(NTAPI *pfnPsSuspendProcess)(PEPROCESS Process);
typedef NTSTATUS (NTAPI *pfnPsResumeProcess)(PEPROCESS Process);

VOID R0ProcessOpa(ULONG64 ulPID, BOOLEAN fHang)
{
	PEPROCESS Process;
	NTSTATUS status;
	HANDLE hPID = (HANDLE)ulPID;
	// 通过获取硬编码函数地址
	pfnPsResumeProcess PsResumeProcess = (pfnPsResumeProcess)0x805cbcaa;
	pfnPsSuspendProcess PsSuspendProcess = (pfnPsSuspendProcess)0x805cbdf8;

	status = PsLookupProcessByProcessId(hPID, &Process);
	if (!NT_SUCCESS(status))
	{
		return;
	}
	if (fHang)
	{
		PsSuspendProcess(Process);
	}
	else
	{
		PsResumeProcess(Process);
	}
}

3. 杀死进程

杀死进程主要使用:

NTSTATUS ZwTerminateProcess (_In_opt_ HANDLE ProcessHandle, _In_ NTSTATUS ExitStatus)

该函数使用方法非常简单,传入要杀死进程的句柄以及写入一个状态码就行。

在获取目标进程的句柄时需要用到ZwOpenProcess。需要传入的是ClientId中的UniqueProcess项。传给它目标进程PID。

NTSTATUS 
ZwOpenProcess(
    __out PHANDLE  ProcessHandle,
    __in ACCESS_MASK  DesiredAccess,
    __in POBJECT_ATTRIBUTES  ObjectAttributes,
    __in_opt PCLIENT_ID  ClientId
    );

实例代码:

BOOLEAN TerminateProcess(ULONG64 ProcessId)
{
	CLIENT_ID Client = { 0 };
	HANDLE hProcess = NULL;
	NTSTATUS status;
	OBJECT_ATTRIBUTES oa = { 0 };

	Client.UniqueProcess = ProcessId;
	InitializeObjectAttributes(&oa, NULL, OBJ_KERNEL_HANDLE, NULL, NULL);
	// 打开目标进程
	status = ZwOpenProcess(&hProcess, PROCESS_ALL_ACCESS, &oa, &Client);
	if (!NT_SUCCESS(status))
	{
		return(FALSE);
	}
	status = ZwTerminateProcess(hProcess, 0);
	ZwClose(hProcess);
	if (NT_SUCCESS(status))
	{
		return(TRUE);
	}

	return(FALSE);
}

(完)

