EPROCESS:NT进程的核心(更新)

最新推荐文章于 2022-12-18 21:17:43 发布
最新推荐文章于 2022-12-18 21:17:43 发布
阅读量3.2k 收藏
点赞数
分类专栏: 技术文档 文章标签: struct byte header access token list
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunwear/article/details/302393
版权
本文由陆麟撰写,详细介绍了Windows 2000的EPROCESS结构,它是NT进程的核心,包含进程相关的重要数据。文章涵盖了 Dispatcher_Header, FIRSTPART_OBJ, OBJTBL 和 VAD 等子结构,并提醒读者结构可能不适用于后续的Service Pack。" 53318672,5037945,使用JavaScript实现全屏显示,"['前端开发', 'JavaScript', 'HTML', 'CSS']
摘要由CSDN通过智能技术生成

作者是 陆麟

是2000年写的了  呵呵 
内核类的文章沉寂了好长一段时间,再度开写.今天写的乃是未公开的WIN2000的EPROCESS结构.
EPROCESS乃是NT进程的核心.该结构定义了所有进程相关的数据.知道了该结构,NT的核心机密就公开了一半.下面乃是我于7.26挖到凌晨的奥秘.:)))看哪.大补啊.:DDD
该结构仅在英文WIN2000零售版上验证通过.如果以后WIN2000有了SERVICE PACK,并不保证兼容.使用者请自己注意.

typedef struct _DISPATCHER_HEADER {
UCHAR Type;
UCHAR Absolute;
UCHAR Size;
UCHAR Inserted;
LONG SignalState;
LIST_ENTRY WaitListHead;
} DISPATCHER_HEADER;

typedef struct _FIRSTPART_OBJ{
unsigned inheritable : 1;
unsigned protected :1;
unsigned pobj :14;
}FIRSTPART_OBJ;

typedef struct _OBJTBL{
FIRSTPART_OBJ firstpart_obj;
DWORD access_control_mask;
}OBJTBL,*POBJTBL;

typedef struct vad {
void *StartingAddress;
void *EndingAddress;
struct vad *ParentLink;
struct vad *LeftLink;
struct vad *RightLink;
ULONG Flags

