E-COM-NET
首页
在线工具
Layui镜像站
SUI文档
联系我们
推荐频道
Java
PHP
C++
C
C#
Python
Ruby
go语言
Scala
Servlet
Vue
MySQL
NoSQL
Redis
CSS
Oracle
SQL Server
DB2
HBase
Http
HTML5
Spring
Ajax
Jquery
JavaScript
Json
XML
NodeJs
mybatis
Hibernate
算法
设计模式
shell
数据结构
大数据
JS
消息中间件
正则表达式
Tomcat
SQL
Nginx
Shiro
Maven
Linux
EPROCESS
MoonSols && Volatility 内存取证分析(二.搜寻进程的足迹)
(仅限于内核模式)调用PsGetCurrentProcess取得一个指向当前进程的_
EPROCESS
指针.遍历其中的LIST_ENTRY成员即可获得当前运行的进程.2.用户模式下可以调用原生模式的API
cqupt_chen
·
2012-08-04 23:00
0.ring0-更改dbgport地址偏移过掉dbgport清0
正方案:把
EPROCESS
->DebugPort=NULL清零,这样调试器就无法接受到消息了,也就无法调试了反方案:以下的操作都可以写成一个script来操作.debugport和哪些函数相关1.首先打开一个
hgy413
·
2012-07-26 23:00
编程
windows
汇编
null
fun
HOOK SwapContext 枚举隐藏进程(学习笔记4)(2)
下面是主要代码 01DWORD gThreadsProcessOffset=0x220; //ETHREAD在
EPROCESS
偏移02/*03 04+0x218TopLevelIrp :Uint4B05
·
2012-07-26 22:00
shadow ssdt
假设.有一个目标进程A..在驱动中首先获取其
EPROCESS
..然后用这个PsGetNextProcessThread取出其线程..然后取出ETHREAD...也等同于KTHREAD..
lionzl
·
2012-07-11 10:00
windows
工作
service
table
System
Descriptor
针对某游戏保护DebugPort清零的一次逆向
DebugPort吧,百度之后得到了如下结果 -------------------------------此处转贴------------------------------------每个进程都有一个数据结构,
EPROCESS
leitianjun
·
2012-07-09 12:00
数据结构
游戏
虚拟机
服务器
Access
任务
[置顶] windbg命令解释
processfields 扩展命令显示执行进程块(
EPROCESS
)中字段的名字和偏移。语法!
·
2012-06-29 22:00
thread
windows
object
Microsoft
文档
扩展
得到进程路径方法之汇总,需要的直接cp吧
//依据
EPROCESS
得到进程全路径 externVOIDGetFullPathByEprocess(ULONGeprocess,PCHARProcessImageName); //得到当前调用函数的进程信息
bjtbjt
·
2012-06-10 16:00
object
String
user
null
Path
DST
过保护 DebugPort 清零相关
一个程序被ring3调试器调试时,有很多的调试特征可以检测,本论坛也有专门的帖子详细论述,但有个非常根本的标志ring3也是可以检测的比较少人提及,那就是_
EPROCESS
.DebugPort。
sgzwiz
·
2012-04-19 19:42
程序
检测
标志
windbg 内核模式调试用户进程
process 0 0 2:使用.process /p + 你需要断的应用程序的
EProcess
地址,切换到应用程序的地址空间
·
2012-01-06 17:00
DB
读书笔记_windows下的混合钩子(HOOK)_part 4_使用MDL修改内存保护机制
ntddk.h中,具体结构如下: Typedef struct _MDL{ Struct _MDL *Next; CSHORT Size; CSHORT MdlFlags; Struct _
EPROCESS
wodamazi
·
2011-10-15 10:00
windows
Dump文件分析的常用命令
srv*DownstreamStore*http://msdl.microsoft.com/download/symbols 2 .thread和.process命令来显示当前线程KTHREAD和进程
EPROCESS
wodamazi
·
2011-09-21 19:00
常用命令
Hide your DebugPort in ring0
t=80971一个程序被ring3调试器调试时,有很多的调试特征可以检测,本论坛也有专门的帖子详细论述,但有个非常根本的标志ring3也是可以检测的比较少人提及,那就是_
EPROCESS
.Debu
leitianjun
·
2011-08-14 02:00
thread
exception
XP
null
hook
_
EPROCESS
结构简单了解!
