google一下,发现很多都是直接通过ZwQuerySystemInformation通过11号获取进程结构SYSTEM_PROCESS_INFORMATION,对于详细的进程信息表达不够。所以想要通过这个来查看详细的 EPROCESS 结构。方法可以通过 PsLookupProcessByProcessId 这个函数来获取。函数原型在下面给出。

typedef struct _SYSTEM_PROCESS_INFORMATION {

  ULONG                   NextEntryOffset;

  ULONG                   NumberOfThreads;

  LARGE_INTEGER           Reserved[];

  LARGE_INTEGER           CreateTime;

  LARGE_INTEGER           UserTime;

  LARGE_INTEGER           KernelTime;

  UNICODE_STRING          ImageName;

  KPRIORITY               BasePriority;

  HANDLE                  ProcessId;

  HANDLE                  InheritedFromProcessId;

  ULONG                   HandleCount;

  ULONG                   Reserved2[];

  ULONG                   PrivatePageCount;

  VM_COUNTERS             VirtualMemoryCounters;

  IO_COUNTERS             IoCounters;

  SYSTEM_THREAD           Threads[];

} SYSTEM_PROCESS_INFORMATION, *PSYSTEM_PROCESS_INFORMATION;

而_SYSTEM_PROCESS_INFORMATION结构在WRK下面的结构明显比上面的多。看来微软的动作还挺大的。

typedef struct _SYSTEM_PROCESS_INFORMATION {

    ULONG NextEntryOffset;

    ULONG NumberOfThreads;

    LARGE_INTEGER SpareLi1;

    LARGE_INTEGER SpareLi2;

    LARGE_INTEGER SpareLi3;

    LARGE_INTEGER CreateTime;

    LARGE_INTEGER UserTime;

    LARGE_INTEGER KernelTime;

    UNICODE_STRING ImageName;

    KPRIORITY BasePriority;

    HANDLE UniqueProcessId;

    HANDLE InheritedFromUniqueProcessId;

    ULONG HandleCount;

    ULONG SessionId;

    ULONG_PTR PageDirectoryBase;

    SIZE_T PeakVirtualSize;

    SIZE_T VirtualSize;

    ULONG PageFaultCount;

    SIZE_T PeakWorkingSetSize;

    SIZE_T WorkingSetSize;

    SIZE_T QuotaPeakPagedPoolUsage;

    SIZE_T QuotaPagedPoolUsage;

    SIZE_T QuotaPeakNonPagedPoolUsage;

    SIZE_T QuotaNonPagedPoolUsage;

    SIZE_T PagefileUsage;

    SIZE_T PeakPagefileUsage;

    SIZE_T PrivatePageCount;

    LARGE_INTEGER ReadOperationCount;

    LARGE_INTEGER WriteOperationCount;

    LARGE_INTEGER OtherOperationCount;

    LARGE_INTEGER ReadTransferCount;

    LARGE_INTEGER WriteTransferCount;

    LARGE_INTEGER OtherTransferCount;

} SYSTEM_PROCESS_INFORMATION, *PSYSTEM_PROCESS_INFORMATION;

ReactOS下的PsLookupProcessByProcessId:

NTSTATUS

NTAPI

PsLookupProcessByProcessId(IN HANDLE ProcessId,

                           OUT PEPROCESS *Process)

{

    PHANDLE_TABLE_ENTRY CidEntry;

    PEPROCESS FoundProcess;

    NTSTATUS Status = STATUS_INVALID_PARAMETER;

    PAGED_CODE();

    PSTRACE(PS_PROCESS_DEBUG, "ProcessId: %p\n", ProcessId);

    KeEnterCriticalRegion();

    /* Get the CID Handle Entry */

    CidEntry = ExMapHandleToPointer(PspCidTable, ProcessId);

    if (CidEntry)

    {

        /* Get the Process */

        FoundProcess = CidEntry->Object;

        /* Make sure it's really a process */

        if (FoundProcess->Pcb.Header.Type == ProcessObject)

        {

            /* Safe Reference and return it */

            if (ObReferenceObjectSafe(FoundProcess))

            {

                *Process = FoundProcess;

                Status = STATUS_SUCCESS;

            }

        }

        /* Unlock the Entry */

        ExUnlockHandleTableEntry(PspCidTable, CidEntry);

    }

    /* Return to caller */

    KeLeaveCriticalRegion();

    return Status;

}

WRK下的PsLookupProcessByProcessId:

NTSTATUS

PsLookupProcessByProcessId(

    __in HANDLE ProcessId,

    __deref_out PEPROCESS *Process

    )

/*++

Routine Description:

    This function accepts the process id of a process and returns a

    referenced pointer to the process.

