在EPROCESS中搜索ProcessName的偏移

最新推荐文章于 2021-03-16 12:26:49 发布
最新推荐文章于 2021-03-16 12:26:49 发布
阅读量985 收藏
点赞数
分类专栏: 底层 
ULONG gProcessNameOffset;
void GetProcessNameOffset()
{
 PEPROCESS curproc;
 int i;
 curproc = PsGetCurrentProcess();
 for( i = 0; i < 3*PAGE_SIZE; i++ )
 {
    if( !strncmp( "System", (PCHAR) curproc + i, strlen("System") ))
    {
     gProcessNameOffset = i; 
    }
 }
}

whitesilt
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows内核驱动EPROCESS遍历进程模块
12-14
"EPROCESS遍历进程模块"这个主题涉及到的是如何在内核驱动获取并遍历当前系统所有进程的加载模块信息。EPROCESS结构体在Windows内核代表一个进程,而模块则是进程执行时加载的动态链接库(DLL)或其他可执行...
android系统各个部分获取进程名称的方法
jinron10的专栏
06-27 752
驱动程序的加载函数DriverEntry是运行在System进程的.通过PsGetCurrentProcess可以获取System进程的内核EPROCESS结构的地址,然后从该地址开始寻找"System"字符串.找到后,便是EPROCESS的进程名存放的偏移处.得到进程名在EPROCESS结构的偏移后,以后的进程调用驱动的时候,就可以直接在该偏移处获取当前进程名.代码如下: DWORD Ge...
Win2008 R2 EPROCESS结构
trents的专栏
10-20 1182
lkd> dt _eprocess nt!_EPROCESS    +0x000 Pcb              : _KPROCESS    +0x160 ProcessLock      : _EX_PUSH_LOCK    +0x168 CreateTime       : _LARGE_INTEGER    +0x170 ExitTime         : _LARGE_IN
内核驱动程序获取当前用户进程的进程名的方法
坦然
08-13 3228
驱动程序的加载函数DriverEntry是运行在System进程的.通过PsGetCurrentProcess可以获取System进程的内核EPROCESS结构的地址,然后从该地址开始寻找"System"字符串.找到后,便是EPROCESS的进程名存放的偏移处.得到进程名在EPROCESS结构的偏移后,以后的进程调用驱动的时候,就可以直接在该偏移处获取当前进程名.代码如下: DWORD Get
内核驱动程序获取当前用户进程的进程名的一种方法
A00553344的专栏
01-29 7430
内核驱动程序获取当前用户进程的进程名的一种方法在内核驱动程序,可以通过PsGetCurrentProcess函数来获取当前调用驱动的进程的EPROCESS结构的地址.很多文章都说在EPROCESS结构的0x174偏移处存放着进程名.这里提供另外一种方法来获取这个进程名.思路如下:驱动程序的加载函数DriverEntry是运行在System进程的.通过PsGetCurrentProce
Hook ZwQuerySystemInformation 隐藏qq程序
03-07 2810
近一直在研究rootkit,首先申明我是rootkit的菜鸟哈,也感觉还么有研究得好深。这次我把我练习时写的一个hook 系统 ZwQuerySystemInformation 函数来实现隐藏QQ进程的代码贴上来,也算是为成黑添砖添瓦哦。隐藏了的进程能够被rootkit的检测工具检测出来,但是一般的方法是看不出来的,比如任务管理器,和程序里面列出进程都是看不到的。程序我已经添加了相关的注释,这里
eprocess.zip_EPROCESS_eprocess结构体
09-24
在Windows操作系统,EPROCESS结构体是内核级的数据结构,它代表了系统的一个进程。这个结构体包含了关于进程的各种信息,如进程ID、内存分配、权限、句柄表等。当我们谈论“wrk当前进程的EPROCESS结构体”时,...
get-EPROCESS.zip_EPROCESS
09-23
在Windows操作系统,EPROCESS是内核模式下的一个数据结构,它代表了系统的每一个进程。EPROCESS结构包含了关于进程的各种信息,如进程ID、安全上下文、虚拟内存分配等。"get-EPROCESS.zip_EPROCESS"这个文件组合...
eprocess
03-13
在IT行业,`eprocess` 可能是一个与进程管理相关的项目或库,尤其是在使用TypeScript编程语言的情况下。TypeScript是JavaScript的一个超集,它增加了静态类型和其他高级特性,为大型和复杂项目提供了更好的开发...
