EPROCESS

VAD 虚拟内存

Windows中的虚拟地址分配使用指令dt_EPROCESS874ed030观察EPROCESS结构体偏移为0x278的地方,这个地方就是系统拿来存放每个进程的虚拟地址空间的分配情况输入!
0xwangliang·2024-09-06 15:51

【windows】_TEB、_PEB等结构体关系图及成员说明

_EPROCESS、_ETHREAD、_KPROCESS、_KTHREAD、_TEB、_PEB等结构体关系图https://tvax2.sinaimg.cn/large/00718WWkly1hjljnqrkecj360fcn47x6
欧恩意·2023-11-06 19:41

Windows驱动反调试的一种手段

Windows驱动反调试的一种手段今天要介绍的是eprocess的0xbc位置+0x0bcDebugPort:Ptr32VoidDebugPort是在用windowsapi调试方式时候所使用的数据结构指针
ch132·2023-10-02 02:23

驱动隐藏进程(eprocess断链)

驱动隐藏进程(eprocess断链)进程在内核中存在一个双向链表将所有的活动进程串联起来,今天写的就是将我们的目标进程从这个链表中移除以达到隐藏进程的目的具体的原理就不详细描述了,这种办法是最为基础的隐藏手段而且网上有很多文章
ch132·2023-10-02 02:53

EPROCESS 结构体属性介绍

typedefstruct_EPROCESS{//KPROCESS和EPROCESS地址相同KPROCESSPcb;////Lockusedtoprotect://Thelistofthreadsintheprocess
hambaga·2023-09-27 13:15

【Windows系统编程】02.进程与线程(一)-笔记

进程,进程对象虚拟内存进程不能执行代码,数据结构,三环PEB,0怀EPROCESS对进程进行管理线程列表线程才是真正执行代码主线程:主函数线程依赖于cpu时间片切换单核,多核主线程消息,进程销毁intmain
WdIg-2023·2023-08-16 07:54

EPROCESS 结构体中flag字段的解释

比如我在其中一次的调试过程中发现,一个EPROCESS结构体的FLAGS字段的值为144d0c01转换成二进制形式就是下面这样0001010001001101000011000000000110987654321098765432109876543210
ma_de_hao_mei_le·2023-08-11 17:55

指定PID句柄降权

遍历指定PID进程的私有句柄表,如果发现其有DbgView.exe进程的EPROCESS则将其句柄权限进行修改,俗称句柄降权这里有个注意点,因为我们的程序即使关闭了,它的EPROCESS还是会遍历到,只是它的
mi-key·2023-07-28 14:57

windows进程结构体

这个结构体叫EPROCESS,里面包含了很多重要的信息。想要查看这个结构
call就不要ret·2023-06-23 19:15

驱动开发:内核中进程与句柄互转

在Windows内核中,`EProcess`结构表示一个进程,而HANDLE是一个句柄。为了实现进程与句柄之间的转换,我们需要使用一些内核函数。
lyshark·2023-06-23 10:00

句柄表 ——遍历句柄表实现反调试

我们可以通过遍历全局句柄表获取操作系统中的全部进程(如OllyDbg就实现了进程隐藏,在任务管理器中是无法看到该进程的),然后再遍历每个进程的私有句柄表,检测其私有句柄表中是否存储着被保护进程的内核对象地址_EPROCESS
walker-n·2023-04-18 13:43

进程结构体

进程结构体EPROCESS每个windows进程在0环都有对应的结构体:EPROCESS这个结构体包含了进程所有重要的信息。
虚构之人·2023-03-29 12:05

Windows内核对象,句柄表

process00查看进程eprocess:dt_eprocessfffffa801aaae060含有_handle_tabletypedefstruct_HANDLE_TABLE//15elements
fIappy·2023-02-19 03:20

Windows内存管理分析(一)

本文基于IA-32架构,假定读者已经了解IA-32架构下的MMU(具体请阅读Intel手册)如何工作以及拥有良好的数据结构基础一、虚拟内存的管理进程地址空间的信息由MMSUPPORT结构体所描述,每个EProcess
看雪学院·2021-06-21 12:38

驱动中调用 ZwOpenProcess 后关闭句柄问题

在写遍历EPROCESS链表的时候,关闭自己的程序后,总是不能在进程链表中抹去,查了半天,原来是句柄资源没有释放的问题。
想要养只猫·2020-09-17 08:12

进程挂靠后使用PsGetCurrentProcessId获取的进程ID不准

如题,在使用KeStackAttachProcess挂靠到目标进程后,又调用了一系列子函数,此时并没有把EPROCESS传进去。
FFE4·2020-09-17 08:10

[Windows 驱动开发] 隐藏进程内存

原理在进程的_EPROCESS中有一个_RTL_AVL_TREE类型的VadRoot成员,它是一个存放进程内存块的二叉树结构,如果我们找到了这个二叉树中我们想要隐藏的内存,直接将这个内存在二叉树中“抹去
(-: LYSM :-)·2020-09-14 18:22

