一丶简介

在内核中我们一般会使用各种 HANDLE Object 以及 ID等等.

那么有时候就需要互相转换.这里记录一下.

下面以进程为例进行说明.

1.进程pid 转化为 HANDLE

原理就是 跟ring3一样. 使用打开进程的函数来获取HANDLE

核心原理就是在内核中使用 ZwOpenProcess 传入PID 传出一个HANDLE.

代码如下:

    ULONG pid;

	HANDLE hProcessHandle;

	OBJECT_ATTRIBUTES obj;

	CLIENT_ID clientid;

	//必须初始化

	pid = 2378;

	clientid.UniqueProcess = (HANDLE)pid;

	clientid.UniqueThread = 0;

	InitializeObjectAttributes(&obj, 0, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, 0, 0);

	ZwOpenProcess(&hProcessHandle, PROCESS_ALL_ACCESS, &obj, &clientid);

此时ProcessHandle就是我们所要的Handle

关于文件你就可以使用 ZwOpenFile or ZwCreateFile 注册表类似.

2.Handle --------> 转化为 PID

Handle转化为PID就要使用跟进程相关的特有API.

如进程则使用 ** ZwQueryInformationProcess ** 遍历进程的基础信息即可得到PID

但是注意,此函数在内核中不能直接使用.因为是未公开的函数.所以我们必须进行声明.并且使用 内核API来动态获取此函数的地址才可以

代码如下:

声明与定义:

typedef NTSTATUS(*PfnZwQueryInformationProcess) (

	__in HANDLE ProcessHandle,

	__in PROCESSINFOCLASS ProcessInformationClass,

	__out_bcount(ProcessInformationLength) PVOID ProcessInformation,

	__in ULONG ProcessInformationLength,

	__out_opt PULONG ReturnLength

	);

PfnZwQueryInformationProcess ZwQueryInformationProcess;

核心实现,ProcessHandle就是你所获得的句柄.



PROCESS_BASIC_INFORMATION ProcessBasicInfor;

	//动态获取.

	UNICODE_STRING UtrZwQueryInformationProcessName =

		RTL_CONSTANT_STRING(L"ZwQueryInformationProcess");

	ZwQueryInformationProcess =

		(PfnZwQueryInformationProcess)MmGetSystemRoutineAddress(&UtrZwQueryInformationProcessName);

	//check...

	//核心代码

	/*

	1.利用PID

	*/

	PROCESS_BASIC_INFORMATION ProcessBasicInfor;

	ZwQueryInformationProcess(

		ProcessHndle,

		ProcessBasicInformation,

		(PVOID)&ProcessBasicInfor,

		sizeof(ProcessBasicInfor),

		NULL);

	/*

	ProcessBasicInfor.UniqueProcessId; 则为你所求

	*/

3.Pid ------> Object(EPROCESS)

pid转化为EPROCESS说下原理.

原理就是通过 PsLookUpProcessByProcessId 传入PID.传出EPROCESS.

但是内核中你使用了这个函数. 那么获得的EPROCESS就会引用计数+1根据内核面向对象的设计.你要进行解引用.所以还需要一个API 进行解引用

核心代码如下:

PEPROCESS pEpro;

PsLookUpProcessByProcessId((HANDLE)pid,&pEpro);

ObDereferenceObject(pEpro);

PEpro即为你所求.

4. HANDLE -------------> EPROCESS

这个也是很常用的.在内核编程中.当你获得一个HANDLE 首先就要把其转化为对应的OBJECT对象.

而内核函数也为我们提供了.

如下:

ObReferenceObjectByHandle(ProcessHandle, GENERIC_ALL,*PsProcessType,KernelMode,&pEprocess,NULL);

5.EPROCESS ---------> pid

在EPROCESS中本身就记录着PID. 直接获取PID即可.

EPROCESS.UniqueProcessId;

6.EPROCESS --------->HANDLE

这个倒是没有常用.但是内核也提供了API给我们使用

ObOpenObjectByPoint(Process,attributes,&AccessState,0,*PsProcessType,PreviousMode,&Handle);

内核中PID_HANDLE_OBJECT等互相转换的更多相关文章

  1. Linux 2.6内核中新的锁机制--RCU

    转自:http://www.ibm.com/developerworks/cn/linux/l-rcu/ 一. 引言 众所周知,为了保护共享数据,需要一些同步机制,如自旋锁(spinlock),读写锁 ...

  2. [php-src]窥探Php内核中的变量

    内容均以php-5.6.14为例. 在看各种组合数据类型之前,有必要先熟悉下 Zend/zend_types.h 里面的自定义数据类型. #ifndef ZEND_TYPES_H // 防止多次 in ...

