内核枚举进程总结

最新推荐文章于 2022-10-14 13:15:37 发布
最新推荐文章于 2022-10-14 13:15:37 发布
阅读量3.5k 收藏 9
点赞数
分类专栏: 驱动学习 文章标签: 内核进程枚举
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/51292605
版权

我知道的有三种方法

这里的第三种和第二种是一样的 隐藏进程也可以在这么做手脚

但需要注意多线程,在操作前,理应加锁

可以参考这篇文章

http://blog.csdn.net/zfdyq0/article/details/41813747

 

1.暴力枚举进程 通过PsLookupProcessByProcessId/Cid获得EPROCESS

第一个参数我们使用循环 填入0~65535

for (ULONG i = 0; i < 65535; i += 4)  
{  
     SearchProcessPID(i);  
}  
return STATUS_SUCCESS;

其中注入PsLookupProcessByProcessId会导致bypass,建议使用Cid

 

 

2.通过ZwQuerySystemInformation

 

3.通过进程活动连来枚举

 

代码如下:

 

#include "ntddk.h"


typedef struct  _PROCESS_INFO
{
	ULONG_PTR eprocess;
	ULONG pid;
	ULONG ppid;
	UNICODE_STRING pathName;
	UNICODE_STRING ImageFileName;
}PROCESSINFO,*PPROCESSINFO;

typedef struct _SYSTEM_THREADS
{
	 LARGE_INTEGER  KernelTime;
	 LARGE_INTEGER  UserTime;
	 LARGE_INTEGER  CreateTime;
	 ULONG    WaitTime;
	 PVOID    StartAddress;
	 CLIENT_ID   ClientID;
	 KPRIORITY   Priority;
	 KPRIORITY   BasePriority;
	 ULONG    ContextSwitchCount;
	 ULONG    ThreadState;
	 KWAIT_REASON  WaitReason;
	 ULONG    Reserved; //Add
}SYSTEM_THREADS,*PSYSTEM_THREADS;
  