Arguments:

    ProcessId - Specifies the Process ID of the process.

    Process - Returns a referenced pointer to the process specified by the

        process id.

Return Value:

    STATUS_SUCCESS - A process was located based on the contents of

        the process id.

    STATUS_INVALID_PARAMETER - The process was not found.

--*/

{

    PHANDLE_TABLE_ENTRY CidEntry;

    PEPROCESS lProcess;

    PETHREAD CurrentThread;

    NTSTATUS Status;

    PAGED_CODE();

    Status = STATUS_INVALID_PARAMETER;

    CurrentThread = PsGetCurrentThread ();

    KeEnterCriticalRegionThread (&CurrentThread->Tcb);

    CidEntry = ExMapHandleToPointer(PspCidTable, ProcessId);

    if (CidEntry != NULL) {

        lProcess = (PEPROCESS)CidEntry->Object;

        if (lProcess->Pcb.Header.Type == ProcessObject &&

            lProcess->GrantedAccess != ) {

            if (ObReferenceObjectSafe(lProcess)) {

               *Process = lProcess;

                Status = STATUS_SUCCESS;

            }

        }

        ExUnlockHandleTableEntry(PspCidTable, CidEntry);

    }

    KeLeaveCriticalRegionThread (&CurrentThread->Tcb);

    return Status;

}

通过ZwQuerySystemInformation获取EPROCESS的代码块:

        status = ZwQuerySystemInformation(SystemProcessesAndThreadsInformation,NULL,,&BufferSize);

    if (!BufferSize)

    {

        KdPrint(("ZwQuerySystemInformation error!\n"));

        return status;

    }

    Buffer = ExAllocatePoolWithTag(NonPagedPool,BufferSize,'myta');

    if (!Buffer)

    {

        KdPrint(("ExAllocatePoolWithTag error!\n"));

        return STATUS_UNSUCCESSFUL;

    }

    status = ZwQuerySystemInformation(SystemProcessesAndThreadsInformation,Buffer,BufferSize,);

    if (!NT_SUCCESS(status))

    {

        KdPrint(("ZwQuerySystemInformation error!\n"));

        ExFreePool(Buffer);

        return status;

    }

    pProcessInfo = (PSYSTEM_PROCESS_INFORMATION)Buffer;

    status = PsLookupProcessByProcessId(pProcessInfo->ProcessId,&eProcess);

    if (!NT_SUCCESS(status))

    {

        KdPrint(("PsLookupProcessByProcessId error! %x\n",status));

        ExFreePool(Buffer);

        return status;

    }

上述代码不出意外的话能够得到EPROCESS结构。

通过ZwQuerySystemInformation获取EPROCESS的更多相关文章

  1. 获取句柄的类型以及对应的ID序号

    遍历所有进程下的所有句柄,以及对应句柄类型. 一丶简介 在有的时候.我们会需要对应句柄名字.以及句柄类型的名称. 以及它所对应的的ID. 因为每个系统不一样.所以每次都是不一样的. 有的时候我们就需要 ...

  2. Win7 x64下进程保护与文件保护(ObRegisterCallbacks)

    进程保护部分参考 http://bbs.pediy.com/showthread.php?t=168023 进程保护,在任务管理器不能结束进程 #ifndef CXX_PROTECTPROCESSX6 ...

  3. Ring3下干净的强行删除文件

    在某公司实习完,再次回到寝室.还是在学校好. 实习期间的给我的任务就是为项目添加一个强行删除的模块. 背景是硬盘上存储空间不够时,需要删掉老的文件,如果这时后,老的文件被打开了,没有关掉,就无法删除. ...