  3. [php-src]理解Php内核中的函数与INI

    内容均以php-5.6.14为例. 一. 函数结构 内核中定义一个php函数使用 PHP_FUNCTION 宏 包装,扩展也不例外,该宏在 ./main/php.h:343 有着一系列类似以 PHP ...

  4. Linux内核中双向链表的经典实现

    概要 前面一章"介绍双向链表并给出了C/C++/Java三种实现",本章继续对双向链表进行探讨,介绍的内容是Linux内核中双向链表的经典实现和用法.其中,也会涉及到Linux内核 ...

  5. linux内核中jiffies的回绕问题【转】

    本文转载自:http://blog.csdn.net/yuanlulu/article/details/6019862 ======================================== ...

  6. Apparmor——Linux内核中的强制访问控制系统

      AppArmor 因为最近在研究OJ(oline judge)后台的安全模块的实现,所以一直在研究Linux下沙箱的东西,同时发现了Apparmor可以提供访问控制. AppArmor(Appli ...

  7. 内核中读取UTC时间

        记录这个知识点的原因是因为项目中需要保存充电日志,因此,趁着这个机会,深入了解一下Linux的时间系统. UTC:(Universal Time Coordinated) 协调世界时的缩写   ...

  8. 转:内核中的内存申请:kmalloc、vmalloc、kzalloc、kcalloc、get_free_pages

    在内核模块中申请分配内存需要使用内核中的专用API:kmalloc.vmalloc.kzalloc.kcalloc.get_free_pages;当然,设备驱动程序也不例外;对于提供了MMU功能的处理 ...

  9. Linux内核中链表实现

    关于双链表实现,一般教科书上定义一个双向链表节点的方法如下: struct list_node{ stuct list_node *pre; stuct list_node *next; ElemTy ...

随机推荐

  1. iOS - 静态库的导入和头文件路径的设置

    开发过程中,免不了要用到一些第三方或者是别人写好的一些Demo,这时就经常会用到别人写的一些静态库(.a文件)和n多个头文件(.h文件),这些文件不是简单地把它们拉到自己的工程里面就行的,还要设置一些 ...

  2. 【转载】Sqlserver使用IsNull方法对空字段进行赋值操作

    在Sqlserver的SQL语句查询过程或者编写存储过程以及自定义函数过程中,有时候字段的值为空,如果为空的字段需要赋值一个默认值,可以使用Sqlserver内置系统函数IsNull来给定一个默认值, ...

  3. canvas教程(三) 绘制曲线

    经过 canvas 教程(二) 绘制直线 我们知道了 canvas 的直线是怎么绘制的 而本次是给大家带来曲线相关的绘制 绘制圆形 在 canvas 中我们可以使用 arc 方法画一个圆 contex ...

  4. nginx反向代理实现均衡负载及调度方法

    http upstream配置参数: ngx_http_upstream_module模块将多个服务器定义成服务器组,而由proxy_pass, fastcgi_pass等指令进行引用 upstrea ...

  5. 【转】TCP性能优化之避免慢启动

    TCP协议中有个慢启动,在<TCP/IP详解卷一>中占据的篇幅很小,但是这个东西,在某些业务场景下,对性能的影响非常大. 什么是慢启动 最初的TCP的实现方式是,在连接建立成功后便会向网络 ...

  6. [IC]浅谈嵌入式MCU软件开发之中断优先级与中断嵌套

    转自:https://mp.weixin.qq.com/s?__biz=MzI0MDk0ODcxMw==&mid=2247483680&idx=1&sn=c5fd069ab3f ...

  7. 191016 Linux中安装python3

    注意事项:直接在Linux系统中安装python3后会导致yum命令和pip命令失效. 安装python3过程(按下述方法安装依赖包.指定软链接,就不会出错了): # 安装依赖包 yum instal ...

  8. 191011 python3-format函数

    # 题目:一球从100米高度自由落下,每次落地后反跳回原高度的一半:# 再落下,求它在第10次落地时,共经过多少米?第10次反弹多高?方法一: l = 100.0 s = 100 for i in r ...

  9. typescript 接口

    接口:用来建立某种代码约定,使得其他开发者在调用某个方法或创建新的类时必须遵循接口所定义的代码约定   在js里面没有接口这个概念,在ts里面通过两个关键字来支撑接口这个特性   interface ...

  10. C#向数据库中插入或更新null空值

    一.在SQL语句中直接插入null或空字符串“” int? item = null; item == null ? "null" : item.ToString(); item = ...