google一下,发现很多都是直接通过ZwQuerySystemInformation通过11号获取进程结构SYSTEM_PROCESS_INFORMATION,对于详细的进程信息表达不够。所以想要通过这个来查看详细的 EPROCESS 结构。方法可以通过 PsLookupProcessByProcessId 这个函数来获取。函数原型在下面给出。

typedef struct _SYSTEM_PROCESS_INFORMATION {

  ULONG                   NextEntryOffset;

  ULONG                   NumberOfThreads;

  LARGE_INTEGER           Reserved[];

  LARGE_INTEGER           CreateTime;

  LARGE_INTEGER           UserTime;

  LARGE_INTEGER           KernelTime;

  UNICODE_STRING          ImageName;

  KPRIORITY               BasePriority;

  HANDLE                  ProcessId;

  HANDLE                  InheritedFromProcessId;

  ULONG                   HandleCount;

  ULONG                   Reserved2[];

  ULONG                   PrivatePageCount;

  VM_COUNTERS             VirtualMemoryCounters;

  IO_COUNTERS             IoCounters;

  SYSTEM_THREAD           Threads[];

} SYSTEM_PROCESS_INFORMATION, *PSYSTEM_PROCESS_INFORMATION;

而_SYSTEM_PROCESS_INFORMATION结构在WRK下面的结构明显比上面的多。看来微软的动作还挺大的。

typedef struct _SYSTEM_PROCESS_INFORMATION {

    ULONG NextEntryOffset;

    ULONG NumberOfThreads;

    LARGE_INTEGER SpareLi1;

    LARGE_INTEGER SpareLi2;

    LARGE_INTEGER SpareLi3;

    LARGE_INTEGER CreateTime;

    LARGE_INTEGER UserTime;

    LARGE_INTEGER KernelTime;

    UNICODE_STRING ImageName;

    KPRIORITY BasePriority;

    HANDLE UniqueProcessId;

    HANDLE InheritedFromUniqueProcessId;

    ULONG HandleCount;

    ULONG SessionId;

    ULONG_PTR PageDirectoryBase;

    SIZE_T PeakVirtualSize;

    SIZE_T VirtualSize;

    ULONG PageFaultCount;

    SIZE_T PeakWorkingSetSize;

    SIZE_T WorkingSetSize;

    SIZE_T QuotaPeakPagedPoolUsage;

    SIZE_T QuotaPagedPoolUsage;

    SIZE_T QuotaPeakNonPagedPoolUsage;

    SIZE_T QuotaNonPagedPoolUsage;

    SIZE_T PagefileUsage;

    SIZE_T PeakPagefileUsage;

    SIZE_T PrivatePageCount;

    LARGE_INTEGER ReadOperationCount;

    LARGE_INTEGER WriteOperationCount;

    LARGE_INTEGER OtherOperationCount;

    LARGE_INTEGER ReadTransferCount;

    LARGE_INTEGER WriteTransferCount;

    LARGE_INTEGER OtherTransferCount;

} SYSTEM_PROCESS_INFORMATION, *PSYSTEM_PROCESS_INFORMATION;

ReactOS下的PsLookupProcessByProcessId:

NTSTATUS

NTAPI

PsLookupProcessByProcessId(IN HANDLE ProcessId,

                           OUT PEPROCESS *Process)

{

    PHANDLE_TABLE_ENTRY CidEntry;

    PEPROCESS FoundProcess;

    NTSTATUS Status = STATUS_INVALID_PARAMETER;

    PAGED_CODE();

    PSTRACE(PS_PROCESS_DEBUG, "ProcessId: %p\n", ProcessId);

    KeEnterCriticalRegion();

    /* Get the CID Handle Entry */

    CidEntry = ExMapHandleToPointer(PspCidTable, ProcessId);

    if (CidEntry)

    {

        /* Get the Process */

        FoundProcess = CidEntry->Object;

        /* Make sure it's really a process */

        if (FoundProcess->Pcb.Header.Type == ProcessObject)

        {

            /* Safe Reference and return it */

            if (ObReferenceObjectSafe(FoundProcess))

            {

                *Process = FoundProcess;

                Status = STATUS_SUCCESS;

            }

        }

        /* Unlock the Entry */

        ExUnlockHandleTableEntry(PspCidTable, CidEntry);

    }

    /* Return to caller */

    KeLeaveCriticalRegion();

    return Status;

}

WRK下的PsLookupProcessByProcessId:

NTSTATUS

PsLookupProcessByProcessId(

    __in HANDLE ProcessId,

    __deref_out PEPROCESS *Process

    )

/*++

Routine Description:

    This function accepts the process id of a process and returns a

    referenced pointer to the process.

