r0遍历系统进程方法总结

最新推荐文章于 2023-11-18 10:22:45 发布
最新推荐文章于 2023-11-18 10:22:45 发布
阅读量1.9k 收藏 2
点赞数
文章标签: 遍历 进程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zfdyq0/article/details/39558857
版权

方法1: ZwQuerySystemInformation

这个方法网上一搜一大堆,不举例了

方法2:暴力枚举PID枚举进程,代码:

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegStr)
{

	pDriverObj->DriverUnload = MyUnload;

	DbgPrint("DriverEntry...\n");

	//1.暴力枚举PID,枚举进程
	for (ULONG i = 0; i < 65535; i += 4)
	{
		SearchProcessPID(i);
	}
	return STATUS_SUCCESS;
}
//暴力枚举PID,枚举进程
NTSTATUS SearchProcessPID(ULONG pid)
{
	NTSTATUS status = STATUS_SUCCESS;
	PEPROCESS process = NULL;
	PUCHAR processName;
	status = PsLookupProcessByProcessId((HANDLE)pid, &process);
	processName = ExAllocatePool(NonPagedPool, sizeof(process));
	if (NT_SUCCESS(status))
	{
		processName = PsGetProcessImageFileName(process);
		DbgPrint("PID:%d,processName:%s\n", pid, processName);
	}

方法3和方法1原理相同,枚举eprocess结构体的ActiveProcessLinks链表实现,代码如下 

//通过EPROCESS枚举进程
NTSTATUS SearchProcessEPROCESS()
{
	PEPROCESS process=NULL,firstProcess=NULL;
	NTSTATUS status = STATUS_SUCCESS;
	PLIST_ENTRY plist;
	process = firstProcess = PsGetCurrentProcess();
	do
	{
		PUCHAR ProcessNmae = NULL;
		ProcessNmae = PsGetProcessImageFileName(process);
		DbgPrint("PID:%d,ProcessName:%s\n", (HANDLE)PsGetProcessId(process), ProcessNmae);
		plist = (PLIST_ENTRY)((ULONG)process + ACTIVE_PROCESS_LINK);
		process = (PEPROCESS)((ULONG)plist->Flink - ACTIVE_PROCESS_LINK);
		if (process == firstProcess)
		{
			break;
		}
	} while (process != NULL);

