[toc]

一丶简介

整理一下windows内核中.常用的代码.这里只整理下进程的相关代码.

二丶 windows内核之遍历进程

内核中记录进程的结构体是EPROCESS结构.所以只需要遍历这个结构即可.标准方法可以使用ZwQuerySystemInformation函数.使用SystemProcessInformation功能号. 另外也有很多种枚举进程的方法比如找到EPROCESS结构进行枚举的.(CPU结构体 KPCR)等等.不过兼容性都是不太好.另一种方法是枚举句柄表 PspCidTable里面有记录EPROCESS 也能检查出断链等隐藏的进程.不过缺点就是. PspCidTable并不是一个公开的变量.要活的它的地址的话.你就需要使用硬编码或者符号了.但是大家知道使用硬编码那么就不会跟着系统走了.如果想要通用那么就最好不要使用. 这里看到网上有更简单的方法.

只用使用几个公开API即可.

  • PsLookUpProcessByProcessId 根据进程Pid返回进程的EPROCESS

  • ObDereferenceObject 返回的EPROCESS会被引用一次,进行解引用.

另外还需要几个API可以获得进程的名字 进程的父PID等等

  • PsGetProcessImageFileName(IN PEPROCESS proc)
  • PsGetProcessInheritedFromUniqueProcessId(IN PEPROCESS proc)

遍历多大,根据进程PID排列.步进为4, 总工是 2^31 -1即可.

具体代码如下:

#include <ntifs.h>

NTKERNELAPI UCHAR* PsGetProcessImageFileName(IN PEPROCESS Process); //未公开的进行导出即可

NTKERNELAPI HANDLE PsGetProcessInheritedFromUniqueProcessId(IN PEPROCESS Process);//未公开进行导出

void DriverUnLoad(PDRIVER_OBJECT pDriverObj)

{

	KdPrint(("驱动卸载成功"));

}

/*

1.枚举所有进程.  2^31方

*/

PEPROCESS GetEprocessByPid(HANDLE pid)

{

	//根据PID 返回PEPROCESS

	PEPROCESS pEpro = NULL;

	NTSTATUS ntStatus = STATUS_UNSUCCESSFUL;

	ntStatus = PsLookupProcessByProcessId(pid, &pEpro);

	if (NT_SUCCESS(ntStatus))

	{

		return pEpro;

	}

	return NULL;

}

void IteratorProcess()

{

	PEPROCESS pCurrentEprocess = NULL;

	for (int i = 0; i < 2147483648; i += 4)

	{

		pCurrentEprocess = GetEprocessByPid((HANDLE)i);

		if (pCurrentEprocess != NULL)

		{

			DbgPrint("进程名字为: %s 进程PID = %d 进程的父Pid = %d\r\n",

				PsGetProcessImageFileName(pCurrentEprocess),

				PsGetProcessId(pCurrentEprocess),

				PsGetProcessInheritedFromUniqueProcessId(pCurrentEprocess));

			ObDereferenceObject(pCurrentEprocess); //解引用

		}

	}

}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegPath)

{

	ULONG iCount = 0;

	NTSTATUS ntStatus;

	pDriverObj->DriverUnload = DriverUnLoad;

	IteratorProcess();  //遍历进程

	return STATUS_SUCCESS;

}

结果

三丶Windows内核之暂停与恢复进程

在Ring3我们想暂停与恢复进程一般都是使用NativeApi.动态获取等等.

在内核中一样也有.在VISTA之后,便有导出了.

  • ** NTKERNELAPI NTSTATUS PsSuspendProcess(PEPROCESS Proc) **
  • ** NTKERNELAPI NTSTATUS PsResumeProcess(PEPROCESS Proc) ;**

未挂起前

加载驱动进行挂起

#include <ntifs.h>

NTKERNELAPI NTSTATUS PsSuspendProcess(PEPROCESS proc);	//暂停进程

NTKERNELAPI NTSTATUS PsResumeProcess(PEPROCESS proc);	//恢复进程

void DriverUnLoad(PDRIVER_OBJECT pDriverObj)

{

	KdPrint(("驱动卸载成功"));

}

/*

1.枚举所有进程.  2^31方

*/

PEPROCESS GetEprocessByPid(HANDLE pid)

