EPROCESS

windbg分析minidump

minidump为程序意外中止的瞬间系统及程序运行状况的一个快照,包含的信息如下:导致中止的原因描述加载的驱动程序的列表已停止的处理器的上下文(PRCB)已停止的进程的信息和内核上下文(EPROCESS
纵横而乐·2020-03-19 09:09

[Windows内核分析]KPCR结构体介绍 (CPU控制区 Processor Control Region)

至少掌握三个结构体:EPROCESS、ETHRAEAD、KPCR(注意:EPROCESS、ETHREAD是在R0,在R3的是PEB与TEB。)
OneTrainee·2019-10-15 07:00

Windows内核对象,句柄表10

process00查看进程eprocess:dt_eprocessfffffa801aaae060含有_handle_tabletypedefstruct_HANDLE_TABLE//17elements
fIappy·2019-06-10 09:01

linux取证之内存取证

可读的文本和关键字搜索工具:Volatility:内存扫描分析工具Volatility提供两种方法来列举内存映像中的进程,一种方法是访问操作系统内核结构中的进程链来列举进程,另一种方法是在内存映像中搜索所的EPROCESS
NFMSR·2018-07-19 17:31

win32内核程序中进程的pid,handle,eprocess之间相互转换的方法

t=119193 在win32内核程序开发中,我们常常需要取得某进程的pid或句柄,或者需要检索进程的eprocess结构,很多API函数需要的参数也不同,所以掌握pidhandleeprocess相互转换的方法会大大提高我们的开发效率
findumars·2016-05-30 16:00

内核两种反调试方法

当然方法很多,比如TP的全局调试权限,DebugPort下面只是我发现的比较好玩的文章首发在mengwuji.net知己知彼,百战百胜.比较猥琐的检测调试方法第一种就是在EPROCESS结构中的Flags2
zhuhuibeishadiao·2016-05-02 04:00

内核枚举进程总结

理应加锁可以参考这篇文章http://blog.csdn.net/zfdyq0/article/details/418137471.暴力枚举进程通过PsLookupProcessByProcessId获得EPROCESS
zhuhuibeishadiao·2016-05-02 03:00

冰刃初步使用图解(Win7 64位)

1运行运行,原来是胡哥所作;胡哥真是棒;2查看进程;多了EPROCESS列每个进程都有一个EPROCESS结构,里面保存着进程的各种信息,和相关结构的指针。
bcbobo21cn·2016-04-18 12:00

R0与R3联调

process002:使用.process/p+你需要调试的应用程序的EProcess地址,切换到应用程序的地址空间.process/p0x81a02af03:重新加载user程序的PDB文件(需在Windbg
zhuhuibeishadiao·2016-03-31 15:00

枚举进程——暴力搜索内存(Ring0)

一个进程要运行,必然会加载到内存中,断链隐藏进程只是把EPROCESS从链表上摘除了,但它还是驻留在内存中的。这样我们就有了找到它的方法。
Gotogoo·2016-03-09 12:00

断链隐藏进程及恢复(附代码)

首先,我们知道,进程体EPROCESS是被系统维护在一个双向链表LIST_ENTRY中的,那么,我们只要把进程的EPROCESS从这个链表中摘除,就可以实现进程隐藏了,当然,这只能瞒过进程管理器和zwQuerySystemInformation
Gotogoo·2016-03-07 21:00

通过PsGetCurrentProcess函数获取函数名

http://www.cnblogs.com/xiaojinma/archive/2012/12/07/2806543.html 通过PsGetCurrentProcess函数来获取当前调用驱动的进程的EPROCESS
太尼玛菜了·2016-02-01 09:00

KPROCESS IDT PEB Ldr 《寒江独钓》内核学习笔记(3)

我们在开始学习它的数据机构之前,首先要思考的一个问题是,它和EPROCESS名字感觉差不多,那它们之间是什么关系呢?它们在内核区域中都位于那一层呢?
·2015-11-13 22:56

EPROCESS 进程/线程优先级 句柄表 GDT LDT 页表 《寒江独钓》内核学习笔记(2)

在学习笔记(1)中,我们学习了IRP的数据结构的相关知识,接下来我们继续来学习内核中很重要的另一批数据结构: EPROCESS/KPROCESS/PEB。
·2015-11-13 22:55

EPROCESS KPROCESS PEB

EPROCESS KPROCESS PEB 《寒江独钓》内核学习笔记(2)     在学习笔记(1)中,我们学习了IRP的数据结构的相关知识,接下来我们继续来学习内核中很重要的另一批数据结构
·2015-11-13 22:15