枚举内核句柄表(Windows内核学习笔记)
KOOKNUT的博客
04-14 967
前面我写过有关内核句柄表的一些知识,今天来在这里跟大家分享一下我自己写的内核枚举进程句柄方法。 #include"EnumProcessHandleTable.h" #ifdef _WIN64 #define _HANDLE_TABLE_ 0x200 //硬偏移Win7x64下的HANDLE_TABLE字段在EPROCESS下的偏移 #define _OFFSET_ ...
内核枚举进程总结
zhuhuibeishadiao
05-02 3680
我知道的有三种方法 这里的第三种和第二种是一样的 隐藏进程也可以在这么做手脚 但需要注意多线程,在操作前,理应加锁 可以参考这篇文章 http://blog.csdn.net/zfdyq0/article/details/41813747 1.暴力枚举进程 通过PsLookupProcessByProcessId获得EPROCESS 第一个参数我们使用循环 填入0~6553
内核下枚举进程(一)进程活动链
10-08 245
今天学会了一种在内核下枚举进程的方法,写下来与大家共享。用到了的是EPROCESS 结构,EPROCESS 是一个关于进程的结构,此结构很庞大,包括的内容非常丰富.由于此结构未文档化所以用windbg来查看输入dt _eprocess命令查看该结构如下: ntdll!_EPROCESS +0x000 Pcb : _KPROCESS //进程控制...
NT内核函数枚举系统所有进程.
tangjian001的专栏
02-22 1241
//头文件部分.h #define NT_SUCCESS(status)          ((NTSTATUS)(status)>=0) #define STATUS_INFO_LENGTH_MISMATCH ((NTSTATUS)0xC0000004L) #define STATUS_ACCESS_DENIED        ((NTSTATUS)0xC0000022L) #def
驱动开发:内核枚举进程与线程ObCall回调
热门推荐
CSDN
10-22 2万+
首先我们需要定义好结构体,结构体是微软公开的,如果有其它需要请自行去微软官方去查。线程回调,之所以放在一起来讲解是因为这两中回调在枚举是都需要使用通用结构体。中我们通过特征码定位实现了对注册表回调的枚举,本篇文章。的枚举,如果是想要输出线程句柄,则只需要替换代码中的。就可以拿到链表头结构,得到后将其解析为。代码部分的实现很容易,由于进程与。所以放在一起来讲解最好不过。运行这段驱动程序,即可得到。运行这段驱动程序,即可得到。将教大家如何枚举系统中的。即可,修改后的代码如下。的枚举很容易,直接通过。
MFC枚举进程内核句柄
12-01
用MFC写的一个枚举进程内核句柄的工具,类似于XT或者process exp查看进程句柄的功能,运行效果见blog
Linux内核编程.pdf
09-06
Linux内核编程是学习操作系统相关知识的必备知识,了解内核的体质结构和编程机制是非常重要的。 itle的一部分,设备文件操作系统是Linux内核编程的重要组件之一。设备文件操作系统是指在Linux系统中负责管理硬件...
编程技术_Windows 内核进程隐藏侦测技术-综合文档
05-19
在Windows操作系统中,内核进程隐藏侦测技术是一种高级的计算机安全技术,它涉及到操作系统的核心层,主要用于检测和防止恶意软件通过隐藏进程来规避安全软件的检测。本技术主要针对那些试图通过修改系统内核行为...
C++x64内核保护进程源码_保护进程_x64内核保护进程_进程保护_进程保护c++
08-09
总之,"C++ x64内核保护进程源码"是系统安全领域的一个重要课题,涉及到C++编程、64位系统、内核编程进程管理和安全策略等多个方面。深入理解和实践这些知识点,有助于开发出更为健壮的系统保护解决方案。
从汇编语言到Windows内核编程_Windows编程_
10-02
《从汇编语言到Windows内核编程》是深入探讨Windows操作系统内部机制的权威之作,尤其适合对计算机系统底层有浓厚兴趣或需要进行系统级开发的读者。这本书将带领读者从最基本的汇编语言出发,逐步过渡到复杂的...
### 操作系统基于鲲鹏云ECS的openEuler内核编程实验手册:涵盖内核编译、内存管理、中断处理及文件系统设计. 文档概述
最新发布
05-28
内容概要:本文档是《操作系统实验指导书》2025版,由湖南大学、华为技术有限公司和中科院软件所联合编写,基于鲲鹏云弹性云服务器(ECS)的openEuler操作系统内核编程实验手册。手册涵盖八大实验,包括鲲鹏云ECS的...
进程监控工具可进行进程.内核,注册表的监控
03-07
该程序是进程.内核,注册表监控,可进行病毒和流氓软件的查杀,是从一高手的博客中下载得来
驱动获取系统进程
10-07
这个例子是使用NT式驱动获取系统正在运行的进程,需要使用Dbgview捕获驱动程序的输出内容
驱动开发:内核中枚举进线程与模块
CSDN
10-14 1万+
内核枚举进程使用`PspCidTable` 这个未公开的函数,它能最大的好处是能得到进程的EPROCESS地址,由于是未公开的函数,所以我们需要变相的调用这个函数,通过`PsLookupProcessByProcessId`函数查到进程的EPROCESS,如果`PsLookupProcessByProcessId`返回失败,则证明此进程不存在,如果返回成功则把EPROCESS、PID、PPID、进程名等通过DbgPrint打印到屏幕上。
windows 驱动实现进程枚举
全栈胖叔叔
05-08 1111
因为最近有需求写windows平台下的发外挂模块,需要实现对进程的监控,其中一个线程需要匹配进程名,那么问题来了,这就需要获取所有进程名称。 在用户层ring3下,枚举进程的方法主要有: 1.CreateToolhelp32Snapshot 通过快照枚举,x86和x64,winxp-win10 均可获取到进程名称。 2.通过 Psapi.dll,LoadLibrary(“PSAPI.DLL”),调用其EnumProcesses()枚举进程,x86和x64,winxp-win10 均可获取到进程名称,但是这个
通过PspCidTable枚举进程
liuhaidon1992的博客
01-08 349
如果当前进程为System进程,就意味着此次打开的内核对象访问权限属于内核,那么就使用内核句柄表, 内 核句柄与用户句柄不同的地方就在于内核句柄需要或上一个0x80000000即最高位置为1作为标识, 但是实际在使用句柄的时候还是不需要这个最高位值的。进程的句柄表由EPROCESS中的 ObjectTable成员进行管理, 句柄表有3种内存结构分别为一级表,二级表以及三级表。表的结构 由进程中的句...
枚举进程 模块 堆栈
x
10-22 373
void walkProcess() { HANDLE hSnap = CreateToolhelp32Snapshot( TH32CS_SNAPPROCESS, 0 ); if(hSnap == INVALID_HANDLE_VALUE) return; PROCESSENTRY32 p32; p32.dwSize = sizeof(PROCES...
7.6 实现进程挂起与恢复
CSDN
09-24 5910
挂起与恢复进程是指暂停或恢复进程的工作状态,以达到一定的控制和管理效果。在 Windows 操作系统中,可以使用系统提供的函数实现进程的挂起和恢复,以达到对进程的控制和调度。需要注意,过度使用进程挂起/恢复操作可能会造成系统性能的降低,导致死锁等问题,因此在使用时应该谨慎而慎重。同时,通过和其他进程之间协同工作,也可以通过更加灵活的方式,实现进程的协调、交互等相应的功能,从而实现更加高效和可靠的进程管理。
关于PsGetProcessImageFileName获取结果不全的问题
Think88666的博客
09-21 2273
最近在使用该例程时发现一个问题,其返回值并不完整,返回名称是残缺不全的15字节,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值