(21)[进程与线程] 进程链表和线程链表

最新推荐文章于 2024-04-10 21:21:10 发布
最新推荐文章于 2024-04-10 21:21:10 发布
阅读量360 收藏
点赞数
分类专栏: 滴水中期 文章标签: 链表 反汇编 驱动开发 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50332504/article/details/126246350
版权

文章目录

寻找_EPROCESS

  • 方法1:
    • dd PsActiveProcessHead 获取一个_EPROCESS
    • 通过链表找到notepad.exe的_EPROCESS
    • 然后用这个_EPROCESS打开
  • 方法2:
    • !process 0 0 找到 notepad.exe那一栏 在这里插入图片描述
    • dt _EPROCESS 89c09208 地址就是PROCESS后面的那个

清除DebugPort

在这里插入图片描述
在这里插入图片描述
使用F8单步,直接跳转到了这里,并打印了一句话
在这里插入图片描述
调试失败了

当调试器附加的时候才会设置DebugPort,然而如果DebugPort被置空了之后,调试器就没办法进行调试了。当然还有其他办法…

断开进程链表

在这里插入图片描述
我们这里简单断一下,就不写代码了
寻找_EPROCESS,上面写过了,便不再赘述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
为什么进程还能继续执行呢?
因为CPU的调度单位是线程,进程藏起来了,但是线程仍然可以正常调度
而且点开任务管理器左边的应用程序,就露馅了,还是没有藏好

断开线程链表

在这里插入图片描述


#include <ntddk.h>

//要断链的进程名
#define IMAGE_FILE_NAME "notepad.exe"

VOID DriverUnload(PDRIVER_OBJECT driver)
{
    DbgPrint("卸载驱动\n");
}

NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING reg_path)
{
    PEPROCESS pEprocess, pCurProcess;
    PCHAR ImageFileName;
    // 获取 _EPROCESS
    __asm
    {
        push eax
        mov eax, fs: [0x124] ; //eax = _KPCR._KPRCB.CurrentThread (_ETHREAD)
        mov eax, [eax + 0x220]; //eax = _ETHREAD.ThreadsProcess
        mov pEprocess, eax;
        pop eax
    }
    pCurProcess = pEprocess;
    // 遍历 ActiveProcessLinks
    do
    {
        ImageFileName = (PCHAR)(((DWORD32)pCurProcess)+ 0x174);
        //找到目标进程
        if (strcmp(ImageFileName, IMAGE_FILE_NAME) == 0)
        {
            PLIST_ENTRY list_50, list_190, next_1B0, next_22C;
			//_asm int 3; //调试使用
            list_50 = (PLIST_ENTRY)(((DWORD32)pCurProcess) + 0x50);
            list_190 = (PLIST_ENTRY)(((DWORD32)pCurProcess) + 0x190);
            next_1B0 = list_50, next_22C = list_190;
            //开始断链
            do {
                PLIST_ENTRY t_1B0 = next_1B0->Blink;
                PLIST_ENTRY t_22C = next_22C->Blink;
                //_ETHREAD将链表都指向自己
                next_1B0->Flink = (PLIST_ENTRY)(((DWORD32)next_1B0) + 0x0);
                next_1B0->Blink = (PLIST_ENTRY)(((DWORD32)next_1B0) + 0x4);

                next_22C->Flink = (PLIST_ENTRY)(((DWORD32)next_22C) + 0x0);
                next_22C->Blink = (PLIST_ENTRY)(((DWORD32)next_22C) + 0x4);  

                next_1B0 = t_1B0;
                next_22C = t_22C;

            } while (next_1B0 != list_50);

        }
        //DbgPrint("%s\n", ImageFileName);
        pCurProcess = (PEPROCESS)(*(PULONG)((ULONG)pCurProcess + 0x88) - 0x88);
    } while (pEprocess != pCurProcess);