	return status;
}




zfdyq0
关注
04-进程进程遍历
https://www.yuque.com/onlyxiu-123com
03-07 997
进程进程遍历
操作系统实验(实验一、进程调度试验、题目和报告都有丫)C++
m0_61506821的博客
11-24 969
实验一、进程调度试验(题目和报告都有丫) [目的要求]   用高级语言编写和调试一个进程调度程序,以加深对进程的概念及进程调度算法的理解. [准备知识] 一、基本概念 1、进程的概念; 2、进程的状态和进程控制块; 3、进程调度算法; 二、进程调度 1、进程的状态...... 2、进程的结构——PCB 进程都是由一系列操作(动作)所组成,通过这些操作来完成其任务。因此,不同的进程,其内部操作也不相同。在操作系统中,...
r0进程保护
hongduilanjun的博客
03-07 1410
前言 SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。SSDT 并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。通过修改此表的函数地址可以对常用 Windows 函数及 API 进行 Hook,从而实现对一些关心的系统动作进行过滤、监控的目的。一些 HIPS、防毒软件、系统监控、注册表监控软件往往会采用
驱动开发-遍历进程
Fly_Sky
10-18 941
理论来源:http://www.weixianmanbu.com/article/749.html 总结: !Process 0 0   进程列表 dt _eprocess    ----提示无改命令时使用.reload /f nt dt _eprocess 进程地址  --得到进程详细信息 DDFF进程地址+0x88  --得到下个进程地址结构指针 地址结构指针-0x88
驱动遍历进程方法
qq_41071646的博客
10-27 1458
/*#include &lt;ntddk.h&gt; #define DEVICE_OBJECT_NAME L"\\Device\\BufferedIODeviceObjectName" #define DEVICE_LINK_NAME L"\\DosDevices\\BufferedIODevcieLinkName" void dirver(IN PDRIVER_OBJECT pDri...
用驱动遍历获取完整进程
Misaka10046的博客
04-14 416
WIN7 X86。
基于重标记系统的分布式图遍历
在本文中,我们使用图相关系统来编码两种基本的图遍历,即广播和收敛广播。这种编码使我们能够为许多分布式图算法导出正式的,模块化的和简单的编码。我们说明了这种方法通过调查的广度-第一生成树的分布式计算和...
操作系统 进程调度模拟实验报告(报告中附源码)
05-12
- 使用插入排序的方法遍历队列找到合适的位置插入新进程。 3. **进程创建与初始化**: - 输入进程数量和每个进程的具体参数(如名称、优先级、所需运行时间等)。 - 初始化进程状态为就绪状态,并将其插入到...
操作系统进程模拟代码
12-21
根据给定的信息,本文将对“操作系统进程模拟代码”中的关键知识点进行详细的解析与说明。 ### 一、程序概述 该程序主要实现了简单的操作系统进程调度模拟功能,通过定义进程控制块(Process Control Block, PCB)...
R0进程保护驱动源码_读写驱动_保护进程_R0进程保护驱动源码_zulu5fi_R0驱动读写
03-25
R0进程保护驱动源码 读写游戏内存,可以读写任意游戏进程信息,居家旅行必备工具
驱动开发:内核遍历进程VAD结构体
热门推荐
CSDN
10-13 2万+
树的每一个节点代表一段虚拟地址空间。程序中的代码段,数据段,堆段都会各种占用一个或多个。结构体,需要说明的是栈并不受VAD的管理。同样这是微软定义,如果想要的到最新的,自己下载WinDBG调试内核输入命令。内存块的属性,这个内存结构定义在WinDBG中可看到。结构的偏移值,每个系统都不一样,版本不同偏移值会不同。当需要得到该进程的VAD结构时,只需要使用。结构中可以找到VAD结构的相对偏移。可以看到在本系统中VAD的偏移是。头文件,并写入如下代码,此处的。来显示该进程的VAD树。结构树,这个结构通常在。
4.6 Windows驱动开发:内核遍历进程VAD结构体
最新发布
CSDN
11-18 1万+
总之,VAD结构是Windows操作系统中管理进程虚拟地址空间的重要数据结构之一,它通过构建一个树形结构来管理进程的虚拟地址空间,并提供了丰富的属性信息,使得操作系统可以对虚拟地址空间进行有效的管理和保护。系统在创建线程时,会为该线程分配一段物理内存页,并映射到该线程的栈空间中,然后将栈空间的起始地址记录在该线程的。EPROCESS 结构体是用于表示操作系统中的一个进程的数据结构,其中包含了许多与该进程相关的信息,包括了该进程的虚拟地址空间描述符树(VAD 结构树)。,树的每一个节点代表一段虚拟地址空间。
进程遍历(枚举),模块遍历,线程遍历进程链表,线程链表,模块链表
fzy20062008的专栏
08-07 1691
关键字: R3 Peb.Ldr,PEB_LDR_DATA NtQuerySystemInformation,ZwQueryInformationProcess, CreateToolhelp32Snapshot,EnumProcesses,EnumProcessModules ReadProcessMemory,NtReadProcessMemory kernel32.dll,psa...
内核模块遍历进程
华的专栏
07-27 2942
#include #include #include   #include #include   int __init sched_fun_init() { struct task_struct *p, *ts = &init_task; struct list_head *pos; int count = 0; list_for_each(pos, &t
windows系统中核心态R0和用户态R3之间的通信
qq_33526144的博客
12-12 4408
权限级别 系统核心态指的是R0,用户态指的是R3,系统代码在核心态下运行,用户代码在用户态下运行。系统中一共有四个权限级别,R1和R2运行设备驱动,R0到R3权限依次降低,R0和R3的权限分别为最高和最低。从windows体系结构图可以看出在用户态可以调用的函数接口都在ntdll.dll中, ...
Linux获取ring0权限,Ring0和Ring3权限级
weixin_33967069的博客
04-29 706
本节的内容以知识为主,比较少技巧和经验。读者只需要了解,不需要熟练。如果你熟悉x86架构,请直接跳过这节。现在探讨内核程序和应用程序之间的本质区别。除了能用WDK编写内核程序和阅读一部分Windows的内核代码之外,我们还需要了解它们的本质是什么,它们和我们熟悉的应用程序有什么区别。Intel的x86处理器是通过Ring级别来进行访问控制的,级别共分4层,从Ring0到Ring3(后面简称R0、R...
CPU特权级别
m0_59012978的博客
06-07 1267
Intel CPU拥有四个特权级别,由r0到r3,由寄存器中的两个隐藏位(bit)指定:00为r0,01为r1,10为r2,11为r3。 权限大小:r0>r1>r2>r3,每种特权级别所能执行的CPU指令都不同,r0能执行所有指令,其它三个能执行的指令依次递减。 Windows使用r0作为内核态特权级别,使用r3作为用户态特权级别,其它CPU和系统具体情况不了解,应该大同小异。 系统CPU时间 运行内核代码所消耗掉的CPU时间,或者说在内核...
Python文件与目录操作全攻略:os和shutil模块详解
本文档全面总结了Python中进行文件和目录操作的方法,主要包括os和shutil这两个核心模块。首先,os模块提供了以下功能: 1. **获取当前工作目录**:`os.getcwd()`用于获取Python脚本运行时的当前目录路径,这对于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值