【note】进程结束内幕

通过Eprocess得到 Ethread的列表 。。 2. 通过循环依次结束每个线程。。。调用PspTerminateTh
·2015-11-11 03:35

windbg 命令

查看eprocess的结构:  dt _EPROCESS 2.
·2015-11-11 03:28

对进程内核结构(Eprocess)和线程内核结构(EThread)的应用 -----列举一个进程的所有线程信息

逻辑: 显示通过进程列表找到要枚举的进程,然后根据Eprocess的内容得到Ethread的偏移, Ethread进行遍历,便可得到所有的线程信息。。 (写的搓搓的 。。。思路不是太清晰。。)
·2015-11-11 03:24

进程。。。线程。。。。

Eprocess 在系统内部代表一个进程。。一个非常复杂的结构体,记录了进程的很多属性。。 存在系统的空间中, 除了一个叫PEB(进程环境块)的结构。。因为要在user-mode 修改该
·2015-11-11 03:23

nt内核里的对象管理[2]: Object Table

NT内核使用Table来保存这些打开对象,该Table的指针存放在EPROCESS->ObjectTable里。
·2015-11-11 02:02

PsGetCurrentProcess为什么能定位活动进程链

对于如何定位活动进程链一直没搞清楚,在看Rootkit那本书上说,通过PsGetCurrentProcess函数可以获得EPROCESS,但是书中解释的很模糊,一直没看明白。
·2015-11-10 22:55

内核驱动程序中获取当前用户进程的进程名的方法

;      驱动程序的加载函数DriverEntry是运行在System进程中的.通过PsGetCurrentProcess可以获取System进程的内核EPROCESS
·2015-11-01 11:48

驱动层得到进程的完整路径

   在得到进程EProcess之后,对于进程完整路径的获得一般有两种方法,一种是访问的进程的PEB结构,在PEB结构中保存有进程的完整路径,另一种方法就是采用访问_FILE_OBJECT的方法。   
·2015-10-31 10:50

EPROCESS ;ethread WINDOWS 结构

7600.16695 eprocess lkd> dt _eprocessnt!
·2015-10-30 14:37

驱动程序中获取当前进程的进程名的方法

在内核驱动程序中,可以通过PsGetCurrentProcess函数来获取当前调用驱动的进程的EPROCESS结构的地址.很多文章都说在EPROCESS结构的0x174偏移处存放着进程名.这里提供另外一种方法来获取这个进程名
·2015-10-23 08:25

windbg(GetProcessFullName)

_EPROCESS   +0x1b0 Peb            
·2015-10-21 12:20

标记下常用的函数 2010-05-20

获得eprocess结构中的进程名偏移voidGetProcessNameOffset(){       PEPROCESScurproc;   inti;   curproc=PsGetCurrentProcess
xiao70·2015-09-08 19:00

widbg命令解释

processfields 扩展命令显示执行进程块(EPROCESS)中字段的名字和偏移。语法!
·2015-04-08 02:00

EPROCESS取进程全路径(xp)

上一篇文章在xp下取路径太麻烦既然规定在了xp系统下,为什么不硬编码呢?好吧,走起~~~PFILE_OBJECT__declspec(naked)__stdcall_MmGetFileObjectForSection(PVOIDSection) { __asm { pushebp; movebp,esp; moveax,dwordptrss:[ebp+0x08]; moveax,dwordptrd
Sidyhe·2015-02-08 17:00

EPROCESS取进程全路径

如果文件被占坑,使用FILE_READ_ATTRIBUTES权限应该能打开xp:PEPROCESS->NT路径->FILEHANDLE->FILEOBJECT->DOS路径BOOLEANPsGetDosName(PEPROCESSProcessObject,PUNICODE_STRING*DosName) { BOOLEANbRet=FALSE; KPROCESSOR_MODEPreviousMo
Sidyhe·2015-01-21 16:00

通过ZwQuerySystemInformation获取EPROCESS

所以想要通过这个来查看详细的 EPROCESS 结构。方法可以通过 PsLookupProcessByProcessId 这个函数来获取。函数原型在下面给出。
·2014-08-12 23:00

66.windbg-.process切换进程(内核)