typedef struct _SYSTEM_PROCESS_INFORMATION {  
    ULONG                   NextEntryOffset;  
    ULONG                   NumberOfThreads;  
    LARGE_INTEGER           Reserved[3];  
    LARGE_INTEGER           CreateTime;  
    LARGE_INTEGER           UserTime;  
    LARGE_INTEGER           KernelTime;  
    UNICODE_STRING          ImageName;  
    KPRIORITY               BasePriority;  
    HANDLE                  ProcessId;  
    HANDLE                  InheritedFromProcessId;  
    ULONG                   HandleCount;  
    ULONG                   Reserved2[2];  
    ULONG                   PrivatePageCount;  
    VM_COUNTERS             VirtualMemoryCounters;  
    IO_COUNTERS             IoCounters;
最低0.47元/天 解锁文章
zhuhuibeishadiao
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ZwQuerySystemInformation枚举进程线程的软件源码
04-10
ZwQuerySystemInformation枚举进程线程VB很实用的源码,精心挑选的精品源码
PsLookupProcessByProcessId分析
weixin_30892037的博客
03-13 1453
本文是在讨论枚举进程的时候产生的,枚举进程有很多方法,Ring3就是ZwQuerySystemInformation(),传入SysProcessesAndThreadsInformation这个宏,或者用CreateToolhelp32Snapshot系统快照的方式枚举进程,还用就是用WTSOpenServer这个第三方库的函数,Ring0就是进程活动链表,系统句柄表中枚举。然后就是Ps...
PsLookupProcessByProcessId的执行流程
yaneng的专栏
06-18 2778
本来偶在学习内核线程调度的东西,发现里面有关于HANDLE_TABLE的知识.于是参照WRK把附带的一些东西深入学习了一下子--关于PsLookupProcessByProcessId的执行流程[写点心得存档,供以后学习的同学参考.老鸟飘过~]本来偶在学习内核线程调度的东西,发现里面有关于HANDLE_TABLE的知识.于是参照WRK把附带的一些东西深入学习了一下子--
通过暴力搜索PID遍历进程并获取进程信息
LYSM
06-23 2883
背景 通常我们在内核中使用 ZwQuerySystemInformation 函数来遍历进程模块并获取进程信息,这种是通过正常的进程遍历方式,所以,有很多 Rootkit 程序会 HOOK 这个 ZwQuerySystemInformation 函数,过滤指定进程,从而实现进程的隐藏。 本文实现的进程遍历和获取进程信息并不打算使用 ZwQuerySystemInformation 这种方式,而是直接暴力搜索进程的 PID,根据有效的 PID 获取相应进程的信息,从而实现进程的遍历。现在,我就来讲解具体的实现
C# 通过进程名/进程Id 操作窗口/程序
weixin_33713503的博客
07-26 344
1. 判断窗口是否存在 1 private bool IsWindowExist(IntPtr handle) 2 { 3 return (!(GetWindow(new HandleRef(this, handle), 4) != IntPtr.Zero) && IsWindowVisible(n...
MFC枚举进程内核句柄
12-01
本项目“MFC枚举进程内核句柄”正是基于MFC构建的一个实用工具,它能够枚举并显示指定进程中的所有内核句柄信息,类似于知名的系统调试工具如XT或Process Explorer。 首先,我们需要理解什么是内核句柄。在Windows...
枚举进程句柄.rar
02-01
在IT领域,特别是系统编程和软件开发中,枚举进程句柄是一项重要的技术。这个"枚举进程句柄.rar"文件包含了一个用Delphi编写的示例程序,它展示了如何枚举并查看指定进程中的文件句柄、Mutex(互斥量)以及注册表...
易语言进程内核操作
07-22
易语言进程内核操作源码,进程内核操作,加载驱动,取SSDT,枚举进程,枚举进程2,枚举线程,调用转向,s7r5jr57d,取进程路径,取进程名,提升进程权限debug,进程结束,内存清零,取文件名,取路径,填充,枚举内核模块,强力打开...
易语言枚举内核对象句柄
01-09
总结来说,"易语言枚举内核对象句柄"是易语言提供的一个高级功能,允许开发者查看和操作系统的内核对象句柄,从而实现对系统状态的监控和管理。这需要深入理解操作系统的工作原理以及易语言的编程模型。正确使用这个...
枚举当前进程
11-29
总结来说,利用VC++和MFC结合ToolHelp API枚举Windows进程,涉及到的知识点包括:Windows API的使用、MFC控件交互、系统资源管理以及可能的多线程同步。通过实践这个过程,开发者可以深入理解Windows系统底层的工作...
64-bits-inline-hook:内联挂钩PsLookupProcessByProcessId
04-29
64位内联钩 内联挂钩PsLookupProcessByProcessId。 谢谢你
GetProcessId 函数使用方法 示例
编程论坛
06-11 1万+
#include "stdafx.h"#include &lt;Windows.h&gt;int _tmain(int argc, _TCHAR* argv[]){        HWND h=FindWindowA(NULL,"代码注入器 郁金香灬软件 QQ:150330575——出售游戏外挂技术,教程");        printf("h=%llx \n",h);        DWORD ...
pslookupprocessbyprocessid
Sunny_wwc的专栏
10-12 5833
PsLookupProcessByProcessId执行流程学习笔记本帖被 xIkUg 执行取消置顶操作(2008-01-14) 本来偶在学习内核线程调度的东西,发现里面有关于HANDLE_TABLE的知识.于是参照WRK把附带的一些东西深入学习了一下子--关于PsLookupProcessByProcessId的执行流程[写点心得存档,供以后学习的同学参考.老鸟飘过~]NtOpenProcess->PsLookupProcessByProcessId->ExMapHandleToPointer->ExpL
进程链表监视进程是否被创建或者销毁
晓斌的博客
05-11 1735
KmdKit/examples/basic/Synchronization/SharedEvent - ProcessMon驱动代码:;:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::;;通过进程活动链表取得活动进程,当一个进程被创建或者被销毁,
通过PID获取进程全路径
kernweak的博客
05-30 1303
/* NTKERNELAPI NTSTATUS PsLookupProcessByProcessId( IN HANDLE ProcessId, OUT PEPROCESS *Process ); NTSTATUS IoQueryFileDosDeviceName( IN PFILE_OBJECT FileObject, OUT POBJECT_NAME_INF...
驱动开发:内核枚举进线程与模块
热门推荐
CSDN
10-14 1万+
内核枚举进程使用`PspCidTable` 这个未公开的函数,它能最大的好处是能得到进程的EPROCESS地址,由于是未公开的函数,所以我们需要变相的调用这个函数,通过`PsLookupProcessByProcessId`函数查到进程的EPROCESS,如果`PsLookupProcessByProcessId`返回失败,则证明此进程不存在,如果返回成功则把EPROCESS、PID、PPID、进程名等通过DbgPrint打印到屏幕上。
windows内核枚举进程pid例子
最新发布
04-20
Windows内核可以通过遍历进程控制块(Process Control Block,简称PCB)来枚举进程的PID。下面是一个简单的示例代码,用于在Windows内核枚举进程的PID: ```c #include NTSTATUS EnumerateProcesses() { ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值