《Windows内核原理与实现》中定义的EPROCESS

最新推荐文章于 2022-10-23 12:38:03 发布
最新推荐文章于 2022-10-23 12:38:03 发布
阅读量1.1k 收藏
点赞数
分类专栏: 驱动 文章标签: windows integer struct list table c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/trents/article/details/7299777
版权
本文基于《Windows内核原理与实现》,深入探讨EPROCESS结构,包括CommitCharge、CommitChargeLimit、CommitChargePeak和VadRoot等关键字段,解析Windows内核管理进程的方式。
摘要由CSDN通过智能技术生成

《Windows内核原理与实现》中,定义的EPROCESS结构如下:

(注,没改偏移地址,不能直接使用偏移地址)



typedef struct _EPROCESS {

    KPROCESS                        Pcb; // +0x000
    EX_PUSH_LOCK                    ProcessLock; // +0x06c
    LARGE_INTEGER                   CreateTime; // +0x070
    LARGE_INTEGER                   ExitTime; // +0x078
    EX_RUNDOWN_REF                  RundownProtect; // +0x080
    ULONG                           UniqueProcessId; // +0x084
    LIST_ENTRY                      ActiveProcessLinks; // +0x088
    ULONG                           QuotaUsage[3]; // +0x090
    ULONG                           QuotaPeak[3]; // +0x09c

    ULONG                           CommitCharge; // +0x0a8

     ULONG CommitChargeLimit;

     ULONG CommitChargePeak;