NT主要内核结构 windows 2003

虽然时常看到有新手询问各OS版本_EPROCESS_ETHREAD之类的结构.但本文的目的却绝对不是告诉你这些结构到底是怎样的.也不会介绍如何获得.实在是太白痴的问题.自己随便百度下”VMWindbg双机调试
PKwok·2020-09-14 18:07

NT主要内核结构 windows vista

虽然时常看到有新手询问各OS版本_EPROCESS_ETHREAD之类的结构.但本文的目的却绝对不是告诉你这些结构到底是怎样的.也不会介绍如何获得.实在是太白痴的问题.自己随便百度下”VMWindbg双机调试
PKwok·2020-09-14 18:07

NT主要内核结构 windows XP

虽然时常看到有新手询问各OS版本_EPROCESS_ETHREAD之类的结构.但本文的目的却绝对不是告诉你这些结构到底是怎样的.也不会介绍如何获得.实在是太白痴的问题.自己随便百度下”VMWindbg双机调试
PKwok·2020-09-14 18:06

剖析一个典型的Keyboard_Hook

//先mark下,回头再弄,笔记本没电了...1.键盘过滤2.深入nativeapplication3.进程与线程EPROCESS分析//关于I/O堆栈1.当前设备堆栈不对IRP做任何处理.
a519609598·2020-09-14 10:46

2.3 常见内核数据结构 : 进程与线程数据结构

进程与线程数据结构:1.执行体进程块(EPROCESS)驱动程序通过PsGetCurrentProcess函数获取指向当前进程的执行体进程块指针kd>dtnt!
zhou191954·2020-09-10 22:12

进程结构体和线程结构体

首先说明这分析的是XP系统,WIN7每个单元偏移略有差距进程结构体EPROCESS每个windows进程在0环都有一个对应的结构体:EPROCESS这个结构体包含了进程所有重要的信息。
kernweak·2020-09-10 21:12

内核级进程遍历

原理windows中,每个进程都有一个属于自己的EPROCESS结构,这个结构中包含了本程序的基本信息,并且数据中存在进程链表,通过该进程链表(双向链表)可以找到其他进程的EPROCESS结构,所以可以借此遍历系统中的进程
BugMeOut·2020-09-10 18:30

Windows内核基础之进程

1.进程结构体EPROCESS每个运行中的进程在Windows内核中都有一个EPROCESS的结构体,这个结构体包含了进程所有重要的信息。
tutucoo·2020-09-10 18:41

Windows内核常见数据结构(进程相关)

进程的相关结构非常重要,重点学习~有一些内容参考自:http://dev.csdn.net/article/20/20210.shtm进程结构中,首推EPROCESS,标记一些重要成员(可能不全):lkd
cosmoslife·2020-09-10 13:12

翻译: Windows Internals: 第六章: 进程内部结构

进程内部结构这段讲述了Windows进程数据结构还列出了关键内核变量,性能计数器,方法和跟进程有关的工具.数据结构每个Windowsporcess用一个可执行的进程块表示,除了包含许多跟进程有关的属性,一个EPROCESS
ZeroChou·2020-09-10 12:33

Windows进程数据结构及创建流程

数据结构每个Windows进程都表现为一个executive进程(EPROCESS)结构,除了包括很多进程相关的属性外,还包括一些指针。
Tong__Ming·2020-09-10 10:07

windbg命令解释

processfields扩展命令显示执行进程块(EPROCESS)中字段的名字和偏移。语法!
桂质洁·2020-08-22 10:45

如何用windbg查看_eprocess结构

输入:C:/MyCodesSymbols;SRV*C:/MyLocalSymbols*http://msdl.microsoft.com/download/symbols随便绑定一个进程,然后输入dt_eprocess
weixin_30340819·2020-08-21 17:57

如何使用windbg看eprocess的结构

安装windbg加入symbolpath运行WinDbg->菜单->File->SymbolFilePath->按照下面的方法设置_NT_SYMBOL_PATH变量:在弹出的框中输入“C:/MyCodesSymbols;SRV*C:/MyLocalSymbols*http://msdl.microsoft.com/download/symbols”(按照这样设置,WinDbg将先从本地文件夹C:/
qinlicang·2020-08-21 15:58

windbg-.process切换进程(内核)

.process.process命令指定要用作进程上下文的进程(SetProcessContext).process显示当前进程的EPROCESS,这里显示当前进程为test.exe[cpp]viewplaincopyprint
aijia1857·2020-08-16 12:14

关于Windows创建进程的过程

从CreateProcess的具体流程来说:CreateProcess它首先创建一个执行体进程对象,即EPROCESS对象,然后创建
aijuzhou1959·2020-07-29 09:32

