Windows10x64创建进程3环的CreateFlags到0环参数的转换

最新推荐文章于 2024-05-18 16:18:30 发布
最新推荐文章于 2024-05-18 16:18:30 发布
阅读量229 收藏
点赞数
分类专栏: 笔记 文章标签: c语言 windows 系统架构 数据结构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013677637/article/details/126675778
版权

随笔

伪代码:

DWORD dwCreateFlagsR0,dwFlagsTmp;


dwCreateFlagsR3 &= 0xFFFF3E1F;//先屏蔽掉一些R3属性位

dwFlagsTmp = (dwCreateFlagsR3 >> 12) & 0x40;//低12位已经处理完毕了

if(!dwCreateFlagsR3 & CREATE_BREAKAWAY_FROM_JOB)
	dwFlagsTmp |= 1;
if(dwCreateFlagsR3 & INHERIT_PARENT_AFFINITY)
	dwFlagsTmp |= 0x100;
if(!dwCreateFlagsR3 & CREATE_SUSPENDED)
	dwFlagsTmp |= 0x200;
if(dwCreateFlagsR3 & CRETAE_PROCESS || dwCreateFlagsR3 & CREATE_ONLY_THIS_PROCESS)
	if(dwCreateFlagsR3==CRETAE_PROCESS)
	dwFlagsTmp |= 1;
	if(dwCreateFlagsR3==CREATE_ONLY_THIS_PROCESS)
	dwFlagsTmp |= 2;
if(bInherit)
	dwFlagsTmp |= 4;
dwCreateFlagsR0 = dwFlagsTmp;

0环CreateFlags属性位: 而且CreateFlags==CreateProcessFlags
0x1  Debug_PROCESS
0x2  DEBUG_ONLY_THIS_PROCESS
0x4  INHERIT_HANDLE
0x400 UNK 与扩展StartInfo相关