    ULONG                           PeakVirtualSize; // +0x0ac
    ULONG                           VirtualSize; // +0x0b0
    LIST_ENTRY                      SessionProcessLinks; // +0x0b4
    PVOID                           DebugPort; // +0x0bc
    PVOID                           ExceptionPort; // +0x0c0
    PHANDLE_TABLE                   ObjectTable; // +0x0c4
    EX_FAST_REF                     Token; // +0x0c8
    ULONG                           WorkingSetPage; // +0x0cc
    KGUARDED_MUTEX               
最低0.47元/天 解锁文章
trents
关注
专栏目录
WIN7的EPROCESS和PEB和WINXPSP3的EPROCESS
kfysck
11-06 5147
WIN7 EPROCESS 这个命令是查看_EProcess结构下面的所有结构体和联合体 dt -r1 _Eprocess lkd> dt nt!_EPROCESS    +0x000 Pcb              : _KPROCESS    +0x098 ProcessLock      : _EX_PUSH_LOCK    +0x0a0 CreateTime       :
EPROCESS 结构
热门推荐
swanabin的专栏
07-05 1万+
每个进程都有一个 EPROCESS 结构,里面保存着进程的各种信息,和相关结构的指针。EPROCESS 结构位于系统地址空间,所以访问这个结构需要有ring0的权限。使用 Win2k DDK 的 KD (内核调试器)我们可以得到 EPROCESS 结构的定义。注意下面的是 Win2k Build 2195 下的 EPROCESS 结构定义。 kd> !strct eprocess !s
进程结构体EPROCESS
maomao171314的专栏
02-01 2174
1、进程结构体EPROCESS 每个windows进程在0环都有一个对应的结构体:EPROCESS 这个结构体包含了进程所有重要的信息。 kd> dt _EPROCESS +0x000 Pcb : _KPROCESS +0x078 ProcessLock : _EX_PUSH_LOCK +0x080 CreateTime : _LARGE_INTEGER +0x088 ExitTime : _LARG...
EPROCESS 进程/线程优先级 句柄表 GDT LDT 页表 《寒江独钓》内核学习笔记(2)
weixin_34323858的博客
12-02 753
在学习笔记(1),我们学习了IRP的数据结构的相关知识,接下来我们继续来学习内核很重要的另一批数据结构: EPROCESS/KPROCESS/PEB。把它们放到一起是因为这三个数据结构及其外延和windows进程的表示关系密切,我们在做进程隐藏和进程枚举的时候一定会涉及到这3类数据结构,所以这里有必要及时做一下总结,做个学习笔记,理清思路。   1. 相关阅读材料 《windows 内...
NT内核级进程隐藏2-Hook SSDT及EPROCESS
weixin_33721344的博客
01-21 176
通过Hook SSDT (System Service Dispath Table) 隐藏进程 1.原理介绍: Windows操作系统是一种分层的架构体系。应用层的程序是通过API来访问操作系统。而API又是通过ntdll里面的核心API来进行系统服务的查询。核心API通过对int 2e的切换,从用户模式转换到内核模式。2Eh断的功能是通过NTOSKRNL.EXE的一个函数KiSystemSe...
Windows原理深入学习系列-强制完整性控制
SecSource_Stars的博客
03-01 4370
0x00 目录 0x01 介绍 0x02 完整性等级 0x03 文件读取测试 0x04 进程注入测试 0x05 原理分析 Win10_x64_20H2 0x06 参考文章 0x01 介绍 强制完整性控制(Mandatory Integrity Control,MIC),它是对 discretionary access control list 的补充,并且是在 DACL 之前检查的 这是从 Windows Vista 新增的安全机制,在 Windows XP 几乎所有的进程都是运行在管理员权限下的。 在官
windows实验-Wrk源码编译与进程模块分析
03-24
1. **掌握在虚拟环境编译操作系统内核的方法**,特别是针对特定版本的Windows操作系统(如Windows Server 2003 SP1)。 2. **深入理解操作系统内核模块的工作原理**,特别是进程模块的加载、管理和分析方法。 3. *...
windows环境下的自保护探究
hongduilanjun的博客
09-14 1294
我们要想在32位下实现进程保护很简单,通过SSDT hook重写函数即可实现,但是在64位系统下因为引入了PG和DSE的原因,导致SSDT hook实现起来处处受限。但微软同样为了系统安全,增加了一个对象回调函数的接口,利用该回调可以实现对对象请求的过滤保护自身的进程,目前大部分64位下的安全软件保护机制都是基于该方法,我们深入进行探究。
驱动开发:内核监控进程与线程回调
最新发布
m0_56069948的博客
10-23 617
系统监控进程与线程可以使用微软提供给我们的两个新函数来实现,此类函数的原理是创建一个回调事件,当有进程或线程被创建或者注销时,系统会通过回调机制将该进程相关信息优先返回给我们自己的函数待处理结束后再转向系统层。那么会提示连接的设备没有发挥作用,我们则成功拦截了这次打开,当然如果在打开进程之前扫描其特征并根据特征拒绝进程打开,那么就可以实现一个简单的防恶意程序,进程监控在防恶意程序也是用的最多的。如上,该函数只有两个参数,第一个参数是回调函数,第二个参数是是否注销,通常在驱动退出时可以传入。
_EPROCESS数据结构
windowzhong的专栏
06-11 494
0:000> dt _EPROCESS   +0x000 Pcb              : _KPROCESS   +0x06c ProcessLock      : _EX_PUSH_LOCK   +0x070 CreateTime       : _LARGE_INTEGER   +0x078 ExitTime         : _LARGE_INTEGER   +0x080 Rundo
_EPROCESS结构简单了解!
创造神话,实现梦想!
08-13 9742
lkd> dt _EPROCESS nt!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime
EPROCESS 结构体属性介绍
hambaga的博客
03-10 2065
typedef struct _EPROCESS { // KPROCESS 和 EPROCESS 地址相同 KPROCESS Pcb; // // Lock used to protect: // The list of threads in the process. // Process token. // Win32 process field. // Process and thread affinity setting. /
EPROCESS ;ethread WINDOWS 7结构
~~~jesse的专栏
04-29 3693
<br />7600.16695<br />eprocess<br /><br />lkd> dt _eprocess<br />nt!_EPROCESS<br />   +0x000 Pcb              : _KPROCESS<br />   +0x098 ProcessLock      : _EX_PUSH_LOCK<br />   +0x0a0 CreateTime       : _LARGE_INTEGER<br />   +0x0a8 ExitTime         : _LA
EPROCESS:NT进程的核心(更新)
sunwear的专栏
02-25 3193
作者是 陆麟 是2000年写的了  呵呵  内核类的文章沉寂了好长一段时间,再度开写.今天写的乃是未公开的WIN2000的EPROCESS结构. EPROCESS乃是NT进程的核心.该结构定义了所有进程相关的数据.知道了该结构,NT的核心机密就公开了一半.下面乃是我于7.26挖到凌晨的奥秘.:)))看哪.大补啊.:DDD 该结构仅在英文WIN2000零售版上验证通过.如果以后WIN2000有了SE
结构体
u012097211的博客
08-25 114
1、直接定义在函数的元素较多的结构体数组可能导致有关堆栈大小或堆栈溢出。 2、结构体引用元素的三种等价方式: struct stru *pstr = stu; stu.aa = (*pst).aa = pst->aa; 3、结构体使用指针元素时,一定注意要初始化指针元素。 4、typedef 与define的不同点: 1)typedef给出的名称仅限对于类型,不直接定义值。 2)tepe...
执行体进程--EPROCESS
BpLife
12-08 1356
执行体层位于内核层之上,它侧重于提供各种管理策略,同时为上层应用层程序提供基本的功能接口。 // Process structure. // // If you remove a field from this structure, please also // remove the reference to it from within the kernel debugger // (nt\p
Windows进程与线程学习笔记(一)—— 进程结构体
qq_41988448的博客
11-12 1850
Windows进程与线程学习笔记(一)—— 进程结构体&线程结构体前言进程结构体 前言 一、学习自滴水编程达人级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 进程结构体 ...
Windows进程与EPROCESS:使用ZwQuerySystemInformation获取
Windows操作系统,EPROCESS是执行体进程的一个关键数据结构,它代表了每一个正在运行的进程。EPROCESS包含了进程的各种属性,如进程ID、安全上下文、虚拟内存布局、权限信息等。此外,EPROCESS还包含了一系列...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值