    driver->DriverUnload = DriverUnload;
    return STATUS_SUCCESS;
}

在这里插入图片描述
在这里插入图片描述
可恶,没有蓝屏,没有进程崩溃!!!我差点以为自己失败了

一口一个橘子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
操作系统使用C语言链表实现进程管理
03-15
用C语言链表实现进程转换,阻塞变就绪,就绪变执行,执行变阻塞三种状态的转换
Linux之进程
ZZY5707的博客
10-18 90
我们当前是在proc里面这个进程PID对应的这个目录里面的,上面说了PID对应的目录是进程创建的时候才会在proc目录下新增的。那如果我们把对应的进程终止(CTRL+c):再想查看这个目录的内容就不行了:上一级目录也回不去了:因为进程终止,操作系统就会在proc目录下把这个进程PID对应的目录及其里面的内容删除掉。所以proc目录里面的内容是动态变化的。当前我再创建一个进程,查看/proc/5194进程目录下的 内容,没什么问题:
数据结构课程设计(一)---系统进程统计(必做)(链表
最新发布
c55555556的博客
04-10 236
不断获取系统中的进程信息,并记录下这些进程的内存使用情况、持续时间等信息,然后对比前后两次获取的进程信息,找出已结束的进程并记录其结束时间和持续时间,把它们存放在。函数用于刷新后更新进程,通过比对当前进程链表和已结束进程链表,找出新的进程并添加到当前进程链表和已结束进程链表中,并通过。函数将当前进程链表和已结束进程链表的信息显示出来,包括进程名、PID、内存使用情况、持续时间和结束时间。来控制字体颜色,当前进程中的信息为绿色,已结束进程中的信息为红色,便于区分。函数创建的已结束进程链表中。
进程链表实现
RToax
08-03 381
《老酒馆》 ​对比起,踩您脚了; 老二两:是我对不起您,耽误您脚落地了。 隔离在家,第四天。2021年8月2日13:13:02。 --共享内存-- 在文章《mmap从低向高增长的legacy模式和从高向低增长的modern模式》我介绍过进程地址空间的内存布局,当不同的进程同时映射一个文件到自己的进程地址空间时,就可以实现进程间的共享内存。 对于内存文件映射的整体架构如下图: --链表-- 拿单链表为例,链表节点的next域保存了链表的下一个节点的虚...
操作系统之进程
jch_120312的博客
08-09 425
一.进程的描述 1.进程的定义 (1)进程是程序的一次执行 (2)进程是一个程序及其数据在处理机上的顺序执行时所发生的活动 (3)进程是具有独立功能的程序在一个数据集合上运行的过程,它是系统进行资源分配和调度的一个独立的单位 综上所述,进程就是进程实体的运行过程,是系统进行资源分配和调度的一个独立的单位 2.进程的特点 进程具有程序没有的PCB结构(进程控制块) (1)动态性 它...
linux进程链表,linux中链表_队列等的基本原理以及操作以及堆栈
weixin_42347375的博客
04-29 232
内核版本为:2.4.10等待队列相关结构体:DECLARE_WAITQUEUE(wait, current); // 定义一个等待队列,和当前进程挂钩#define DECLARE_WAITQUEUE(name, tsk) wait_queue_t name = __WAITQUEUE_INITIALIZER(name, tsk)#define __WAITQUEUE_INITIALIZER(na...
线程安全型双向链表的实现
06-02
操作系统c++编程实现安全型双向链表线程的创建,利用线程对链表进行增删改操作,并检验结果是否正确
操作系统课设-线程安全的双向链表
04-25
原创手操,操作系统课设,线程安全的双向链表,VC6.0,无须配置,可运行
线程下写入链表的同步问题
01-06
线程下写入链表的同步问题,选自操作系统内核分析。。。
程序,进程线程解析
11-10
5. 介绍进程的分叉(fork)和线程; 6. 介绍进程之间的通信:管道的概念(两个进程之间的管道通信是要经过内核的); 7. 介绍消息队列:消息队列是内核地址空间中的内部链表,通过内核在各个进程之间传递内容; 8. ...
易语言-进程隐藏之断链隐藏易语言例程
06-25
通过断链方式来隐藏进程,驱动不成功的可以考虑试试这个。不过,win7 64下隐藏失败,具体原因,相信大家都明白
进程断链隐藏_r0_进程保护_进程断链隐藏_断链隐藏_驱动_
10-01
进程链表中摘除指定进程
回复进程链表代码及工具
05-14
恢复进程链表源代码及工具,对你的编程能力的提高有很大的帮助
操作系统课设-线程安全的双链表
04-25
操作系统课设,可运行,线程安全,可用来学习操作系统线程相关知识。
进程结构体和线程结构体
kernweak的博客
05-03 1124
首先说明这分析的是XP系统,WIN7每个单元偏移略有差距 进程结构体EPROCESS 每个windows进程在0环都有一个对应的结构体:EPROCESS 这个结构体包含了进程所有重要的信息。 PEB在3环,EPROCESS在0环。 KPROCESS主要成员介绍 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23...
C语言多个进程的数据共享,C语言如何不同进程间共享同一个链表
weixin_42297705的博客
05-21 894
在写股票软件过程中, 我希望把读取数据和显示数据的过程分离,他们的数据交换通过一个共享的链表来解决。通过shmget,可以获得一块共享的内存,但通常的情况下,一般申请的都是连续的空间,也就是说,我需要把数据存成一个数组,放在共享中。这个不是我的初衷。最初,我希望能只共享一个头指针,以为这样就可以直接共享链表了。但是结果是不可行的。经过一番实验和google,最终找到了解决办法。关键点:1.通常每个...
3种方式获取ActiveProcessLinks以实先断链隐藏进程
weixin_73368512的博客
12-10 317
【代码】3种方式获取ActiveProcessLinks以实先断链隐藏进程
02 进程断链、线程断链
qq_50242229的博客
05-08 269
进程断链 驱动代码 #include <ntifs.h> #include <wdm.h> #include <ntddk.h> //操作码:0x0-0x7FF 被保留,0x800-0xFFF 可用 #define HIDE CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFERED,FILE_ANY_ACCESS) //设备对象 PDEVICE_OBJECT devObj; //符号链接 UNICODE_STRING s
进程启动&断链
m0_62466350的博客
01-29 1032
函数介绍:运行一个指定的程序。 函数原型如下: 函数成功:return Value>31 函数失败:返回以下值使用 WinExec 函数执行删除 C 盘下的所有文件和文件夹的命令的示例代码如下: 2. ShellExecute 函数介绍:运行一个外部程序(或者是打开一个已经注册的文件、目录,或打印一个文件等),并进行一定程度的控制 函数原型如下: 第二个参数lpOperation的可选项如下: edit:启动编辑器并打开文档进行编辑。如果lpfile不是文档文件,则该函数将失败。 explore:打开由lp
java线程安全的链表
09-02
Java中有一个线程安全的链表实现,即`CopyOnWriteArrayList`。它是`List`接口的一个实现类,提供了线程安全的操作。 `CopyOnWriteArrayList`的特点是在进行写操作时,会创建一个新的副本来进行操作,而原始数据不会...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值