lkd>dt_
EPROCESS
nt!
leitianjun
·
2011-08-13 21:00
c
image
list
Integer
token
byte
通过进程ID得到进程名
我使用了两种方法,第一种是使用ZwOpeProcess得到句柄然后ObReferenceObjectByHandle函数得到PEPROCESS结构,然后char*ProcessName=(char*)
EProcess
SysProgram
·
2011-05-21 11:00
object
String
File
Access
attributes
windows核心编程---记录(1)
进程结束的时候它所对应的内核对象并不会立刻结束,而是检查它的计数器(貌似在
EPROCESS
里面)是否为0,如果是0才会去释放全部资源. 这就意味着当一个进程运行的
Sidyhe
·
2011-02-14 23:00
Vista/Win7 句柄表地址
其中Win2K的句柄表在_
EPROCESS
+0x128处,WinXP在_
EPROCESS
+0x0c4处。Vista和Win7找遍了Internet没找到,于是只好下载符号表,装系统自己找。
wzsy
·
2011-01-18 15:00
c
算法
XP
测试
internet
windbg命令
_peb)dt_eprocessdt-v-r_
eprocess
(加上-v-r显示详细结构)dtnt!_driver_object列出可以调试的驱动程序lmtn (以前是!
lwglucky
·
2010-08-25 23:46
命令
职场
windbg
休闲
windbg命令
_peb)dt_eprocessdt-v-r_
eprocess
(加上-v-r显示详细结构)dtnt!_driver_object列出可以调试的驱动程序lmtn (以前是!
lwglucky
·
2010-08-25 23:46
命令
职场
windbg
休闲
基于内存搜索的进程检测方法
隐藏进程的方法有多种,例如挂钩NtQuerySystemInformation函数;从内核
EPROCESS
结构的ActivePro
happyhell
·
2010-08-23 09:00
彻底改掉进程名
先总结一下,一个进程的名字有可能从以下部位获取(参考小伟同学的《伪造进程初探》一文):一、
EPROCESS
中: 1、
EPROCESS
-->ImageFileName(很常用,冰刃获取进程名的地方
lwglucky
·
2010-06-25 09:30
职场
进程
休闲
改掉
彻底改掉进程名
先总结一下,一个进程的名字有可能从以下部位获取(参考小伟同学的《伪造进程初探》一文):一、
EPROCESS
中: 1、
EPROCESS
-->ImageFileName(很常用,冰刃获取进程名的地方
lwglucky
·
2010-06-25 09:30
职场
进程
休闲
改掉
windbg 命令集 总结
_peb)dt_eprocessdt-v-r_
eprocess
(加上-v-r显示详细结构)dtnt!_driver_object列出可以调试的驱动程序lmtn (以前是!
laokaddk
·
2010-06-24 20:53
职场
windbg
休闲
命令集
windbg 命令集 总结
_peb)dt_eprocessdt-v-r_
eprocess
(加上-v-r显示详细结构)dtnt!_driver_object列出可以调试的驱动程序lmtn (以前是!