oxygen1a1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2.API的调用过程(3进0
My classmates
10-16 1542
_KUSER_SHARED_DATA /*这是一个结构体,翻译过来就是: Kernel与User分享的一块数据。 0与3共享的一块内存 */ 在User层和Kernel层分别定义了一个KUSER SHARED DATA结构区域,用于User层和Kernel层共享某些数据 它们使用固定的地址值映射,_KUSER_SHARED_DATA结构区域在User和 Kernel层地址分别为: User...
Windows 0和3通信方式
maomao171314的专栏
08-03 570
0与3通讯
Windows系统调用学习笔记(二)—— 3进0
qq_41988448的博客
10-30 2563
Windows系统调用学习笔记(二)—— 3进0前言要点回顾基本概念_KUSER_SHARED_DATA0x7FFE0300实验:判断CPU是否支持快速调用第一步:修改EAX=1第二步:将当前汇编指令修改为cpuid第三步:清空ECX与EDX第四步:执行cpuid,观察结果第五步:观察EDX的SEP位(第11位)3进0基本步骤中断门进0分析 KiIntSystemCall分析 INT 0...
Windows进程创建的流程分析
swanabin的专栏
11-21 2391
.   创建进程的大体流程:   创建进程的过程就是构建一个境,这个境包含了很多的机制 (比如自我保护, 与外界通信等等)。 构建这个境需要两种“人”来协调完成(用户态和内核态),他们各有分工,其中用户态提供原料(提供创建的那些参数), 内核态负责来构建这个境,由于境是由内核态构建的,因此他持有这个境的控制权, 而用户由于提供了原料, 因此他具有使用权。 内核态开始构建境中的基
Windows进程创建的流程分析。
内心的宁静带给我们力量。
01-15 2609
.   创建进程的大体流程:   创建进程的过程就是构建一个境,这个境包含了很多的机制 (比如自我保护, 与外界通信等等)。 构建这个境需要两种“人”来协调完成(用户态和内核态),他们各有分工,其中用户态提供原料(提供创建的那些参数), 内核态负责来构建这个境,由于境是由内核态构建的,因此他持有这个境的控制权, 而用户由于提供了原料, 因此他具有使用权。 内核态开始构建境中的基
C++调用python的方法
热门推荐
krabbit1997的博客
09-26 1万+
实例:UE4中C++调用python模块实现Switchboard进程 Windows境下 UE通过调用bat脚本来开启子进程,bat脚本中会调用python.exe执行python脚本。 调用顺序为:C++ >> bat脚本 >> python.exe >> py文件 1. 编写python模块程序 包含以下文件目录: switchboard文件夹包含所有要执行的python脚本 venv文件夹包含执行python需要的境文件、解释器等 2. 编写调用pyth
26种对付反调试的方法
ttyyuu2011的专栏
11-12 1910
原文链接:https://my.oschina.net/u/1777508/blog/3049773 2019独角兽企业重金招聘Python工程师标准>>> hot3.png 目前主要有3种分析软件的方法: 1.数据交换分析,研究人员使用数据包嗅探工具来分析网络数据交换。 2.对软件的二进制代码进行反汇编,然后以汇编语言列出。 3.字节码解码或二进制解码,然后以高级编程...
网络靶场实战-安全开发之直接系统调用
蛇矛实验室
12-13 499
熟悉 Windows 编程的人应该知道,Native API 一般是不直接对外公开的,它通常作为操作系统内部的一个组件,并且只能由操作系统内部的组件或应用程序调用,所以在使用一些未文档的化的 Native API 时,需要通过网上公开的资料或者通过逆向取获取其函数原型和相关参数。在安全研发的过程中,难免会遇到在用户模式对抗 AV/EDR 的挂钩,应对的方法有很多,比如可以使用直接系统调用,还可以将杀软的所挂的钩子解除,还有一种就是寻找具有相同功能未被挂钩的 API。
CreateProcess流程分析
OSReact的专栏
07-12 1554
这个项目是本人在科锐和同学一起完成的项目,各有分工,我的任务是分析CreateProcess从用户态到内核态的整体流程框架(部分函数的具体实现由其他同学的完成)。 声明:由于本人能力有限,文中必然有错漏之处,恳请读者不吝赐教.(第一次写文章) 这里为了方便大家查阅,给出其他同学分析的链接: CreateProcess函数的整体流程分析:http://bbs.pediy.com/s
DirectX9 3D 快速上手
12-06
要使用DX,那么第一件...Microsoft.DirectX.Direct3D.CreateFlags behaviorFlags, //描述设备创建之后的行为Microsoft.DirectX.Direct3D.PresentParameters presentationParameters )// 设备把数据呈现到显示器的方式
ZooKeeper分布式系统协调-其他
06-12
5、总服务器在Zookeeper中创建节点,zk.create("/search/master","hostname".getBytes(),Ids.OPEN_ACL_UNSAFE,CreateFlags.EPHEMERAL); 6、备用的总服务器监控Zookeeper中的"/search/master"节点.当这个znode的...
StereoIssues
07-27
ID3DX10Font* gFont10 = NULL; ID3DX10Sprite* gSprite10 = NULL; CDXUTTextHelper* gTxtHelper = NULL; // our global vector of all our scenes. // Make this global because it's easier to work with DXUT ...
C语言——模拟实现库函数atoi
2302_80250536的博客
05-13 407
INT_MAX 和 INT_MIN 是 C语言 的两个预定义宏,代表了整型变量能够存储的最大正整数21474836472^31 − 1)和最小负整数-2^31这个值是相对于二进制补码表示的,也就是说,负数的范围比正数大 1,这两个宏在头文件中定义。
C语言:设计循队列
最新发布
Another_Shi的博客
05-18 766
本篇博客是写完LeetCode_662.设计循队列之后有感而发,于是写下了一些思路和总结。本题用了两种方法来解答——顺序表和链表。
基于JAVA8的lambda递归的treeNode树形遍历
白银の王二
05-14 152
【代码】基于JAVA8的lambda递归的treeNode树形遍历。
数据结构(Java实现):ArrayList
li_wj6的博客
05-17 672
ArrayList的介绍
获取文件夹目录下的文件列表(支持字符串数字任意混合)
scimence的专栏
05-14 232
【代码】获取文件夹目录下的文件列表(支持字符串数字任意混合)
软考 系统架构设计师系列知识点之杂项集萃(14)
phmatthaus的专栏
05-18 648
软考 系统架构设计师系列知识点之杂项集萃(14)
c#绘制三维图形
05-30
<PerspectiveCamera Position="0,0,10" LookDirection="0,0,-1" UpDirection="0,1,0" /> <Model3DGroup> <MeshGeometry3D Positions="0,1,0 1,-1,0 -1,-1,0" TriangleIndices="0 1 2" /> ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值