Windows 内核驱动 EPROCESS遍历进程模块

EPROCESS遍历进程

Windows为每一个进程都安排了一个EPROCESS的结构用于维护每一个进程，当然EPROCESS是属于内核管理的，所以只有ring0层的程序才可以访问这个结构，下面我们来看一下EPROCESS的结构是怎样的。 kd> dt _eprocess ...

Windows内核驱动EPROCESS遍历进程模块

标签： Windows 内核驱动 EPROCESS遍历进程模块

windows驱动遍历进程模块

驱动开发：内核遍历进程VAD结构体

标签：驱动开发内核安全 c++

同样这是微软定义，如果想要的到最新的，自己下载WinDBG调试内核输入命令。内存块的属性，这个内存结构定义在WinDBG中可看到。结构的偏移值，每个系统都不一样，版本不同偏移值会不同。当需要得到该进程的VAD结构时...

内核级进程遍历

标签：进程 EPROCESS

内核级进程遍历；

4.2 Windows驱动开发：内核中进程线程与模块

标签： windows 驱动开发内核进程

在驱动安全开发中，理解内核进程线程和模块的概念对于编写安全的内核驱动程序至关重要。内核进程是在操作系统内核中运行的程序。每个进程都有一个唯一的进程标识符（PID），它用于在系统中唯一地标识该进程。在内核...

通过暴力搜索PID遍历进程并获取进程信息

通常我们在内核中使用 ZwQuerySystemInformation 函数来遍历进程模块并获取进程信息，这种是通过正常的进程遍历方式，所以，有很多 Rootkit 程序会 HOOK 这个 ZwQuerySystemInformation 函数，过滤指定进程，从而...

驱动开发：取进程模块的函数地址

标签：驱动开发内核安全模块基址

在笔者上一篇文章`《驱动开发：内核取应用层模块基地址》`中简单为大家介绍了如何通过遍历`PLIST_ENTRY32`链表的方式获取到`32位`应用程序中特定模块的基地址，由于是入门系列所以并没有封装实现太过于通用的获取...

window内核监控工具源代码

标签： kernel source

一：SSDT表的hook检测和... 应用层钩子检测和内核模块钩子检测原理一样，不过为了能读写别的进程的空间，并没有使用openprocess去打开进程，而是通过KiattachProcess挂靠到当前进程，然后通过在r0直接读写进程空间的。

驱动开发：内核操作进线程与模块

标签：驱动开发 C语言微软技术

进程就是活动起来的程序，每一个进程在内核里，都有一个名为EPROCESS的结构记录它的详细信息，其中就包括进程名，PID，PPID，进程路径等，通常在应用层枚举进程只列出所有进程的编号即可，不过在内核层需要把它的 ...

驱动开发：内核中枚举进线程与模块

标签：驱动开发 c语言进程与线程

内核枚举进程使用`PspCidTable` 这个未公开的函数，它能最大的好处是能得到进程的EPROCESS地址，由于是未公开的函数，所以我们需要变相的调用这个函数，通过`PsLookupProcessByProcessId`函数查到进程的EPROCESS，...

驱动开发：内核中实现Dump进程转储

标签：驱动开发内核安全 c++

多数ARK反内核工具中都存在驱动级别的内存转存功能，该功能可以将应用层中运行进程的内存镜像转存到特定目录下，内存转存功能在应对加壳程序的分析尤为重要，当进程在内存中解码后，我们可以很容易的将内存镜像导出...

驱动开发：内核取应用层模块基地址

标签：驱动开发 c语言 windows

的基址，当在某些场景中，我们不仅需要得到内核的基地址，也需要得到特定进程内某个模块的基地址，显然上篇文章中的方法是做不到的，本篇文章将实现内核层读取32位应用层中特定进程模块基址功能。等结构体定义依然...

_EPROCESS断链 —— 实现进程内核隐藏

标签：安全内核 windows

我们可以利用 _EPROCESS 结构体中的 ActiveProcessLinks 双向链表遍历进系统中的进程，并将特定进程从该双向链表中移除，以达到隐藏特定进程的目的。 _EPROCESS _EPROCESS 结构体是内核用于管理和维护进程的结构体...

windows10驱动 x64--- 驱动实现遍历VAD树（六）

标签：驱动开发

驱动层vad树遍历

进程线程 1.EPROCESS和进程隐藏

标签：操作系统网络安全安全

一、EPROCESS结构体 EPROCESS结构 kd> dt _EPROCESS ntdll!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime : _LARGE_INTEGER +0x078 ExitTime : _LARGE_INTEGER +...