laokaddk
·
2010-06-24 20:53
职场
windbg
休闲
命令集
遍历
EPROCESS
中的ActiveProcessLinks枚举进程
遍历
EPROCESS
中的ActiveProcessLinks枚举进程 前面对PEB的相关结构和其中的重要成员进行了分析和学习,现在开始真正进入内核,学习内核中的一些结构.这个
EPROCESS
结构在ntddk.h
laokaddk
·
2010-06-24 20:21
职场
休闲
遍历
EPROCESS
中的ActiveProcessLinks枚举进程
遍历
EPROCESS
中的ActiveProcessLinks枚举进程 前面对PEB的相关结构和其中的重要成员进行了分析和学习,现在开始真正进入内核,学习内核中的一些结构.这个
EPROCESS
结构在ntddk.h
laokaddk
·
2010-06-24 20:21
职场
休闲
PspCidTable综合概述
其格式与普通的句柄表是完全一样的.但它与每个进程私有的句柄表有以下不同:1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID2.PspCidTable中存放的直接是对象体(
EPROCESS
laokaddk
·
2010-06-24 20:26
职场
休闲
PspCidTable综合
PspCidTable综合概述
其格式与普通的句柄表是完全一样的.但它与每个进程私有的句柄表有以下不同:1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID2.PspCidTable中存放的直接是对象体(
EPROCESS
laokaddk
·
2010-06-24 20:26
职场
休闲
PspCidTable综合
Idle进程相关的一些东西
Idle进程相关的一些东西 Idle进程和System进程一样,也是系统中的一个特殊进程,严格讲它不算是一个进程,但是它有自己的
EPROCESS
,并有一个IdleThread.若说它算一个进程,它的进程空间
laokaddk
·
2010-06-24 20:22
职场
休闲
Idle进程
Idle进程相关的一些东西
Idle进程相关的一些东西 Idle进程和System进程一样,也是系统中的一个特殊进程,严格讲它不算是一个进程,但是它有自己的
EPROCESS
,并有一个IdleThread.若说它算一个进程,它的进程空间
laokaddk
·
2010-06-24 20:22
职场
休闲
Idle进程
Hide your DebugPort in ring0
t=80971一个程序被ring3调试器调试时,有很多的调试特征可以检测,本论坛也有专门的帖子详细论述,但有个非常根本的标志ring3也是可以检测的比较少人提及,那就是_
EPROCESS
.
lwglucky
·
2010-05-26 21:55
职场
hide
休闲
DebugPort
Hide your DebugPort in ring0
t=80971一个程序被ring3调试器调试时,有很多的调试特征可以检测,本论坛也有专门的帖子详细论述,但有个非常根本的标志ring3也是可以检测的比较少人提及,那就是_
EPROCESS
.
lwglucky
·
2010-05-26 21:55
职场
hide
休闲
DebugPort
windows 2003 几个未公开结构
EPROCESS
ETHREAD
找到个
eprocess
,ethread也比什么都没有好WindowsServer2003KernelVersion3790(ServicePack1)UPFreex86compatibleProduct
qinlicang
·
2010-05-21 12:00
c
windows
session
list
server
Integer
Processes and Threads on Wiindows NT
ProcessesandThreadsonWiindowsNTEveryWindowsprocessisrepresentedbyanexecutiveprocessblock(
EPROCESS
)
wishfly
·
2010-05-20 09:00
thread
windows
each
Windbg基本配置
sympathsrv*c:\symbolcache*http://msdl.microsoft.com/download/symbols回车之后再输入.reload这里从服务器Down符号文件.再dt_
EPROCESS
laokaddk
·
2010-04-23 16:16
职场
windbg
休闲
DDK
Windbg基本配置
sympathsrv*c:\symbolcache*http://msdl.microsoft.com/download/symbols回车之后再输入.reload这里从服务器Down符号文件.再dt_
EPROCESS
laokaddk
·
2010-04-23 16:16
职场
windbg
休闲
DDK
WinDBG调试Windows 7内核
WinDBG调试Windows7内核Windows7下很多内核的数据结构都变掉了,比如
EPROCESS
的偏移。
danxuezx
·
2009-12-10 14:00
数据结构
windows
Path
X86
Vista/Win7 句柄表地址
其中Win2K的句柄表在_