.process.process命令指定要用作进程上下文的进程(SetProcessContext).process显示当前进程的EPROCESS,这里显示当前进程为test.exekd>.process
hgy413·2014-03-02 22:00

x64位微软Windows内核重要的安全机制简介

Win32Hook来Hook去很蛋疼……各种HookIrphookssdthookidthooksssdthooksysenterhook....还有各种DKOM摘链行为,比如人们喜闻乐见的EPROCESS
BMOP·2014-02-18 22:47

x64 PEB简介 && 有关PEB的一些函数

尽管操作PEBBLOCK现在已经没什么价值了,但是PEBBLOCK作为内核的一个重要结构,这里还是提一下:x64EPROCESS结构+0x000Pcb:_KPROCESS+0x160ProcessLock
BMOP·2014-02-18 21:37

寻找调用DebugPort的函数

process 0 0 LoadSys.exe得到LoadSys.exe 的EPROCESS地址如。
飘雪超人·2013-11-09 19:00

寻找调用DebugPort的函数

process 0 0 LoadSys.exe得到LoadSys.exe 的EPROCESS地址如。
whatday·2013-11-09 19:00

驱动中如何给ring3层应用程序提权

为什么会有这个需求就不用我多说了吧:)目前在驱动中提权我知道的有三种办法1.该方法来源于stonedbootkit,主要原理是把services.exe的EPROCESS中的Token值取出来,直接赋值给需要提权的应用程序
cnbragon·2013-09-24 23:12

通过进程ID得到进程名

我使用了两种方法,第一种是使用ZwOpeProcess得到句柄然后ObReferenceObjectByHandle函数得到PEPROCESS结构,然后char*ProcessName=(char*)EProcess
飘雪超人·2013-09-20 09:00

通过进程ID得到进程名

我使用了两种方法,第一种是使用ZwOpeProcess得到句柄然后ObReferenceObjectByHandle函数得到PEPROCESS结构,然后char*ProcessName=(char*)EProcess
whatday·2013-09-20 09:00

DKOM隐藏驱动

隐藏进程主要关注的windows关键数据结构是:进程的EPROCESS结构与
whatday·2013-08-31 17:00

DKOM隐藏驱动

隐藏进程主要关注的windows关键数据结构是:进程的EPROCESS结构与
飘雪超人·2013-08-31 17:00

Windows各版本EPROCESS结构

WindowsXP:+0x000Pcb:_KPROCESS+0x000Header:_DISPATCHER_HEADER+0x010ProfileListHead:_LIST_ENTRY[0xffbcc030-0xffbcc030]+0x018DirectoryTableBase:[2]0x2807000+0x020LdtDescriptor:_KGDTENTRY+0x028Int21Descri
xihuanqiqi·2013-05-10 16:00

[转] win32内核程序中进程的pid,handle,eprocess之间相互转换的方法

t=119193 在win32内核程序开发中,我们常常需要取得某进程的pid或句柄,或者需要检索进程的eprocess结构,很多API函数需要的参数也不同,所以掌握pidhandleeprocess相互转换的方法会大大提高我们的开发效率
cxun·2013-05-10 10:00

命令线程windbg之使用!list指令遍历双向链表

list遍历活动进程的进程Id和进程名    活动进程表链节点在EPROCESS
·2013-04-28 19:00

windbg 内核调试的时候 对用户态进程下断点

process002:使用.process/p+你需要断的应用程序的EProcess地址,切换到应用程序的地址空间  例如:.process /p 0x80a02a603:重新加载userPDB文件    
sincoder·2013-04-01 10:00

WinDBG找不到符号路径解决方法

process 0 0**** NT ACTIVE PROCESS DUMP ****NT symbols are incorrect, please fix symbols二,WinDBG命令输入dt _eprocess
yy3166·2013-03-29 22:29

8Windows概要

8.24EPROCESS结构lkd>!
hgy413·2013-02-18 20:00

通过PsGetCurrentProcess函数获取函数名

通过PsGetCurrentProcess函数来获取当前调用驱动的进程的EPROCESS结构的地址.EPROCESS结构的0x174偏移处存放着进程名.思路如下:驱动程序的加载函数DriverEntry
小金马·2012-12-07 09:00

windows 进程 可打开的最大句柄数

WindowsInternalsFifthEdition"Anobjecthandleisanindexintoaprocess-specifichandletable,pointedtobytheexecutiveprocess(EPROCESS
从头再来·2012-11-07 17:00

利用windbg探索进程和进程上下文

第一个参数是要打印的EPROCESS的地址,如果指定为0则表示打印所有的进程。第二个参数用于说明打印进程信息的详细级别。指定0则表示打印最简单的信息。0:kd>!
cqupt_chen·2012-10-18 17:00
上一页 1 2 3 4 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他