[内核编程]枚举进程空间内所有模块

该方法枚举进程空间所有模块是基于进程环境块即PEB结构来实现的。首先查看PEB结构, 该结构中有一个字段为_PEB_LDR_DATA。进入_PEB_LDR_DATA字段查看, 最重要的是名为InLoadOrderModuleList, ...

驱动开发：内核RIP劫持实现DLL注入

标签：驱动开发汇编 C语言

本章将探索内核级DLL模块注入实现原理，DLL模块注入在应用层中通常会使用`CreateRemoteThread`直接开启远程线程执行即可，驱动级别的注入有多种实现原理，而其中最简单的一种实现方式则是通过劫持EIP的方式实现，其...

驱动开发：运用VAD隐藏R3内存思路

标签： c++ 开发语言 c语言

枚举所有进程，并得到我们所需进程的EProcess地址。中的值和进程中分配的内存地址并不完全一样，这是因为。，类似于摘链隐藏进程，就可以达到隐藏的效果。而隐藏进程内特定内存段核心代码在于。得到EProcess结构。...

驱动开发：内核远程线程实现DLL注入

标签：驱动开发汇编内核安全

在笔者上一篇文章`《驱动开发：内核RIP劫持实现DLL注入》`介绍了通过劫持RIP指针控制程序执行流实现插入DLL的目的，本章将继续探索全新的注入方式，通过`NtCreateThreadEx`这个内核函数实现注入DLL的目的，需要注意...

5.4 Windows驱动开发：内核通过PEB取进程参数

4.通过PEB结构的Ldr成员可以访问到该进程加载的所有模块，遍历整个Ldr链表即可得到需要的模块信息。5.遍历完成后，通过调用KeUnstackDetachProcess函数脱离进程空间。首先在开始写代码之前需要先定义好PEB进程环境...

windows内核学习-内存管理

标签： windows

查看notepad.exe进程EPROCESS结构体 kd> dt _EPROCESS 81c502a0 0x11c VADRoot :是一个搜索二叉树的入口点，树的每一个节点记录了被占用的虚拟内存地址空间，这个搜索二叉树就是VAD树。 VAD的属性以及遍历 ...

Windows 内核驱动程序完整性校验的原理分析

在上一篇文章中提到了 Windows Vista 及之后版本的 Windows 操作系统在驱动程序加载完成后，驱动中调用的一些系统回调函数（如 ObRegisterCallbacks，可用来监控系统中对进线程句柄的操作，如打开进程、复制线程句柄...

5.3 Windows驱动开发：内核取应用层模块基址

当在某些场景中，我们不仅需要得到内核的基地址，也需要得到特定进程内某个模块的基地址，显然上篇文章中的方法是做不到的，本篇文章将实现内核层读取32位应用层中特定进程模块基址功能。上一篇文章中的PPEB32,...

4.5 Windows驱动开发：实现进程数据转储

进程内模块基地址以及模块长度这两个参数是必不可少的，至于内核中如何得到指定进程的模块数据，在很早之前的文章《内核中枚举进线程与模块》中有详细的参考方法，这里就在此基础之上实现一个简单的进程模块遍历功能...

内核驱动程序完整性校验的原理分析

标签：内核 windows

在上一篇文章中提到了 Windows Vista 及之后版本的 Windows 操作系统在驱动程序加载完成后，驱动中调用的一些系统回调函数（如 ObRegisterCallbacks，可用来监控系统中对进线程句柄的操作，如打开进程、复制线程句柄...

windows内核情景分析---进程线程1

本篇主要讲述进程的启动过程、线程的调度与切换、进程挂靠一、进程的启动过程： BOOLCreateProcess ( LPCTSTRlpApplicationName,// LPTSTRlpCommandLine,//commandlinestring LPSECURITY_ATTRI...

Windows 内核之双机调试与windbg命令大全

标签： windows 内核 kernel

在今后会有相当的实验环节，对于windows内核实验，调试环境是必不可少的，本章讲解双机调试的环境搭建与常见的WINDBG指令。准备材料： VMware workstation : [https://www.vmware.com/go/downloadworkstation-cn]...

windows内核情景分析---进程线程

标签： windows 内核操作系统

本篇主要讲述进程的启动过程、线程的调度与切换、进程挂靠进程的启动过程： BOOL CreateProcess ( LPCTSTR lpApplicationName, // LPTSTR lpCommandLine, // command line string LPSECURITY_...

EPROCESS 进程/线程优先级句柄表 GDT LDT 页表《寒江独钓》内核学习笔记（2）

在学习笔记(1)中，我们学习了IRP的数据结构的相关知识，接下来我们继续来学习内核中很重要的另一批数据结构: EPROCESS/KPROCESS/PEB。把它们放到一起是因为这三个数据结构及其外延和windows中进程的表示关系密切，...