windows内核- 内核中进程与句柄互转(六)

已于 2023-12-10 11:37:15 修改
阅读量429 收藏 11
点赞数 7
文章标签: windows
于 2023-12-10 11:35:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rosykee/article/details/134849448
版权

句柄:HANDLE

进程结构: EPROCESS

在内核开发中,经常需要进行进程和句柄之间的互相转换。进程通常由一个唯一的进程标识符(PID)来标识,而句柄是指对内核对象的引用。在Windows内核中,EProcess结构表示一个进程,而HANDLE是一个句柄。

一、进程PID与句柄HANDLE转换

        使用函数如OpenProcessGetProcessId。通过OpenProcess(PID),返回一个句柄(HANDLE)。通过 GetProcessId(HANDLE)返回句柄对应的进程PID。

二、进程PID 与 EPROCESS结构转换

        使用函数如PsGetProcessId,PsLookupProcessByProcessId和PsGetCurrentProcess。通过PsGetProcessId(EPROCESS),获取进程PID。PsLookupProcessByProcessId 例程接受进程的进程 ID,并返回指向进程的 EPROCESS 结构的引用指针。通过PsGetCurrentProcess函数返回当前进程的EProcess结构。通过 PsGetProcessImageFileName(IN PEPROCESS pProcess),获取进程映像名称。

三、句柄HANDLE与EPROCESS结构转换

        使用函数如ObReferenceObjectByHandle和PsGetProcessId,PsLookupProcessByProcessId。ObReferenceObjectByHandle函数接受一个句柄和一个对象类型作为参数,并返回对该对象的引用。PsGetProcessId函数接受一个EProcess结构作为参数,并返回该进程的PID。

