一丶简介

在内核中我们一般会使用各种 HANDLE Object 以及 ID等等.

那么有时候就需要互相转换.这里记录一下.

下面以进程为例进行说明.

1.进程pid 转化为 HANDLE

原理就是 跟ring3一样. 使用打开进程的函数来获取HANDLE

核心原理就是在内核中使用 ZwOpenProcess 传入PID 传出一个HANDLE.

代码如下:

    ULONG pid;

	HANDLE hProcessHandle;

	OBJECT_ATTRIBUTES obj;

	CLIENT_ID clientid;

	//必须初始化

	pid = 2378;

	clientid.UniqueProcess = (HANDLE)pid;

	clientid.UniqueThread = 0;

	InitializeObjectAttributes(&obj, 0, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, 0, 0);

	ZwOpenProcess(&hProcessHandle, PROCESS_ALL_ACCESS, &obj, &clientid);

此时ProcessHandle就是我们所要的Handle

关于文件你就可以使用 ZwOpenFile or ZwCreateFile 注册表类似.

2.Handle --------> 转化为 PID

Handle转化为PID就要使用跟进程相关的特有API.

如进程则使用 ** ZwQueryInformationProcess ** 遍历进程的基础信息即可得到PID

但是注意,此函数在内核中不能直接使用.因为是未公开的函数.所以我们必须进行声明.并且使用 内核API来动态获取此函数的地址才可以

代码如下:

声明与定义:

typedef NTSTATUS(*PfnZwQueryInformationProcess) (

	__in HANDLE ProcessHandle,

	__in PROCESSINFOCLASS ProcessInformationClass,

	__out_bcount(ProcessInformationLength) PVOID ProcessInformation,

	__in ULONG ProcessInformationLength,

	__out_opt PULONG ReturnLength

	);

PfnZwQueryInformationProcess ZwQueryInformationProcess;

核心实现,ProcessHandle就是你所获得的句柄.



PROCESS_BASIC_INFORMATION ProcessBasicInfor;

	//动态获取.

	UNICODE_STRING UtrZwQueryInformationProcessName =

		RTL_CONSTANT_STRING(L"ZwQueryInformationProcess");

	ZwQueryInformationProcess =

		(PfnZwQueryInformationProcess)MmGetSystemRoutineAddress(&UtrZwQueryInformationProcessName);

	//check...

	//核心代码

	/*

	1.利用PID

	*/

	PROCESS_BASIC_INFORMATION ProcessBasicInfor;

	ZwQueryInformationProcess(

		ProcessHndle,

		ProcessBasicInformation,

		(PVOID)&ProcessBasicInfor,

		sizeof(ProcessBasicInfor),

		NULL);

	/*

	ProcessBasicInfor.UniqueProcessId; 则为你所求

	*/

3.Pid ------> Object(EPROCESS)

pid转化为EPROCESS说下原理.

原理就是通过 PsLookUpProcessByProcessId 传入PID.传出EPROCESS.

但是内核中你使用了这个函数. 那么获得的EPROCESS就会引用计数+1根据内核面向对象的设计.你要进行解引用.所以还需要一个API 进行解引用

核心代码如下:

PEPROCESS pEpro;

PsLookUpProcessByProcessId((HANDLE)pid,&pEpro);

ObDereferenceObject(pEpro);

PEpro即为你所求.

4. HANDLE -------------> EPROCESS

这个也是很常用的.在内核编程中.当你获得一个HANDLE 首先就要把其转化为对应的OBJECT对象.

而内核函数也为我们提供了.

如下:

ObReferenceObjectByHandle(ProcessHandle, GENERIC_ALL,*PsProcessType,KernelMode,&pEprocess,NULL);

5.EPROCESS ---------> pid

在EPROCESS中本身就记录着PID. 直接获取PID即可.

EPROCESS.UniqueProcessId;

6.EPROCESS --------->HANDLE

这个倒是没有常用.但是内核也提供了API给我们使用

ObOpenObjectByPoint(Process,attributes,&AccessState,0,*PsProcessType,PreviousMode,&Handle);

内核中PID_HANDLE_OBJECT等互相转换的更多相关文章

  1. Linux 2.6内核中新的锁机制--RCU

    转自:http://www.ibm.com/developerworks/cn/linux/l-rcu/ 一. 引言 众所周知,为了保护共享数据,需要一些同步机制,如自旋锁(spinlock),读写锁 ...