Arguments:

    ProcessId - Specifies the Process ID of the process.

    Process - Returns a referenced pointer to the process specified by the

        process id.

Return Value:

    STATUS_SUCCESS - A process was located based on the contents of

        the process id.

    STATUS_INVALID_PARAMETER - The process was not found.

--*/

{

    PHANDLE_TABLE_ENTRY CidEntry;

    PEPROCESS lProcess;

    PETHREAD CurrentThread;

    NTSTATUS Status;

    PAGED_CODE();

    Status = STATUS_INVALID_PARAMETER;

    CurrentThread = PsGetCurrentThread ();

    KeEnterCriticalRegionThread (&CurrentThread->Tcb);

    CidEntry = ExMapHandleToPointer(PspCidTable, ProcessId);

    if (CidEntry != NULL) {

        lProcess = (PEPROCESS)CidEntry->Object;

        if (lProcess->Pcb.Header.Type == ProcessObject &&

            lProcess->GrantedAccess != ) {

            if (ObReferenceObjectSafe(lProcess)) {

               *Process = lProcess;

                Status = STATUS_SUCCESS;

            }

        }

        ExUnlockHandleTableEntry(PspCidTable, CidEntry);

    }

    KeLeaveCriticalRegionThread (&CurrentThread->Tcb);

    return Status;

}

通过ZwQuerySystemInformation获取EPROCESS的代码块:

        status = ZwQuerySystemInformation(SystemProcessesAndThreadsInformation,NULL,,&BufferSize);

    if (!BufferSize)

    {

        KdPrint(("ZwQuerySystemInformation error!\n"));

        return status;

    }

    Buffer = ExAllocatePoolWithTag(NonPagedPool,BufferSize,'myta');

    if (!Buffer)

    {

        KdPrint(("ExAllocatePoolWithTag error!\n"));

        return STATUS_UNSUCCESSFUL;

    }

    status = ZwQuerySystemInformation(SystemProcessesAndThreadsInformation,Buffer,BufferSize,);

    if (!NT_SUCCESS(status))

    {

        KdPrint(("ZwQuerySystemInformation error!\n"));

        ExFreePool(Buffer);

        return status;

    }

    pProcessInfo = (PSYSTEM_PROCESS_INFORMATION)Buffer;

    status = PsLookupProcessByProcessId(pProcessInfo->ProcessId,&eProcess);

    if (!NT_SUCCESS(status))

    {

        KdPrint(("PsLookupProcessByProcessId error! %x\n",status));

        ExFreePool(Buffer);

        return status;

    }

上述代码不出意外的话能够得到EPROCESS结构。

通过ZwQuerySystemInformation获取EPROCESS的更多相关文章

  1. 获取句柄的类型以及对应的ID序号

    遍历所有进程下的所有句柄,以及对应句柄类型. 一丶简介 在有的时候.我们会需要对应句柄名字.以及句柄类型的名称. 以及它所对应的的ID. 因为每个系统不一样.所以每次都是不一样的. 有的时候我们就需要 ...

  2. Win7 x64下进程保护与文件保护(ObRegisterCallbacks)

    进程保护部分参考 http://bbs.pediy.com/showthread.php?t=168023 进程保护,在任务管理器不能结束进程 #ifndef CXX_PROTECTPROCESSX6 ...

  3. Ring3下干净的强行删除文件

    在某公司实习完,再次回到寝室.还是在学校好. 实习期间的给我的任务就是为项目添加一个强行删除的模块. 背景是硬盘上存储空间不够时,需要删掉老的文件,如果这时后,老的文件被打开了,没有关掉,就无法删除. ...