Win64 驱动内核编程-21.DKOM隐藏和保护进程

DKOM隐藏进程和保护进程的本质是操作EPROCESS结构体,不同的系统用的时候注意查下相关定义,确定下偏移,下面的数据是以win764为例。
TK13·2020-07-12 03:33

内核驱动程序中获取当前用户进程的进程名的一种方法

内核驱动程序中获取当前用户进程的进程名的一种方法在内核驱动程序中,可以通过PsGetCurrentProcess函数来获取当前调用驱动的进程的EPROCESS结构的地址.很多文章都说在EPROCESS结构的
A00553344·2020-07-11 01:53

关于Windows内核空间操作的一些说明

这里我先把XPSP2和2003中的EPROCESS整理出来给大家看一下:typedefstruct_EPROCESS_2K3{/*+0x000*/KPROCESS_2K3Pcb;/*+0x06c
阳阳2013哈哈·2020-07-09 20:54

PEB进程环境块分析研究

:Googlepebsite:pediy.comPEB结构——枚举用户模块列表修改已加载DLL的模块名和路径PEB结构初探windows系统中通过各种结构来管理各个对象,关于进程线程的PEB、TEB、EPROCESS
zy_strive_2012·2020-07-09 06:12

通过ZwQuerySystemInformation获取EPROCESS

所以想要通过这个来查看详细的EPROCESS结构。方法可以通过PsLookupProcessByProcessId这个函数来获取。函数原型在下面给出。
z6470975·2020-07-09 04:07

EPROCESS 结构

每个进程都有一个EPROCESS结构,里面保存着进程的各种信息,和相关结构的指针。EPROCESS结构位于系统地址空间,所以访问这个结构需要有ring0的权限。
swanabin·2020-07-08 07:18

PEB遍历进程加载模块

按照图片的步骤来首先找到EPROCESS以CMD.exe为例子PROCESS85fa2b38SessionId:0Cid:0fc8Peb:7ffda000ParentCid:05f8DirBase:0f3c03a0ObjectTable
马上飞-·2020-07-07 19:55

Windbg查看进程的_EPROCESS结构

最近研究某驱动DebugPort清零,学习了使用Windbg查看_EPROCESS结构地址,采用Syser下断查找清零代码。下面主要写下Windbg查看进程的_EPROCESS结构,便以后查阅。
never12345678·2020-07-07 17:46

WIN7的EPROCESS和PEB和WINXPSP3的EPROCESS

WIN7EPROCESS这个命令是查看_EProcess结构下面的所有结构体和联合体dt-r1_Eprocesslkd>dtnt!
天下有爽·2020-07-07 12:42

利用windbg探索进程和进程上下文

第一个参数是要打印的EPROCESS的地址,如果指定为0则表示打印所有的进程。第二个参数用于说明打印进程信息的详细级别。指定0则表示打印最简单的信息。0:kd>!
cqupt_chen·2020-07-07 05:25

图解windbg查看Win7结构体

下面用dt命令查看Win7结构体;查看peb结构;查看eprocess结构;查看特定地址的eprocess结构内容;*是通配符;显示所有peb打头的结构体名称;枚举ntkrnlmp中带"Object"的结构体名称
bcbobo21cn·2020-07-07 04:15

内核遍历PEB下的LDR模块表

系统:XPSP2可以通过EPROCESS--->PEB--->_PRB_LDR_DATAkd>dt_eprocessntdll!
z6470975·2020-07-06 20:26

windbg常用命令总结

dt_EPROCESS地址所有进程的EPROCESS信息!process地址显示进程的关键信息!token查看访问令牌的有关信息!
萧戈·2020-06-30 01:17

linux 段错误调试方法

]:segfaultat24ip0000000000412b13sp00007fffaab744e0error6inprocess_name[400000+6e000]1>可以通过addr2line-eprocess_name0x412b13
HULIHONG·2020-06-23 16:51

x64驱动 遍历 PspCidTable 枚举隐进程和线程

介绍PspCidTable是一个内核句柄表,存放进程和线程的内核对象(EPROCESS和ETHREAD),并通过PID和TID进行索引(所以进程ID和线程ID不可能相同),ID号以4递增。
(-: LYSM :-)·2020-06-22 05:13

驱动小程序2

附加进程#includeVOIDDriverUnload(PDRIVER_OBJECTpDriver);//根据PID返回进程EPROCESS,失败返回NULLPEPROCESSLookupProcess
MagicalGuy·2020-06-22 05:17

在windows内核模式下隐藏进程

进程隐藏之内核实现1、在内核模式下,系统为每个进程维护了一个EPROCESS结构体,系统所有的进程是通过EPROCESS结构体中的一个ActiveProcessLinks指向的双端链表连接起来的,通过winDBG
A8572785·2020-06-21 16:55
上一页 1 2 3 4 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他