内核层的进程机构--KPROCESS

最新推荐文章于 2024-04-18 11:35:58 发布
最新推荐文章于 2024-04-18 11:35:58 发布
阅读量2.3k 收藏
点赞数 1
分类专栏: 内核 文章标签: KPROCESS 内核 线程 进程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yourenhello/article/details/17201919
版权 
1.WRK中的KPROCESS
typedef struct _KPROCESS {

    //
    // The dispatch header and profile listhead are fairly infrequently
    // referenced.
    //

    DISPATCHER_HEADER Header;//此域表明KPROCESS对象也是一个分发器对象
    LIST_ENTRY ProfileListHead;//用于该进程参与性能分析时,作为一个节点加入到全局的性能分析进程列表。

    //
    // The following fields are referenced during context switches.
    //

    ULONG_PTR DirectoryTableBase[2];//第一项指向该进程的页目录表地址,第二项指向该进程的超空间的页目录地址

#if defined(_X86_)

    KGDTENTRY LdtDescriptor;//该进程的LDT(局部描述符表)
    KIDTENTRY Int21Descriptor;//为了兼容DOS程序,允许他们通过int 21H指令来调用DOS
    USHORT IopmOffset;//指定了IOPM的位置,内核通过IOPM可控制进程的用户模式I/O访问权限
    UCHAR Iopl;//定义了进程的I/O优先级
    BOOLEAN Unused;

#endif

#if defined(_AMD64_)

    USHORT IopmOffset;