EPROCESS_EPROCESS_Vc_
09-30
在Windows操作系统,EPROCESS是内核级的数据结构,它代表了一个系统的进程。这个结构体包含了关于进程的各种信息,如进程ID、内存分配、权限级别等。"EPROCESS_EPROCESS_Vc_"这个标题可能指的是对EPROCESS结构体...
Windows 驱动:获取当前进程名
IamRainLiang的专栏
01-25 6861
 这是一个比较简单的问题,在 REGON 的源码可以找到实现的相关代码,我只是把它们整理封装了一下。//// Process name max length: by bytes// (This value is 16 bytes in RegMon) //#define MAX_PROC_NAME_LEN 256//// This is the offset into a KPEB of t
VC文件过滤系统驱动开发Filemon学习笔记
03-22 1484
WINDOWS文件过滤系统驱动开发,可用于硬盘还原,防病毒,文件安全防护,文件加密等诸多领域。而掌握核心层的理论及实践,对于成为一名优秀的开发人员不可或缺。   WINDOWS文件过滤系统驱动开发的两个经典例子,Filemon与SFilter,初学者在经过一定的理论积累后,对此两个例子代码的研究分析,会是步入驱动开发殿堂的重要一步,相信一定的理论积累以及贯穿剖析理解此两个例程后,就有能力开始进
内核获取进程名KeGetProcName
avder的专栏
06-14 3809
内核获取进程名,使用EPROCESS的ImageFileName只能显示15个字节,如下:    +0x174 ImageFileName    : [16]  "aaaaaaaaaaaaaaa" 问了mo哥后发现SeAuditProcessCreationInfo有ImageFileName 字段,类型为_OBJECT_NAME_INFORMATION,可以从该字段获取全路径和进程名。一
通过GetProcessNameByProcessId得到进程路径
kernweak的博客
07-19 3916
写主防时,为了拿到进程路径,所以查询发现一种发现一种方式是通过PID,调用PsLookupProcessByProcessId(ProcessId, &ProcessObj)拿到进程的EPROCESS,然后PsGetProcessImageFileName(ProcessObj)拿到进程进程路径。 现在看下PsLookupProcessByProcessId资料 kd> u P...
驱动下通过进程PID获得进程名 (动态获取ImageFileName在EPROCESS结构体的相对偏移)...
weixin_30828379的博客
01-31 855
思路   进程EPROCESS结构体含有进程名ImageFileName(需求处ImageFileName在EPROCESS结构体的相对偏移)——》获得进程EPROCESS——》通过进程句柄获得EPROCESS——》通过进程PID打开进程获得进程句柄 计算ImageFileName在EPROCESS结构体的相对偏移     方法一 来个判断操作系统,再利用windbg调试得到相...
(转载)再谈Windows NT/2000内部数据结构
峥嵘岁月
01-30 2051
    现在我们结合Regmon(http://www.sysinternals.com/)在NT的实现方法再来谈谈Windows NT/2000内部数据结构。    Regmon是监视应用程序访问系统注册表的实用程序。大家都知道在应用程序使用注册表一般都调用WinAPI Regxxx,而Regxxx最终会调用Native API Zwxxx!(参阅Windows NT/2000 DDK
php获取进程pid,驱动下通过进程PID获得进程名 (动态获取ImageFileName在EPROCESS结构体的相对偏移)...
weixin_36176188的博客
03-16 344
思路进程EPROCESS结构体含有进程名ImageFileName(需求处ImageFileName在EPROCESS结构体的相对偏移)——》获得进程EPROCESS——》通过进程句柄获得EPROCESS——》通过进程PID打开进程获得进程句柄计算ImageFileName在EPROCESS结构体的相对偏移方法一 来个判断操作系统,再利用windbg调试得到相应的偏移来对应方法二 动态获取这...
在驱动获取进程全路径
leon
07-19 3081
本文转自 http://xiabl.blog.ccidnet.com/blog.php?do=showone&itemid=129339&typ=blog仅作收藏  在驱动获取进程全路径系统具备:WinDbg, Windows Symbol Packages (http://www.microsoft.com/whdc/devtools/debugging/symbolpkg.msp
eprocess存在进程内存
最新发布
07-14
在Windows操作系统,EPROCESS(进程控制块)是操作系统内核的数据结构,用于描述和管理一个进程的信息。EPROCESS结构并不直接存在于进程的虚拟内存空间,而是在内核地址空间。 每个进程都有一个唯一的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值