{

	//根据PID 返回PEPROCESS

	PEPROCESS pEpro = NULL;

	NTSTATUS ntStatus = STATUS_UNSUCCESSFUL;

	ntStatus = PsLookupProcessByProcessId(pid, &pEpro);

	if (NT_SUCCESS(ntStatus))

	{

		return pEpro;

	}

	return NULL;

}

void TestSusPendProcess(ULONG pid)

{

	PEPROCESS pCurrentEprocess = NULL;

	pCurrentEprocess = GetEprocessByPid((HANDLE)pid);

	if (pCurrentEprocess != NULL)

	{

		PsSuspendProcess(pCurrentEprocess);

		DbgPrint("挂起进程成功\r\n");

		ObDereferenceObject(pCurrentEprocess);

	}

}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegPath)

{

	ULONG iCount = 0;

	NTSTATUS ntStatus;

	pDriverObj->DriverUnload = DriverUnLoad;

	//IteratorProcess();  //遍历进程

	TestSusPendProcess(2728); //挂起进程,传入指定PID

	return STATUS_SUCCESS;

}

恢复进程代码同上.不一一举例.

四丶结束进程

4.1 标准方法结束

标准方法结束 就是采用ZwOpenProcess 打开进程获取句柄.然后使用内核函数 ZwTerminateProcess结束. 最后ZwClose关闭句柄.

非标准结束就是Attach进程.然后内存清零来结束这个进程.如果能Attach上.那么就可以用来强杀进程.当然Attach可以. 自己修改页表.(PDE PTE)等.修改指定内存也是一样的.

代码如下

void ZwKillProcess(ULONG pid)

{

	HANDLE ProcessHandle = NULL;

	OBJECT_ATTRIBUTES obj;

	CLIENT_ID cid = { 0 };

	NTSTATUS ntStatus = STATUS_UNSUCCESSFUL;

	InitializeObjectAttributes(&obj,NULL,OBJ_KERNEL_HANDLE|OBJ_CASE_INSENSITIVE,NULL,NULL);

	cid.UniqueProcess = (HANDLE)pid;

	cid.UniqueThread = 0;

	ntStatus =  ZwOpenProcess(&ProcessHandle, GENERIC_ALL, &obj, &cid);

	if (NT_SUCCESS(ntStatus))

	{

		ZwTerminateProcess(ProcessHandle, 0);

		ZwClose(ProcessHandle);

	}

	ZwClose(ProcessHandle);

}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegPath)

{

	ULONG iCount = 0;

	NTSTATUS ntStatus;

	pDriverObj->DriverUnload = DriverUnLoad;

	//IteratorProcess();  //遍历进程

	ZwKillProcess(2728); //挂起进程,传入指定PID

	return STATUS_SUCCESS;

}

4.2非标准方法结束进程

非标准的方式就是Attach进进程进行内存清零.这里提供了两种方法.原理是一样

KeAttachProcess方法 与 KeStackAttachProcess方法. 其中第一种属于旧方法了.根据MSDN所说API已经升级为了KeStackAttachProcess

代码如下



#include <ntifs.h>

NTKERNELAPI UCHAR* PsGetProcessImageFileName(IN PEPROCESS Process); //未公开的进行导出即可

NTKERNELAPI VOID NTAPI KeAttachProcess(PEPROCESS Process);

NTKERNELAPI VOID NTAPI KeDetachProcess();

void DriverUnLoad(PDRIVER_OBJECT pDriverObj)

{

	KdPrint(("驱动卸载成功"));

}

/*

1.枚举所有进程.  2^31方

*/

PEPROCESS GetEprocessByPid(HANDLE pid)

{

	//根据PID 返回PEPROCESS

	PEPROCESS pEpro = NULL;

	NTSTATUS ntStatus = STATUS_UNSUCCESSFUL;

	ntStatus = PsLookupProcessByProcessId(pid, &pEpro);

	if (NT_SUCCESS(ntStatus))

	{

		return pEpro;

	}

	return NULL;

}

//新方法

void MemKillProcess(HANDLE pid)

{

	PEPROCESS proc = NULL;

	NTSTATUS ntStatus = STATUS_UNSUCCESSFUL;

	PKAPC_STATE pApcState = NULL;