  4. x64内核HOOK技术之拦截进程.拦截线程.拦截模块

    x64内核HOOK技术之拦截进程.拦截线程.拦截模块 一丶为什么讲解HOOK技术. 在32系统下, 例如我们要HOOK SSDT表,那么直接讲CR0的内存保护属性去掉. 直接讲表的地址修改即可. 但是 ...

  5. R3 x64枚举进程句柄

    转载:https://blog.csdn.net/zhuhuibeishadiao/article/details/51292608 需要注意的是:在R3使用ZwQueryObject很容易锁死,需要 ...

  6. CVE-2016-0095提权漏洞分析

    1 前言 瞻仰了k0shl和鹏哥 的漏洞分析,感慨万千,任重而道远. 2 系统环境和工具 windows 7 32旗舰版 windbg 3 poc 3.1poc复现 首先k0shl大佬给出的poc() ...

  7. HOOK SSDK

    HOOK SSDT主要代码 #pragma once #include <ntifs.h> /* * * * * * * * * * * * * * * * * * * * * * * * ...

  8. 通过EPROCESS获取进程名

    上一篇写自我保护时用到了,主要是不同版本的位置不同.找了一下,发现XP和win7的情况分别如下. WIN7 lkd> dt nt!_EPROCESS +0x000 Pcb : _KPROCESS ...

  9. ZwQuerySystemInformation 安全使用心得 Delphi 版

    作为 DELPHI 版本,需要引用 jwaNative, JwaWinType ,他们是 JEDI API 的一部分.JEDI 官网有下载. 先给出 2 个辅助函数 和 一些结构体. type     ...

随机推荐

  1. url传参中文乱码解决

    url传参request.setCharacterEncoding("utf-8");无法解决中文乱码问题 解决方法: 修改tomcat---conf----server.xml文 ...

  2. python算法双指针问题:使用列表和数组模拟单链表

    这个很多基础算法,python已内部实现了. 所以,要想自己实现链表这些功能时, 反而需要自己来构造链表的数据结构. 当然,这是python灵活之处, 也是python性能表达不如意的来源. valu ...

  3. 详解webpack中的hash、chunkhash、contenthash区别

    hash.chunkhash.contenthash hash一般是结合CDN缓存来使用,通过webpack构建之后,生成对应文件名自动带上对应的MD5值.如果文件内容改变的话,那么对应文件哈希值也会 ...

  4. POJ 3614 Sunscreen (优先队列)

    题意:奶牛美容:有C头奶牛日光浴,每头奶牛分别需要minSPF_i和maxSPF_i单位强度之间的阳光.现有L种防晒霜,分别能使阳光强度稳定为SPF_i,其瓶数为cover_i.求最多满足多少头奶牛 ...

  5. codeforces 750D New Year and Fireworks【DFS】

    题意:烟花绽放时分为n层,每层会前进ti格,当进入下一层是向左右45°分开前进. 问在网格中,有多少网格至少被烟花经过一次? 题解:最多30层,每层最多前进5格,烟花的活动半径最大为150,每一层的方 ...

  6. 【BZOJ2839】集合计数&&【BZOJ3622】已经没有什么好害怕的了

    再谈容斥原理来两道套路几乎一致的题目[BZOJ2839]集合计数Description一个有N个元素的集合有2^N个不同子集(包含空集),现在要在这2^N个集合中取出若干集合(至少一个),使得它们的交 ...

  7. day8--socketserver

    socketserver分类: 1.TCP协议 class socketserver.TCPServer(server_address,RequestHandlerClass,bind_and_act ...

  8. 三步解决阿里云绑定公网IP地址失败解决方案

    1.客户端设置为阿里云服务器的公有地址: 2.服务端设置为阿里云服务器的私有地址: 3.设置阿里云的管理规则: 第一步 第二步 第三.四步

  9. asp.net core日志组件

    日志介绍 Logging的使用 1. appsettings.json中Logging的介绍 Logging的配置信息是保存在appsettings.json配置文件中的.因为之前介绍配置文件的时候我 ...

  10. 网络流24题 第五题 - PowerOJ1740 CodeVS1905 圆桌问题 二分图多重匹配 网络最大流

    欢迎访问~原文出处——博客园-zhouzhendong 去博客园看该题解 题目传送门 - PowerOJ1740 - 有SPJ - 推荐 题目传送门 - CodeVS1905 - 无SPJ - 0% ...