#endif

    volatile KAFFINITY ActiveProcessors;//记录了当前进程正在哪个处理上允许。

    //
    // The following fields are referenced during clock interrupts.
    //
		//这两个字段分别记录了当前进程对象在内核模式和用户模式下所化的时间
		//KernelT
最低0.47元/天 解锁文章
yourenhello
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
罗登-进程线程1
08-03
在XV6中,进程的创建、切换和销毁等操作通过内核函数实现,如`allocproc()`用于创建新进程,`switchcontext()`用于进行上下文切换。这些操作涉及到对`proc`结构体的修改,如改变进程状态、分配或回收资源。进程的...
防杀进程--C#winform编程
01-07
引用KProtectProcess.dll 然后NKCore.dll 是c++的类库放在同级目录就可以了。 开始调用 KProtectProcess.KProcess.SelfProtection(); 结束调用...这样用户就无法在任务管理器的 进程 中杀掉你的程序了。
KPROCESS IDT PEB Ldr 《寒江独钓》内核学习笔记(3)
weixin_34116110的博客
12-02 236
继续上一篇(2)未完成的研究,我们接下来学习 KPROCESS这个数据结构。   1. 相关阅读材料 《深入理解计算机系统(原书第2版)》     二. KPROCESS KPROCESS,也叫内核进程块。我们在开始学习它的数据机构之前,首先要思考的一个问题是,它和EPROCESS名字感觉差不多,那它们之间是什么关系呢?它们在内核区域中都位于那一呢? 我们先来看一张图: w...
KProcessMon_KProcess_进程监视工具_监视内存_ProcessMonitor_
09-29
内核进程监视工具,类似processmonitor,运行后系统会缓慢卡顿,关闭后正常,比processmonitor增强了进程内存操作,模块加载,敏感操作等功能。
C# 如何让程序后台进程不被Windows任务管理器强制结束
最新发布
04-18 615
4.技术含量比较高了,通过Windows的驱动机制,把自己给隐藏了(把自己变成驱动),然后隐藏到系统中运行,在任务管理器完全找不到,其实我多喜欢这种方式的,但是,这个程序一弄出来,瑞星,Google,Hotmail,360卫士,全部当成病毒查出来了,我当时眼流花都要流出来了。这个想法是网上提的最多的思路,如果一个程序被结束了,另一个程序检测到这个程序不在了,就立即重新启动该程序,双双保护,互助互利(结果我尝试了一下,不可取,因为1,CPU使用率太高,一直在循环检测,计算机速度立即就下了。
《Windows内核原理与实现笔记》(五)Windows微内核进程线程的数据结构KTHREAD,KPROCESS
kernweak的博客
01-09 1350
Windows中进程线程的数据结构 Windows内核中的执行体负责各种与管理和策略相关的功能,而内核(或微内核)实现了操作系统的核心机制。进程线程在这两上都有对应的数据结构。 内核进程线程对象 首先看(微)内核的数据结构,这是进程线程最为基本的数据结构,分别名为KPROCESS和KTHREAD。 KPROCESS的定义(见base\ntos\inc\ke.h) t...
Windows操作系统----进程线程----内核对象----KPROCESS
一个热爱逆向,喜爱学习、分享的猿。
12-09 415
typedef struct _KPROCESS { DISPATCHER_HEADER Header; LIST_ENTRY ProfileListHead; ULONG DirectoryTableBase; ULONG Unused0; KGDTENTRY LdtDescriptor; KIDTENTRY Int21Descriptor; WORD IopmOffset; UCHAR Iopl; UCHAR...
进程结构体
qq_41490873的博客
05-28 863
kd> dt _EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime : _LARGE_INTEGER +0x078 ExitTime : _LARGE_INTEGER +0x080 RundownProtect ...
《Windows内核原理与实现》第三章学习笔记---KPROCESS学习
zfdyq
10-16 2881
typedef struct _KPROCESS { // // The dispatch header and profile listhead are fairly infrequently // referenced. // DISPATCHER_HEADER Header; //表明KPROCESS也是一个分发器对象(dispatcher o
C# 防进程杀死dll
01-14
项目中引用KProtectProcess.dll 然后将NKCore.dll放在与KProtectProcess.dll同级目录。 启动防杀 KProtectProcess.KProcess.SelfProtection();... 这样用户就无法在任务管理器的进程中杀掉你的程序了。
进程防杀 HOOK ,防止任务管理杀死程序
11-30
进程防杀技术主要涉及到计算机系统中的进程管理和保护机制,尤其是如何在面对恶意操作或系统工具如任务管理器的干预时,保持程序的持续运行。在本文中,我们将深入探讨HOOK技术及其在进程保护中的应用。 HOOK是...
进程防止杀死KProtectProcess.dll.rar
07-09
用户无法在任务管理器进程中杀程序。 项目中引用KProtectProcess.dll 然后将NKCore.dll放在与KProtectProcess.dll同级目录。
(EPROCESS/KPROCESS/ETHREAD/KTHREAD)进程线程内核中的结构
weixin_45678798的博客
07-27 1338
现代操作系统通过中央处理器进行任务执行的操作,通过把时间细分,在适当的时间粒度上轮流执行任务,每个任务都有机会进行执行。通过这种方式用户会认为系统的任务是在同时进行的,这种并行方式被称为伪并行,当然如果存在多个处理器,也可变成真并行。...........................
进程线程001 进程线程结构体和KPCR
鬼手的博客
12-26 1099
文章目录前言EPROCESSKPROCESS主要成员EPROCESS其他成员ETHREADKTHREAD主要成员介绍ETHREAD其他成员介绍KPCRKPCR介绍_NT_TIB主要成员介绍KPCR的其他成员介绍KPRCB成员介绍KPRCB成员介绍 前言 进程线程的知识点很多,如果我们想了解问题的本质,就要从一些关键的结构体学起,先来介绍一个与进程密切相关的结构体 EPROCESS 每个进程在零环都...
linux命令记录
有间客栈
08-29 294
1. 多文件内容的查找替换 sed -i "s/oldstring/newstring/g" `grep oldstring -rl dir` 2.tcpdump 网络抓包 tcpdump -Xns0 -i any udp/tcp port -i 指定网卡 upd/tcp 协议 port 指定端口 其他具体选型参考:man tcpdump 3. 网络包接受情况(
EPROCESS 遍历进程 隐藏 保护
Mikasys的博客
10-20 809
0: kd> dt _KPROCESS nt!_KPROCESS +0x000 Header : _DISPATCHER_HEADER //dt _KEVENT +0x018 ProfileListHead : _LIST_ENTRY //任务管理器上的性能 +0x028 DirectoryTableBase : Uint8B //cr3 +0x030 ThreadListHead : _LIST_ENTRY //当前进程所有线程
EPROCESS+KPCR+ETHREAD部分介绍-学习记录
qq_36918532的博客
03-02 1025
**目前32位上结构体已经延展到了0x2bc ** _EPROCESS nt!_EPROCESS +0x000 Pcb : _KPROCESS 详细见下面 +0x098 ProcessLock : _EX_PUSH_LOCK 进程锁,和KPEOCESS不一样,只锁自己的结构 +0x0a0 CreateTime : _LARGE_INTEGER 进程创建时间 +0x0a8 ExitTime : _LARGE_INTEGER 进程退出时间 +0
几个常用结构
wowbell的专栏
03-17 736
typedef struct _EPROCESS<br /> {<br />KPROCESS Pcb;<br />EX_PUSH_LOCK ProcessLock;<br />LARGE_INTEGER CreateTime;<br />LARGE_INTEGER ExitTime;<br />EX_RUNDOWN_REF RundownProtect;<br /> PVOID UniqueProcessId;<br />LIST_ENTRY ActiveProcess
windows内核进程/线程结构体
挖树
03-12 1295
进程线程 目录 文章目录目录进程结构体EPROCESS_EPROCESS_KPROCESS其他重要结构体线程结构体ETHREADETHREAD_KTHREAD其他重要结构体CPU控制区结构体KPCRNT_TIB其他重要成员KPRCB等待链表和调度链表等待链表33个链表版本差异总结 进程结构体EPROCESS 注意分清楚peb(ring 3)与EPROCESS(ring 0) 结构体很多,往往我...
KAPC_STATE结构体信息
01-04
KAPC_STATE是Windows内核中的一个结构体,用于表示内核模式下的异步过程调用(APC)状态。它包含了与APC相关的信息,如APC队列、APC状态和APC模式等。 以下是KAPC_STATE结构体的一些重要成员: - ApcList:一个双向链表,用于存储待执行的APC对象。 - Process:指向当前进程的EPROCESS结构体。 - KernelApcInProgress:一个布尔值,表示是否正在处理内核模式下的APC。 - KernelApcPending:一个布尔值,表示是否有待处理的内核模式APC。 - UserApcPending:一个布尔值,表示是否有待处理的用户模式APC。 - ApcQueueable:一个布尔值,表示是否可以将APC插入到APC队列中。 KAPC_STATE结构体的具体定义如下: ```c typedef struct _KAPC_STATE { LIST_ENTRY ApcListHead[MaximumMode]; struct _KPROCESS *Process; BOOLEAN KernelApcInProgress; BOOLEAN KernelApcPending; BOOLEAN UserApcPending; } KAPC_STATE, *PKAPC_STATE; ``` 通过使用KAPC_STATE结构体,内核可以管理和调度APC的执行,以实现异步操作和延迟执行的功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值