	PsLookupProcessByProcessId((HANDLE)pid,&proc);

	if (proc == 0)

	{

		return;

	}

	//KeAttachProcess(proc);

	//KeDetachProcess()  等都已经过时.所以使用新的

	pApcState = (PKAPC_STATE)ExAllocatePoolWithTag(NonPagedPool, sizeof(PKAPC_STATE), '1111');

	if (NULL == pApcState)

	{

		ObDereferenceObject(proc);

		return;

	}

	__try{

		KeStackAttachProcess(proc, pApcState);

		//KeAttachProcess(proc);

		for (int i = 0x10000; i < 0x20000000; i += PAGE_SIZE)

		{

			__try

			{

				memset((PVOID)i, 0, PAGE_SIZE);

			}

			__except (1)

			{

				;		//内部处理异常

			}

		}

		KeUnstackDetachProcess(pApcState);

		//KeDetachProcess();

		ObDereferenceObject(proc);

		return;

	}

	__except (1)

	{

		DbgPrint("强杀出错\r\n");

		KeUnstackDetachProcess(pApcState);

		ObDereferenceObject(proc);

	}

	return;

}

HANDLE GetPidByProcessName(char *ProcessName)

{

	PEPROCESS pCurrentEprocess = NULL;

	HANDLE pid = 0;

	DbgPrint("寻找名为%s的PID\r\n", ProcessName);

	for (int i = 0; i < 2147483647; i += 4)

	{

		pCurrentEprocess = GetEprocessByPid((HANDLE)i);

		if (pCurrentEprocess != NULL)

		{

			/*DbgPrint("进程名字为: %s 进程PID = %d 进程的父Pid = %d\r\n",

				PsGetProcessImageFileName(pCurrentEprocess),

				PsGetProcessId(pCurrentEprocess),

				PsGetProcessInheritedFromUniqueProcessId(pCurrentEprocess));*/

			pid = PsGetProcessId(pCurrentEprocess);

			if (strstr(PsGetProcessImageFileName(pCurrentEprocess), ProcessName) != NULL)

			{

				ObDereferenceObject(pCurrentEprocess); //解引用

				DbgPrint("找到了\r\n");

				return pid;

			}

			ObDereferenceObject(pCurrentEprocess); //解引用

		}

	}

	DbgPrint("未找到\r\n");

	return (HANDLE)-1;

}

//旧方法

void OldMemKillProcess(HANDLE pid)

{

	SIZE_T i = 0;

	//依附进程

	PEPROCESS proc = 0;

	PsLookupProcessByProcessId(pid, &proc);

	if (NULL == proc)

	{

		return;

	}

	KeAttachProcess((PEPROCESS)proc); //这里改为指定进程的 EPROCESS

	for (i = 0x10000; i < 0x20000000; i += PAGE_SIZE)

	{

		__try

		{

			memset((PVOID)i, 0, PAGE_SIZE); //把进程内存全部置零

		}

		_except(1)

		{

			;

		}

	}

	//退出依附进程

	KeDetachProcess();

	ObDereferenceObject(proc);

}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegPath)

{

	ULONG iCount = 0;

	NTSTATUS ntStatus;

	pDriverObj->DriverUnload = DriverUnLoad;

	MemKillProcess(GetPidByProcessName("calc.exe")); //新方法

	OldMemKillProcess(GetPidByProcessName("calc.exe"));//旧方法

	return STATUS_SUCCESS;

}

两种方法在win7 64上面都可以.

windows内核代码之进程操作的更多相关文章

  1. windows 内核下获取进程路径

    windows 内核下获取进程路径 思路:1):在EPROCESS结构中获取.此时要用到一个导出函数:PsGetProcessImageFileName,申明如下: NTSYSAPI UCHAR *  ...

  2. [5]windows内核情景分析---进程线程

    本篇主要讲述进程的启动过程.线程的调度与切换.进程挂靠 进程的启动过程: BOOL CreateProcess ( LPCTSTR lpApplicationName,                 ...

  3. 【旧文章搬运】Windows内核常见数据结构(进程相关)

    原文发表于百度空间,2008-7-24========================================================================== 进程的相关结 ...

