09 进程挂靠

最新推荐文章于 2024-06-14 09:26:55 发布
最新推荐文章于 2024-06-14 09:26:55 发布
阅读量44 收藏
点赞数
分类专栏: 进程&线程 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50242229/article/details/130595647
版权

进程挂靠

一个进程可以包含多个线程,一个进程至少要有一个线程。进程为线程提供资源,也就是提供Cr3的值,Cr3中存储的是页目录表基址,Cr3确定了,线程能访问的内存也就确定了

kd> dt _KTHREAD
ntdll!_KTHREAD
   ……
   +0x032 Saturation       : Char
   +0x033 Priority         : Char
   +0x034 ApcState         : _KAPC_STATE
   +0x04c ContextSwitches  : Uint4B
   +0x050 IdleSwapBlock    : UChar
   ……

kd> dt _KAPC_STATE
ntdll!_KAPC_STATE
   +0x000 ApcListHead      : [2] _LIST_ENTRY
   +0x010 Process          : Ptr32 _KPROCESS
   +0x014 KernelApcInProgress : UChar
   +0x015 KernelApcPending : UChar
   +0x016 UserApcPending   : UChar

ApcState这个结构体的Process成员就是存储的进程挂靠上的进程CR3。可以打一个比方,EPROCESS的DirectoryTableBase存储的是亲父母,而ApcState存储的是养父母,我想要资源时从养父母来拿。正常情况下,CR3的值是由养父母提供的,但CR3的值也可以改成和当前线程毫不相干的其他进程的DirectoryTableBase。将当前CR3的值改为其他进程,称为“进程挂靠”

