EPROCESS

JIURL玩玩Win2k进程线程篇 EPROCESS

每个进程都有一个EPROCESS结构,里面保存着进程的各种信息,和相关结构的指针。EPROCESS结构位于系统地址空间,所以访问这个结构需要有ring0的权限。
inject2006·2008-06-18 18:00

修改 动进程链表 进行隐藏

(DWORD)PsGetCurrentProcess(); 返回的是一个结构体.结构体第一个成员是第一个EPROCESS的地址.   
wuna66320·2008-01-02 18:00

通过进程链枚举进程_asm

 程序用内核驱动的方式进入ring0,然后访问EPROCESS结构,在EPROCESS结构中找到进程链,从而可实现进程的枚举,但是由于PID 为0的系统进程Idle并没有在这个链上.所以通过这种方法自然也就找不出它来
iiprogram·2007-09-06 00:00

一段搜索EPROCESS来列进程的代码

//findprocess.c//      byuty@uaty//#include#definePDE_INVALID2#definePTE_INVALID1#defineVALID      0#definePEB_OFFSET              0x1b0#defineOBJECT_HEADER_SIZE        0x18#defineOBJECT_TYPE_OFFSET  
iiprogram·2007-09-04 09:00

对Windows内核空间操作的一些说明

这里我先把XPSP2和2003中的EPROCESS整理出来给大家看一下:typedefstruct_EPROCESS
iiprogram·2006-04-12 14:00

《Undocumented Windows 2000 Secrets》翻译 --- 第七章(4)

线程和进程环境块你可能会很困惑:KTHREAD和EPROCESS结构中的Teb和Peb成员有什么实际价值?Teb,指向一个线程环境块(TEB),见列表7-18。
Kendiv·2005-05-23 23:00

获得进程的EPROCESS

获得进程的EPROCESS发布日期:2004-06-02文摘内容:文摘出处:http://www.xfocus.net/articles/200406/706.html创建时间:2004-06-01文章属性
Kendiv·2005-01-31 23:00
上一页 1 2 3 4 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他