  4. Windows内核之进程基本含义以及进程的创建

    进程 1 进程的含义: 1.1   一个是操作系统用来管理进程的内核对象. 内核对象也是系统用来存放关于进程的统计信息的地方. 1.2   还有一个是地址空间,它包括全部可运行模块或DL L 模块的代 ...

  5. Windows内核之进程的终止和子进程

    1 进程终止的方法: <1>主线程的进入点函数返回(最好使用这种方法) <2>进程中的一个线程调用ExitProcesss函数(应该避免使用这样的方法). <3>还 ...

  6. 《天书夜读:从汇编语言到windows内核编程》八 文件操作与注册表操作

    1)Windows运用程序的文件与注册表操作进入R0层之后,都有对应的内核函数实现.在windows内核中,无论打开的是文件.注册表或者设备,都需要使用InitializeObjectAttribut ...

  7. C++windows内核编程笔记day13 进程、线程与信号量

    Windows进程 进程是一个容器,包括程序运行须要的代码.数据.资源等信息, windows进程的特点: 每一个进程都有自己的ID号 每一个进程都有自己的地址空间.进程之间无法訪问对方的地址空间. ...

  8. 《Windows内核安全与驱动开发》 3.1 字符串操作

    <Windows内核安全与驱动开发>阅读笔记 -- 索引目录 <Windows内核安全与驱动开发> 3.1 字符串操作 一.字符串的初始化 1. 判断下列代码为什么会蓝屏? U ...

  9. Windows内核基础知识-8-监听进程、线程和模块

    Windows内核基础知识-8-监听进程.线程和模块 Windows内核有一种强大的机制,可以在重大事件发送时得到通知,比如这里的进程.线程和模块加载通知. 本次采用链表+自动快速互斥体来实现内核的主 ...

随机推荐

  1. C# SQl通过对视图数据二次查询,统计数据

    问题描述: 原数据---------需要在原视图数据中,统计出每个Device_Num设备号下面的交易的总额和分别统计出微信支付宝的交易总额. 解决:从上图数据没办法使用直接查询出要求的数据. .1. ...

  2. VMwarm下安装ubuntu的一些问题

    1.终端无法输入中文的原因(未实践)  原文地址 2.Windows10下VMwarm(V15.5)和ubuntu14.04实现复制文件(已经实践)  转载路径

  3. C#里面如何判断一个Object是否是某种类型

    第一种方法 var isA = oldObject.GetType() == typeof(Dictionary<string, string>) 第二种方法 var isB = oldO ...

  4. vue/react/angular开发的css架构思考

    前端开发现在已经从传统的后端web多页面开发模式转向前端单页SPA开发模式,而vuejs/react/angular则是开发SPA非常优秀的前端框架.组件化开发由react最早提出,vuejs后发优势 ...

  5. CodeForces 536D Tavas in Kansas

    洛谷题目页面传送门 & CodeForces题目页面传送门 A和B在一张无向连通图\(G=(V,E),|V|=n,|E|=m\)上玩一个游戏,节点\(i\)有一个权值\(v_i\).A.B分别 ...

  6. Scheduling Tasks

    官方文档 https://spring.io/guides/gs/scheduling-tasks/ 官方文档详细介绍了@Scheduled中fixedRate,fixedDelay,cron的用法 ...

  7. Map List Set的区别

    Map List Map的主要区别如下: set List 是实现了Collection接口的子接口:Map本身就是一个接口: list数据存放时有序的,允许有重复元素:set数据存放时无序的,不允许 ...

  8. 为什么K8s会成为主流?

    容器技术和K8s是云原生概念的核心和基础.云计算诞生已有超过10年,但云计算时代的应用到底该是什么样子,一直没人能说清楚,也没人能确定云计算的基础架构将会如何发展.在K8s出现之前,没人设想过会有一个 ...

  9. js学习之存储

    一.Cookie和Session的区别 1.cookie数据存放在客户的浏览器上,session数据放在服务器上(一般以内存.数据库.文件形式). 2.session会在一定时间内保存在服务器上.当访 ...

  10. Java 面向对象(八) 权限修饰符 和 final、native 关键字

    一.权限修饰符 1.概述 在 Java 中提供了四种访问权限,使用不同的访问权限修饰符修饰时,被修饰的内容会有不同的访问权限: public:公共的: protected:受保护的: default: ...