获得进程的EPROCESS

作者: 来源:网络文章时间:2005-12-16 23:42:39

获得进程的EPROCESS(1)

获得进程的EPROCESS

发布日期：2004-06-02
文摘内容：

文摘出处：http://www.xfocus.net/articles/200406/706.html

创建时间：2004-06-01
文章属性：原创
文章提交：MustBE (zf35_at_citiz.net)

By [I.T.S]SystEm32

Welcome to our web site http://itaq.ynpc.com/itsbbs/

thanks to SobeIt : P
---------------------------------------------------------------------------------------------

  每个Windows进程都有一个相对应的执行体进程(EPROCESS,也就是KTEB),EPROCESS不仅包括了进程的许多属性,还包扩了许多指向其他数据结构的指针,其中包含了大量有用的信息.本文仅讲述如何获得特定进程对应的EPROCESS,EPROCESS的作用及数据结构不在本文讨论范围之内.

绿盟高手flier在他的文章中提到,使用ZwQuerySystemInformation函数获取所有核心句柄表，线性搜索到进程句柄，其指向的内核对象就是EPROCESS。

ZwQuerySystemInformation函数原形如下

NTSYSAPI
NTSTATUS
NTAPI
ZwQuerySystemInformation
(
    IN SYSTEM_INFORMATION_CLASS SystemInformationClass,
    IN OUT PVOID SystemInformation,
    IN ULONG SystemInformationLength,
    OUT PULONG ReturnLength OPTIONAL
);

参数意义如下

SystemInformationClass:被查询的系统信息的类型,SYSTEM_INFORMATION_CLASS的枚举类型之一

SystemInformation:指向一个接受系统信息的缓冲区的指针

SystemInformationLength:缓冲区长度

ReturnLength:指向一个接受实际返回字节数的变量,可以为0

为了获取EPROCESS,我们使用SYSTEM_HANDLE_INFORMATION作为第一参数来调用 ZwQuerySystemInformation

SYSTEM_INFORMATION_CLASS的结构如下

typedef strUCt _SYSTEM_HANDLE_INFORMATION
{
    ULONG            ProcessId;
    UCHAR            ObjectTypeNumber;
    UCHAR            Flags;

1.获得进程的EPROCESS(1)
2.获得进程的EPROCESS(2)
3.获得进程的EPROCESS(3)
4.获得进程的EPROCESS(4)
5.获得进程的EPROCESS(5)
6.获得进程的EPROCESS(6)
7.获得进程的EPROCESS(7)
8.获得进程的EPROCESS(8)
9.获得进程的EPROCESS(9)
10.获得进程的EPROCESS(10)
11.获得进程的EPROCESS(11)
12.获得进程的EPROCESS(12)
13.获得进程的EPROCESS(13)

共13页 9 7 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] 8 :>

获得进程的EPROCESS 相关文章：

获得进程的EPROCESS 相关软件：

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
转载请注明来源：http://www.xgdown.com