驱动开发:内核操作进线程与模块_进程模块开发-CSDN博客

rosykee
关注
  • 7
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
windows进程句柄权限控制
10-14
Windows操作系统进程句柄权限控制是内核级别的安全机制,它关乎系统资源的访问与管理。进程句柄Windows系统用于标识和管理对象(如文件、窗口、设备等)的一种方式,而权限控制则确保了只有拥有适当权限的...
Windows核心编程系列》谈谈内核对象及句柄的本质
01-09
本章讨论的是相对抽象的概念,不涉及任何具体的内核对象的细节而是讨论所有内核对象的共有特性。  首先让我们来了解一下什么是内核对象。内核对象通过API来创建,每个内核对象是一个数据结构,它对应一块内存,由...
OpenProcess(PROCESS_ALL_ACCESS, False, pid)
weixin_41454036的博客
09-07 1672
1.首先要bai知道进程ID号(任务管理器,可以看到pid进程id, 这里是查找窗du体名zhi,再获得进程daoid) 2.打开进程 3.操作内存 4.关闭进程
驱动开发:内核进程句柄互转
最新发布
CSDN
06-23 1万+
内核开发,经常需要进行进程句柄之间的互相转换。进程通常由一个唯一的进程标识符(PID)来标识,而句柄是指对内核对象的引用。在Windows内核,`EProcess`结构表示一个进程,而HANDLE是一个句柄。为了实现进程句柄之间的转换,我们需要使用一些内核函数。对于进程PID句柄的互相转换,可以使用函数如`OpenProcess`和`GetProcessId`。OpenProcess函数接受一个PID作为参数,并返回一个句柄。GetProcessId函数接受一个句柄作为参数,并返回该进程的P
内核对象(3)
foreveyking的博客
09-17 304
1、内核对象包括:时间对象,文件对象,I/O完成端口对象。作业对象,进程对象,线程对象,互斥对象,信号量对象等,具体的可以通过网址:http://www.microsoft.com/technet/sysinternals/utilities/winobj.mspx获得内核对象列表查看。 内核对象都是调用不同名称的函数来完成的,比如:调用Createthread函数,系统将创建一个线程。每个内核
内核对象与句柄
jiangxt211的专栏
02-09 447
每个内核对象都只是一个内核块,它有操作系统内核分配,并只能由操作系统内核访问。这个内存块是个数据结构,其成员维护着与对象相关的信息。   Windows提供的一组函数,(以最恰当的方式)来操作内核对象。在调用一个会创建内核对象的函数后,函数会返回一个句柄(handle),它标识了所创建的对象。可以将句柄想象成一个不透明的值,它可以由进程任何线程使用。   内核对象的所有者是操作系
MFC枚举进程内核句柄
12-01
Windows操作系统内核句柄是系统用来管理和保护资源的一种机制。内核句柄进程间通信(IPC)和访问系统对象(如文件、进程、线程、内存区域等)的关键元素。MFC(Microsoft Foundation Classes)是微软提供的...
驱动保护进程_隐藏进程_遍历内核句柄
07-02
1、改进程PID,隐藏自己的进程 2、断链隐藏自己的进程,防PG ...5、遍历进程句柄,并降低指定进程PID句柄权限,里面有遍历内存进程和每个进程句柄的方法 6、操作debugport,防止调试或者使自己脱离调试,检测调试
易语言文件号和文件句柄互转模块
07-18
在文件号和句柄互转的过程,可能会涉及临时存储或传递这些标识符,这时就需要用到`CopyMemory`这样的函数来安全地移动数据。 - **ZwClose**:这是一个系统调用,用于关闭一个文件句柄。在完成文件操作后,确保...
内核对象与句柄的关系
chen802311的专栏
12-09 1783
一:一个对象是不是内核对象,通常可以看创建此对象API的参数是否需要:PSECURITY_ATTRIBUTES 类型的参数。 二:内核对象只是一个内存块,这块内存位于操作系统内核的地址空间,内存块存放一个数据结构(此数据结构的成员有如:安全描述符、使用计数等)。 三:每个进程有一个句柄表(handle table),这个句柄表仅供内核对象使用,如下图: 四:解开此的秘密 比
内核对象和句柄
swartz_lubel的专栏
03-05 1483
内核对象的数据结构只能由操作系统的内核访问,所以应用程序不能再内存定位这些数据结构并直接修改其内容。 可以利用windows的api函数进行操作。当调用一个会创建内核对象的函数后,会返回一个句柄,它标识了所创建的对象。 这些句柄值是与进程相关的,如果传递给其他进程,可能会失败,因为每个进程会有一个句柄表,所以使用的时候可能是完全不用的内核对象。 内核对象的所有者是操作系统,当进程创建一个内
Windows内核对象(1) -- 内核对象与句柄
热门推荐
while(1) { smile(); }
01-25 11万+
一、什么是内核对象 我们在windows开发经常会遇到内核对象,如事件(Event),管道(Pipe),互斥量(Mutex),完成端口(IOCP),进程(Process),线程(Thread)等,他们都是内核对象。这些内核对象虽然通过不同的系统API来创建,但这些API都有一个共同特点,就是都需要传入SECURITY_ATTRIBUTES安全描述符结构体指针,并且返回句柄(HANDLE)。依据
openprocess打开进程失败_Windows不太常见的进程注入学习小记(一)
weixin_39984578的博客
12-03 1169
注:本篇文章经作者授权转载进程注入以下是自学习相关进程注入时写的笔记。HOOK Conhost.exe保存的ConsoleWindowClass窗口类的虚表控制台应用程序窗口所属于的窗口类为ConsoleWindowClass,窗口保存的用户数据并不在控制台程序的地址空间之,而在Conhost.exe之。用户数据的第一个8字节或4字节保存的是该类的虚表地址。以修改ConHost...
打开一已存在的进程OpenProcess
abc470337944的专栏
10-30 1782
OpenProcess 函数功能描述:打开一已存在的进程 函数原形:   HANDLE OpenProcess(        DWORD dwDesiredAccess,        BOOL bInheritHandle,        DWORD dwProcessId   ); 参数:   DWORD dwDesiredAccess   访问权限   [输入
PID & PEPROCESS & HANDLE 相互间转换
anjiao_1989的专栏
04-04 1177
PID & PEPROCESS & HANDLE 相互间转换 from \ to PID PEPROCESS HANDLE PID PsLookupProcessByProcessId PEPROCESS PsGetProcessId ObOpenObjectByPointer HANDLE ObReferenceObjectByHandle ...
OpenProcess()函数
夜空中最亮的星
10-06 5万+
通过一个进程关闭另外一个进程的时候,一般的做法就是枚举系统打开的所用进程的标识符(PID),使用OpenProcess函数获得进程句柄,该函数可以通过第一个参数来设置句柄的新的访问权限(不清楚句柄是不是和原来的一模一样?有待证明和学习),比如如果打开的句柄不具备终止句柄的权限,直线终止进程操作会失败,返回的错误代码为5(意思为拒绝访问)。通过获得的句柄就可以获得进程名字(通过GetModuleB
OpenProcess函数
qiqiaiairen的博客
08-31 1978
HANDLE OpenProcess(DWORD dwDesiredAccess, BOOL bInheritHandle, DWORD dwProcessId) 参数说明: dwDesiredAccess: 想拥有的该进程访问权限。 PROCESS_TERMINATE //终止一个进程的权限。 bInheritHandle: 表示所得到的进程句柄是否可以被继承 dwProces
深入解析Windows 2000内核进程与线程活动详解
本课件是关于Windows 2000内核的深入讲解,主要涵盖了以下几个关键知识点: 1. 核心对象介绍:课程首先介绍了Windows 2000和其前一代产品NT4的核心对象,帮助学员理解操作系统的基本结构,包括虚拟内存、进程和多...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值