柠檬的泪是酸的@
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows内核驱动EPROCESS遍历进程模块
12-14
windows驱动 遍历进程模块
window内核监控工具源代码
09-26
一:SSDT表的hook检测和... 应用层钩子检测和内核模块钩子检测原理一样,不过为了能读写别的进程的空间,并没有使用openprocess去打开进程,而是通过KiattachProcess挂靠到当前进程,然后通过在r0直接读写进程空间的。
进程挂靠 详解
寻梦&之璐
02-15 3774
1.进程与线程的关系: 一个进程可以包含多个线程 一个进程至少要有一个线程 进程为线程提供资源,也就是提供Cr3的值,Cr3中存储的是页目录表基址,Cr3确定了,线程能访问的内存也就确定了 线程代码: mov eax,dword ptr ds:[0x12345678] CPU会如何解析这个0x12345678这个地址呢? 1.CPU解析线性地址时通过页目录表来找对应的物理页,页目录表基址存在Cr3寄存器中 2.当前的Cr3的值来源于当前的进程(_KPROCESS.Directory TableBase(+0
进程挂靠技术
qq_18811919的博客
04-23 369
进程与线程 一个进程可以包含多个线程 一个进程至少要有一个线程 进程为线程提供资源,也就是提供Cr3值,Cr3中存储的 是页目录表基址,Cr3确定了,线程能访问的内存也就确定了。 线程代码: mov eax,dword ptr ds:[0x12345678] CPU解析过程: (1)CPU解析线性地址时要通过页目录表在找对应的物理页,页目录表基址存在 Cr3寄存器中。 (2)当前的Cr3的值来源于当前的进程(_KPROCESS.DirectoryTableBase(+0x018)) 线程与进程的如何关联
进程挂靠
qq_41490873的博客
06-07 206
进程挂靠后使用PsGetCurrentProcessId获取的进程ID不准
Sven的忘却日记
06-01 1781
如题,在使用KeStackAttachProcess挂靠到目标进程后,又调用了一系列子函数,此时并没有把EPROCESS传进去。 PEPROCESS pProcess = NULL; KAPC_STATE apc; NTSTATUS status = PsLookupProcessByProcessId((HANDLE)pid, &pProcess); if (NT_SUCCESS(status)) { KeStackAttachProcess(pProcess, &apc);
进程线程007 进程挂靠与跨进程读写内存
鬼手的博客
02-12 2517
文章目录进程挂靠进程与线程的关系线程与进程如何关联为什么需要ApcState.ProcessCR3的值可以随便改吗分析NtReadVirtualMemory函数总结跨进程读写内存跨进程操作NtReadVirtualMemory流程解析 进程挂靠 进程与线程的关系 一个进程可以包含多个线程 一个进程至少要有一个线程 进程为线程提供资源,也就是提供CR3的值,CR3中存储的是页目录表的基址,CR3确定...
关于“进程挂靠
swanabin的专栏
11-21 4930
线程在Windows内核中运行时有时候需要暂时“挂靠(Attach)”到别的进程的用户空间,即暂时切换到另一个进程的用户空间。这称为“进程挂靠”,因为用户空间是一个进程最主要的特征。     显然,要是当前线程的操作与用户空间无关、不需要访问用户空间,那么当时的用户空间到底是谁的用户空间根本就无关紧要,所以这必定发生在与用户空间有关的操作中。     一般而言,如果线程T属于进程P,那么当这个
12.进程挂靠
My classmates
10-22 855
进程与线程的关系: 一个逃程可以包含多个线程 一个进程至少要有一个线程 进程为线程提供资源,也就是提供Cr3的值, Cr3中存储的是页目录表基址, Cr3确定了,线程能访问的内存也就确定了。 进程与线程的关系 线程代码: mov eax, dword ptr ds:(0x12345678] CPU如何解析0x12345678这个地址呢? CPU解析线性地址时要通过页目录表来找对应的物理页,页目录...
通过进程挂靠实现改其它进程的数据
kernweak的博客
05-02 322
0环下 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 #include <ntifs.h> VO...
Windows进程与线程学习笔记(九)—— 线程优先级/进程挂靠/跨进程读写
qq_41988448的博客
12-09 1064
Windows进程与线程学习笔记(九)—— 线程优先级前言要点回顾调度链表 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 要点回顾 三种情况会导致线程切换: 当前线程主动调用API: KiSwapThread -> KiSwapContext -> SwapContext 当前线程时间片到期: KiDispatchInt...
挂靠车辆跟踪记录复习进程.pdf
04-27
挂靠车辆跟踪记录复习进程.pdf
漫谈兼容内核.7z
08-21
Windows的进程创建和映像装入.pdf 漫谈兼容内核之十一:Windows DLL的装入和连接.pdf 漫谈兼容内核之十 二:Windows的APC机制.pdf 漫谈兼容内核之十三:关于“进程挂靠”.pdf 漫谈兼容内核之十四:Windows的跨进程...
漫谈Linux兼容内核
07-15
13:关于“进程挂靠”.pdf 14:Windows的跨进程操作.pdf 15:Windows线程的等待和唤醒机制.pdf 16:Windows的进程间通信.pdf 17:再谈Windows的进程创建.pdf 18:Windows的LPC机制.pdf 19:Windows线程间的强相互...
Mybatis --- 动态SQL 和数据库连接池
最新发布
wuweixiaoyue的博客
06-14 1023
什么是动态SQL:根据需求(),去动态地拼接SQL重要性编写方式的选择:根据个人喜好和企业中的其他人用什么来选择推荐:简单SQL用注解,动态SQL用xml动态SQL,语句会比较复杂,此时使用xml更易读,而且因为本身支持标签,书写还会有提示简单SQL,使用注解会更简单,xml还需要另外写文件(当然,也有例如MybatisGenerator之类的插件可以帮我们去生成)
数据结构笔记-2、线性表
qq_66013948的博客
06-12 862
​ 线性表是具有相同数据类型的 n (n>=0) 个数据元素的有限序列,其中 n 为表长,当 n = 0 时线性表是一个空表。La1a2a3aixi1anLa1​a2​a3​...ai​xi1​...an​式中,a1a_1a1​是唯一的“第一个元素”,又称表头元素;ana_nan​是唯一的“最后一个元素”,又称表尾元素。除第一个元素外,每个元素有且仅有一个直接前驱。
C++的封装(十三):迭代器问题
aaasssdddd96的博客
06-13 1000
这里想说明,在别人的代码里,看到代码不是自己想象的样子,也不用奇怪,因为有各种不同的实现方法。汇编代码看起来虽然比较吃力,但还是可以看到,disp()函数调用了__ZN4list5beginEv函数,对应源代码的list::begin(),然后调用了 __ZN4list3endEv函数,对应源代码的list::end(),然后又调用了 _顺便说一下,察看生成的汇编代码时,因为编译器对原函数作了名称转化,运算符重载函数名不易辨认,可在源代码挨着运算符重载换个名字再写一下这个代码,这样在汇编代码中就容易找了。
C语言 | Leetcode C语言题解之第147题对链表进行插入排序
m0_59237910的博客
06-13 651
C语言 | Leetcode C语言题解之第147题对链表进行插入排序
//写一篇关于施工企业联营挂靠项目的风险管控
04-08
好的,关于施工企业联营挂靠项目的风险管控,我可以给您简要介绍一下。首先,施工企业联营挂靠项目的风险主要体现在合同履约、技术质量、安全生产等方面,因此需要从以下几个方面进行风险管控: 1. 对联营挂靠企业...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值