获得进程的EPROCESS(2) USHORT Handle; PVOID Object; Access_MASK GrantedAccess;} SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION;ProcessId:进程标识符 ObjectTypeNumber;打开的对象的类型Flags:句柄属性标志Handle:句柄数值,在进程打开的句柄中唯一标识某个句柄Object:这个就是句柄对应的EPROCESS的地址GrantedAccess:句柄对象的访问权限下面我写了一个小程序来获得EPROCESS( GetKTEB.cpp )比较faint的是程序写好后发现并未如预期般获得EPROCESS,通过调试发现ZwQuerySystemInformation()返回的进程的句柄中并没有进程本身的句柄怎么会这样?难道程序写错了?*_*现在只好靠SoftICE给出答案了,CTRL+D唤出SoftICE,随便选了个进程--QQ,让我们来看看SoftICE的输出:proc -o QQProcess KPEB PID Threads Pri User Time Krnl Time StatusQQ 827CD520 11C 2A 8 00000B90 000008D4 Ready ---- Handle Table Information ---- Handle Table: FFAD93C8 Handle Array: E2BEB000 Entries: 590 Handle Ob Hdr * Object * Type 0000 00000000 00000018 ? 0004 E2DA5E58 E2DA5E70 Section 0008 FFAB35C8 FFAB35E0 Event 000C FFAB3B08 FFAB3B20 Event