  2. [php-src]窥探Php内核中的变量

    内容均以php-5.6.14为例. 在看各种组合数据类型之前,有必要先熟悉下 Zend/zend_types.h 里面的自定义数据类型. #ifndef ZEND_TYPES_H // 防止多次 in ...

  3. [php-src]理解Php内核中的函数与INI

    内容均以php-5.6.14为例. 一. 函数结构 内核中定义一个php函数使用 PHP_FUNCTION 宏 包装,扩展也不例外,该宏在 ./main/php.h:343 有着一系列类似以 PHP ...

  4. Linux内核中双向链表的经典实现

    概要 前面一章"介绍双向链表并给出了C/C++/Java三种实现",本章继续对双向链表进行探讨,介绍的内容是Linux内核中双向链表的经典实现和用法.其中,也会涉及到Linux内核 ...

  5. linux内核中jiffies的回绕问题【转】

    本文转载自:http://blog.csdn.net/yuanlulu/article/details/6019862 ======================================== ...

  6. Apparmor——Linux内核中的强制访问控制系统

      AppArmor 因为最近在研究OJ(oline judge)后台的安全模块的实现,所以一直在研究Linux下沙箱的东西,同时发现了Apparmor可以提供访问控制. AppArmor(Appli ...

  7. 内核中读取UTC时间

        记录这个知识点的原因是因为项目中需要保存充电日志,因此,趁着这个机会,深入了解一下Linux的时间系统. UTC:(Universal Time Coordinated) 协调世界时的缩写   ...

  8. 转:内核中的内存申请:kmalloc、vmalloc、kzalloc、kcalloc、get_free_pages

    在内核模块中申请分配内存需要使用内核中的专用API:kmalloc.vmalloc.kzalloc.kcalloc.get_free_pages;当然,设备驱动程序也不例外;对于提供了MMU功能的处理 ...

  9. Linux内核中链表实现

    关于双链表实现,一般教科书上定义一个双向链表节点的方法如下: struct list_node{ stuct list_node *pre; stuct list_node *next; ElemTy ...

随机推荐

  1. 【洛谷 P3041】 [USACO12JAN]视频游戏的连击Video Game Combos(AC自动机,dp)

    题目链接 手写一下AC自动机(我可没说我之前不是手写的) Trie上dp,每个点的贡献加上所有是他后缀的串的贡献,也就是这个点到根的fail链的和. #include <cstdio> # ...

  2. Synchronized 和 Lock 的主要区别(转)

    Synchronized 和 Lock 的主要区别Synchronzied 和 Lock 的主要区别如下: 存在层面:Syncronized 是Java 中的一个关键字,存在于 JVM 层面,Lock ...

  3. rabbitMq 学习笔记(二) 备份交换器,过期时间,死信队列,死信队列

    备份交换器 备份交换器,英文名称为 Altemate Exchange,简称庙,或者更直白地称之为"备胎交换器". 生产者在发送消息的时候如果不设置 mandatory 参数, 那 ...

  4. 【转载】C#使用Math.Ceiling方法对计算结果向上取整操作

    在C#的数值运算中,有时候需要对计算结果进行向上取整操作,支持设定结算结果的有效位数,Math.Ceiling方法是C#中专门用来对数值进行向上取整的方法,此方法和Math.Round方法.Math. ...

  5. tp框架防止表单重复提交

    转载 框架官方 http://www.thinkphp.cn/topic/9090.html 第三方 https://my.oschina.net/caomenglong/blog/728908

  6. Referenced file contains errors (xml文件第一行小红叉错误)

    转自:http://www.manongjc.com/article/30401.html 在eclipse中开发网页时,经常会遇到写xml文件时第一行无缘无故报错.在最左面的行数上面报出一个小红叉, ...

  7. ceph 接入OpenStack

    创建对应的pool: ceph osd pool create volumes 512 ceph osd pool create images 512 ceph osd pool create vms ...

  8. kubernetes-使用Calico配置NetworkPolicy

    安装网络插件Calico 先下载好yml,因为我的虚拟机地址(192.168.17.180)在192.168.0.0/16网段中 所以要修改 wget https://docs.projectcali ...

  9. svn: local unversioned, incoming file add upon update

    svn 文件冲突: D C 文件名 > local unversioned, incoming file add upon update svn revert 文件名 提示: 已恢复“文件名” ...

  10. linux系统编程综合练习-实现一个小型的shell程序(三)

    上节中已经实现了对普通命令的解析,包括输入重定向,输出重定向,管道,后台作业,这次就来执行已经解析好的命令,对应的函数为:execute_command(),首先对带有管道的命令进行执行: 比如:&q ...