  4. x64内核HOOK技术之拦截进程.拦截线程.拦截模块

    x64内核HOOK技术之拦截进程.拦截线程.拦截模块 一丶为什么讲解HOOK技术. 在32系统下, 例如我们要HOOK SSDT表,那么直接讲CR0的内存保护属性去掉. 直接讲表的地址修改即可. 但是 ...

  5. R3 x64枚举进程句柄

    转载:https://blog.csdn.net/zhuhuibeishadiao/article/details/51292608 需要注意的是:在R3使用ZwQueryObject很容易锁死,需要 ...

  6. CVE-2016-0095提权漏洞分析

    1 前言 瞻仰了k0shl和鹏哥 的漏洞分析,感慨万千,任重而道远. 2 系统环境和工具 windows 7 32旗舰版 windbg 3 poc 3.1poc复现 首先k0shl大佬给出的poc() ...

  7. HOOK SSDK

    HOOK SSDT主要代码 #pragma once #include <ntifs.h> /* * * * * * * * * * * * * * * * * * * * * * * * ...

  8. 通过EPROCESS获取进程名

    上一篇写自我保护时用到了,主要是不同版本的位置不同.找了一下,发现XP和win7的情况分别如下. WIN7 lkd> dt nt!_EPROCESS +0x000 Pcb : _KPROCESS ...

  9. ZwQuerySystemInformation 安全使用心得 Delphi 版

    作为 DELPHI 版本,需要引用 jwaNative, JwaWinType ,他们是 JEDI API 的一部分.JEDI 官网有下载. 先给出 2 个辅助函数 和 一些结构体. type     ...

随机推荐

  1. Intellij IDEA14 搜索框及控制台乱码解决

    搜索ctrl+F及ctrl+H的搜索框.调试的时候控制台.导入module都显示为为中文乱码 如下: 解决方案: File->Setting->IDE Settings->Appea ...

  2. dubbo作为消费者注册过程分析--????

    请支持原创: http://www.cnblogs.com/donlianli/p/3847676.html   作者当前分析的版本为2.5.x.作者在分析的时候,都是带着疑问去查看代码,debug进 ...

  3. django----对model查询扩展

    基于对象关联查询 一对多查询(Book--Publish): 正向查询,按字段: (从关联的表中查询) book_obj.publish : 与这本书关联的出版社对象 book_obj.publish ...

  4. poj3666 线性dp

    要把一个序列变成一个不严格的单调序列,求最小费用 /* 首先可以证明最优解序列中的所有值都能在原序列中找到 以不严格单增序列为例, a序列为原序列,b序列为升序排序后的序列 dp[i][j]表示处理到 ...

  5. hdu3415 单调队列模板题

    比较裸的单调队列 先求前缀和,枚举所有结束位置1~n+k即可 #include<iostream> #include<cstdio> #include<cstring&g ...

  6. jmeter打开其他设备转过来的历史脚本出现报错

    报错大概如下 missing class com.thoughtworks.xstream.converters.ConversionException Debugging information 还 ...

  7. websocket+Django+python+paramiko实现web页面执行命令并实时输出

    一.概述 WebSocket WebSocket的工作流程:浏览器通过JavaScript向服务端发出建立WebSocket连接的请求,在WebSocket连接建立成功后,客户端和服务端就可以通过 T ...

  8. jquery的clone方法应用于textarea和select的bug修复不能copy值,clone id重复的解决

    textarea和select的值clone的时候会丢掉,在clone的时候将val再重新赋值一下,如果知道这个了就简单了, 测试发现,textarea和select的jquery的clone方法有问 ...

  9. hihocoder 1341 Constraint Checker【string】

    hihocoder 1341 解释:这道题题目还是比较容易理解,就是根据输入的若干个不等式,校验后面输入的数据是否都满足前面的不等式,满足就输出Yes,只要有一个不满足就输出No.如“A<B&l ...

  10. asp.net core服务的生命周期

    Transient:每一次GetService都会创建一个新的实例 Scoped:在同一个Scope内只初始化一个实例 ,可以理解为( 每一个request级别只创建一个实例,同一个http requ ...