EPROCESS
+0x128处,WinXP在_
EPROCESS
+0x0c4处。Vista和Win7找遍了Internet没找到,于是只好下载符号表,装系统自己找。
溪流漫话
·
2009-11-17 19:00
How to Get Full Path In SYS
2009-02-0913:07首先利用PsGetCurrentProcess或IoGetCurrentProcess函数得到当前进程的句柄,这个句柄是指向_
EPROCESS
结构的指针,_
EPROCESS
S.l.e!ep.¢%
·
2009-10-29 12:00
彻底改掉进程名
先总结一下,一个进程的名字有可能从以下部位获取(参考小伟同学的《伪造进程初探》一文):一、
EPROCESS
中: 1、
EPROCESS
-->ImageFileName(很常用,冰刃获取进程名的地方)
S.l.e!ep.¢%
·
2009-10-26 23:00
切换进程环境
有内核函数可以调KeAttachProcess,不过是未公开的,有个地方说参数是PEB的指针,简直是××,实际上参数是pcb的指针,就是KPROCESS的指针,这个是
EPROCESS
的第一个域,切换回来用
evileagle
·
2009-10-20 22:00
从pid找到
EPROCESS
,NtOpenProcess是这么找的
lkd>ddnt!PspCidTable8056a760 e1001ca8000000020000000100000000//PspCidTable就是一个Handle_Table8056a770 000000000000000000000000000000008056a780 e137052f000000000000000000000000lkd>dtnt!_handle_tablee1001c
evileagle
·
2009-10-19 17:00
c
session
list
XP
table
null
获得进程映像文件(上)
获得进程映像文件kd>dt_
EPROCESS
0x8204c9c0+0x000Pcb:_KPROCESS+0x078ProcessLock:_EX_PUSH_LOCK+0x080CreateTime:_LARGE_INTEGER0x1c83cc8
whf727
·
2009-09-13 21:00
获得进程映像文件(上)
获得进程映像文件kd>dt_
EPROCESS
0x8204c9c0 +0x000Pcb :_KPROCESS +0x078ProcessLock :_EX_PUSH_LOCK
whf727
·
2009-09-13 21:00
c
list
object
table
null
Integer
通过
EPROCESS
枚举进程
p=583402 网上的一段代码 通过内存搜索
EPROCESS
来枚举进程在我的xp sp2系统上测试 只能枚举出三个进程 这是为什么?
qinlicang
·
2009-08-27 16:00
如何使用windbg看
eprocess
的结构
安装windbg加入symbolpath 运行WinDbg->菜单->File->SymbolFilePath->按照下面的方法设置_NT_SYMBOL_PATH变量:在弹出的框中输入“C:/MyCodesSymbols;SRV*C:/MyLocalSymbols*http://msdl.microsoft.com/download/symbols”(按照这样设置,WinDbg将先从本地文件夹C:
qinlicang
·
2009-08-27 15:00
c
list
session
Integer
Path
token
获得进程的
EPROCESS
获得进程的
EPROCESS
创建时间:2004-06-01文章属性:原创文章提交:MustBE(zf35_at_citiz.net)By[I.T.S]SystEm32Welcometoourwebsitehttp
qinlicang
·
2009-08-27 14:00
thread
c
null
System
dll
reference
记录进程印象名的地址
一、
EPROCESS
中: 1、
EPROCESS
-->ImageFileName(冰刃获取进程名的地方,只有16个字节,难怪冰刃的进程总少末尾的字节) 2、
EPROCESS
-->SeAuditProcessCreationInfo
evileagle
·
2009-08-27 12:00
数据结构
null
exe
任务
_
EPROCESS
这个过程中,需要详细说明的就是设置
EPROCESS
结构(也叫KPEB)。
wwwwly
·
2009-07-07 13:00
windbg命令解释
processfields扩展命令显示执行进程块(
EPROCESS
)中字段的名字和偏移。语法!
speedingboy
·
2008-07-31 21:00
thread
windows
Microsoft
文档
dll
扩展
Windows Process内存组织结构及重要域解析
一个xp里面的Process,是由几个
Eprocess
,执行体进程块来表示的。这个Eproces
lbq1221119
·
2008-07-22 14:00
上一页
1
2
3
4
下一页
按字母分类:
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
其他