最低0.47元/天 解锁文章
sunwear
关注
专栏目录
《Windows内核原理与实现》中定义的EPROCESS
trents的专栏
02-27 1213
《Windows内核原理与实现》中,定义的EPROCESS结构如下: (注,没改偏移地址,不能直接使用偏移地址) typedef struct _EPROCESS {     KPROCESS                        Pcb; // +0x000     EX_PUSH_LOCK                    ProcessLock; //
EPROCESS 遍历进程 隐藏 保护
Mikasys的博客
10-20 895
0: kd> dt _KPROCESS nt!_KPROCESS +0x000 Header : _DISPATCHER_HEADER //dt _KEVENT +0x018 ProfileListHead : _LIST_ENTRY //任务管理器上的性能 +0x028 DirectoryTableBase : Uint8B //cr3 +0x030 ThreadListHead : _LIST_ENTRY //当前进程所有线程
NT内核级进程隐藏2-Hook SSDT及EPROCESS
weixin_33721344的博客
01-21 186
通过Hook SSDT (System Service Dispath Table) 隐藏进程 1.原理介绍: Windows操作系统是一种分层的架构体系。应用层的程序是通过API来访问操作系统。而API又是通过ntdll里面的核心API来进行系统服务的查询。核心API通过对int 2e的切换,从用户模式转换到内核模式。2Eh中断的功能是通过NTOSKRNL.EXE的一个函数KiSystemSe...
WinDbg 学习(2)
Misaka10046的博客
04-03 271
内存查看 dt [nt!]_EPROCESS 查看EPROCESS这个表 加上 -r 可以继续把下属的结构体打出来 同时也支持通配符 知道了结构体的类型,给出结构体地址,还可以把结构体给打出来 同时也能只打出某一个成员 db address size 以一个字节显示值和ASC字符(带感叹号是物理内存,不带感叹号是虚拟内存) dw address size 显示两字节的值 dd address size 显示四字节的值 dq address size 显示八字节的值 dp address si
遍历EPROCESS链表
如鹿渴慕泉水的专栏
12-21 642
dt nt!_EPROCESS poi(nt!PsInitialSystemProcess) xploit.self_token = xploit.self_token & (~0xF); 1: kd> dx -id 0,0,ffffb9038ed2d0c0 -r1 (*((ntkrnlmp!_EX_FAST_REF *)0xffffb9038505a4f8)) (*((ntkrnlmp!_EX_FAST_REF *)0xffffb9038505a4f8)) [
各系统 EPROCESS 结构
trents的专栏
02-18 4790
2000操作系统 nt!_EPROCESS    +0x000 Pcb              : _KPROCESS    +0x06c ExitStatus       : 259    +0x070 LockEvent        : _KEVENT    +0x080 LockCount        : 1    +0x088 CreateTime       : _LA
NT进程枚举.rar
04-05
在Windows NT内核系列操作系统(包括Windows NT、2000、XP、Server 2003、Vista、Server 2008、7、Server 2012、8、10以及Server 2016等)中,进程枚举是一项核心功能,允许用户或系统服务查看当前系统上运行的所有...
get-EPROCESS.zip_EPROCESS
09-23
1. **EPROCESS结构**:EPROCESS是Windows NT内核中的核心数据结构,用于存储每个进程的管理信息。它包括进程ID(PID)、令牌(Token)——控制进程权限和访问控制,进程基地址,虚拟内存区域,以及进程调度和等待...
操作系统概论:进程对象、系统结构和目标
NT内核中,EPROCESS和KPROCESS结构是进程对象的核心数据结构,它们用于管理进程的执行、调度和同步。NT执行体是操作系统的核心部分,负责管理进程的执行和资源分配。 在操作系统课件中,进程对象是核心基础课程的...
windbg下EPROCESS获取进程加载模块
125096
06-28 2719
//查看指定的进程信息 kd> !process 0 0 explorer.exe PROCESS 88adb2b0 SessionId: 1 Cid: 0534 Peb: 7ffdd000 ParentCid: 0520 DirBase: 3eb99280 ObjectTable: 8c033088 HandleCount: 674. Image: explore
如何使用windbg看eprocess的结构
尘埃落定
08-27 6872
安装windbg加入 symbol path  运行WinDbg->菜单->File->Symbol File Path->按照下面的方法设置_NT_SYMBOL_PATH变量:在弹出的框中输入“C:/MyCodesSymbols;SRV*C:/MyLocalSymbols*http://msdl.microsoft.com/download/symbols”(
EPROCESS 结构
热门推荐
swanabin的专栏
07-05 1万+
每个进程都有一个 EPROCESS 结构,里面保存着进程的各种信息,和相关结构的指针。EPROCESS 结构位于系统地址空间,所以访问这个结构需要有ring0的权限。使用 Win2k DDK 的 KD (内核调试器)我们可以得到 EPROCESS 结构的定义。注意下面的是 Win2k Build 2195 下的 EPROCESS 结构定义。 kd> !strct eprocess !s
再谈进程PID相同的深入探究
sunxuns
04-08 1569
  创建时间:2005-04-21 更新时间:2005-04-21文章属性:原创文章提交:sunwear (btwlu_at_163.com)再谈进程PID相同的深入探究作者:sunwear [E.S.T]shellcoder@163.comhttp://blog.csdn.net/s
_EPROCESS结构简单了解!
创造神话,实现梦想!
08-13 9773
lkd> dt _EPROCESS nt!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime
Acrobat Reader5.1漏洞分析(zt)
sunwear的专栏
02-15 2446
作者:Leven只对Acrobat Reader 5.1有效在一个xdf文件里放入一个超长的段,会造成溢出问题代码001B:2200E249  55                  PUSH      EBP001B:2200E24A  8BEC                MOV       EBP,ESP001B:2200E24C  81EC40010000        SUB     
linux pe do fork,[求助]PEPROCESS定义在哪个头文件啊
weixin_39898854的博客
05-16 387
2016-8-22 22:02typedef struct _EPROCESS{KPROCESS Pcb;//// Lock used to protect:// The list of threads in the process.// Process token.// Win32 process field.// Process and thread affinity setting.//EX...
内核驱动修改内存
最新发布
不会写代码的丝丽
12-18 1718
本文会利用内核驱动进行读写取第三方应用内存。内核实现会使用内联汇编 所以对于内核数据结构每个windwos版本不一样需要判断,本文使用19041所写代码。winver即可查看你当前的版本,如下图19042.631就是构建版本号或者调用对应内核API.或者链接windbg的时候查看如下图所示。19041便是构建号。
Windows各版本EPROCESS结构
漂泊心情
01-15 2060
Windows XP: +0x000 Pcb : _KPROCESS +0x000 Header : _DISPATCHER_HEADER +0x010 ProfileListHead : _LIST_ENTRY [ 0xffbcc030 - 0xffbcc030 ] +0x018 DirectoryTableBase : [2] 0x2807000 +0x020 LdtDescript
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值