一丶简介

在内核中我们一般会使用各种 HANDLE Object 以及 ID等等.

那么有时候就需要互相转换.这里记录一下.

下面以进程为例进行说明.

1.进程pid 转化为 HANDLE

原理就是 跟ring3一样. 使用打开进程的函数来获取HANDLE

核心原理就是在内核中使用 ZwOpenProcess 传入PID 传出一个HANDLE.

代码如下:

    ULONG pid;

	HANDLE hProcessHandle;

	OBJECT_ATTRIBUTES obj;

	CLIENT_ID clientid;

	//必须初始化

	pid = 2378;

	clientid.UniqueProcess = (HANDLE)pid;

	clientid.UniqueThread = 0;

	InitializeObjectAttributes(&obj, 0, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, 0, 0);

	ZwOpenProcess(&hProcessHandle, PROCESS_ALL_ACCESS, &obj, &clientid);

此时ProcessHandle就是我们所要的Handle

关于文件你就可以使用 ZwOpenFile or ZwCreateFile 注册表类似.

2.Handle --------> 转化为 PID

Handle转化为PID就要使用跟进程相关的特有API.

如进程则使用 ** ZwQueryInformationProcess ** 遍历进程的基础信息即可得到PID

但是注意,此函数在内核中不能直接使用.因为是未公开的函数.所以我们必须进行声明.并且使用 内核API来动态获取此函数的地址才可以

代码如下:

声明与定义:

typedef NTSTATUS(*PfnZwQueryInformationProcess) (

	__in HANDLE ProcessHandle,

	__in PROCESSINFOCLASS ProcessInformationClass,

	__out_bcount(ProcessInformationLength) PVOID ProcessInformation,

	__in ULONG ProcessInformationLength,

	__out_opt PULONG ReturnLength

	);

PfnZwQueryInformationProcess ZwQueryInformationProcess;

核心实现,ProcessHandle就是你所获得的句柄.



PROCESS_BASIC_INFORMATION ProcessBasicInfor;

	//动态获取.

	UNICODE_STRING UtrZwQueryInformationProcessName =

		RTL_CONSTANT_STRING(L"ZwQueryInformationProcess");

	ZwQueryInformationProcess =

		(PfnZwQueryInformationProcess)MmGetSystemRoutineAddress(&UtrZwQueryInformationProcessName);

	//check...

	//核心代码

	/*

	1.利用PID

	*/

	PROCESS_BASIC_INFORMATION ProcessBasicInfor;

	ZwQueryInformationProcess(

		ProcessHndle,

		ProcessBasicInformation,

		(PVOID)&ProcessBasicInfor,

		sizeof(ProcessBasicInfor),

		NULL);

	/*

	ProcessBasicInfor.UniqueProcessId; 则为你所求

	*/

3.Pid ------> Object(EPROCESS)

pid转化为EPROCESS说下原理.

原理就是通过 PsLookUpProcessByProcessId 传入PID.传出EPROCESS.

但是内核中你使用了这个函数. 那么获得的EPROCESS就会引用计数+1根据内核面向对象的设计.你要进行解引用.所以还需要一个API 进行解引用

核心代码如下:

PEPROCESS pEpro;

PsLookUpProcessByProcessId((HANDLE)pid,&pEpro);

ObDereferenceObject(pEpro);

PEpro即为你所求.

4. HANDLE -------------> EPROCESS

这个也是很常用的.在内核编程中.当你获得一个HANDLE 首先就要把其转化为对应的OBJECT对象.

而内核函数也为我们提供了.

如下:

ObReferenceObjectByHandle(ProcessHandle, GENERIC_ALL,*PsProcessType,KernelMode,&pEprocess,NULL);

5.EPROCESS ---------> pid

在EPROCESS中本身就记录着PID. 直接获取PID即可.

EPROCESS.UniqueProcessId;

6.EPROCESS --------->HANDLE

这个倒是没有常用.但是内核也提供了API给我们使用

ObOpenObjectByPoint(Process,attributes,&AccessState,0,*PsProcessType,PreviousMode,&Handle);

内核中PID_HANDLE_OBJECT等互相转换的更多相关文章

  1. Linux 2.6内核中新的锁机制--RCU

    转自:http://www.ibm.com/developerworks/cn/linux/l-rcu/ 一. 引言 众所周知,为了保护共享数据,需要一些同步机制,如自旋锁(spinlock),读写锁 ...

  2. [php-src]窥探Php内核中的变量

    内容均以php-5.6.14为例. 在看各种组合数据类型之前,有必要先熟悉下 Zend/zend_types.h 里面的自定义数据类型. #ifndef ZEND_TYPES_H // 防止多次 in ...

  3. [php-src]理解Php内核中的函数与INI

    内容均以php-5.6.14为例. 一. 函数结构 内核中定义一个php函数使用 PHP_FUNCTION 宏 包装,扩展也不例外,该宏在 ./main/php.h:343 有着一系列类似以 PHP ...

  4. Linux内核中双向链表的经典实现

    概要 前面一章"介绍双向链表并给出了C/C++/Java三种实现",本章继续对双向链表进行探讨,介绍的内容是Linux内核中双向链表的经典实现和用法.其中,也会涉及到Linux内核 ...

  5. linux内核中jiffies的回绕问题【转】

    本文转载自:http://blog.csdn.net/yuanlulu/article/details/6019862 ======================================== ...

  6. Apparmor——Linux内核中的强制访问控制系统

      AppArmor 因为最近在研究OJ(oline judge)后台的安全模块的实现,所以一直在研究Linux下沙箱的东西,同时发现了Apparmor可以提供访问控制. AppArmor(Appli ...

  7. 内核中读取UTC时间

        记录这个知识点的原因是因为项目中需要保存充电日志,因此,趁着这个机会,深入了解一下Linux的时间系统. UTC:(Universal Time Coordinated) 协调世界时的缩写   ...

  8. 转:内核中的内存申请:kmalloc、vmalloc、kzalloc、kcalloc、get_free_pages

    在内核模块中申请分配内存需要使用内核中的专用API:kmalloc.vmalloc.kzalloc.kcalloc.get_free_pages;当然,设备驱动程序也不例外;对于提供了MMU功能的处理 ...

  9. Linux内核中链表实现

    关于双链表实现,一般教科书上定义一个双向链表节点的方法如下: struct list_node{ stuct list_node *pre; stuct list_node *next; ElemTy ...

随机推荐

  1. python 基础(实例1——登陆小游戏)

    一个简单的登陆小游戏,输入用户名和密码,如果和user_passwd.txt中内容匹配,则打印“welcome to login...”,如果三次输入错误则将该用户列入黑名单,无法再用该用户名登陆. ...

  2. jQuery 名称发生冲突怎么办【问题】

    [问题]jQuery 名称发生冲突怎么办? [答案]jQuery 使用 $ 符号作为 jQuery 的简介方式.某些其他 JavaScript 库中的函数(比如 Prototype)同样使用 $ 符号 ...

  3. SAP 2019 TechEd Key Note解读:云时代下SAP从业人员如何做二次开发?

    刚刚过去的在巴塞罗那举行的2019 SAP TechEd,SAP照例向全球广大的SAP生态圈从业者们传达了一些重要的信息,其中一条为:Building Extensions for the Intel ...

  4. Python学习日记(十六) time模块和random模块

    time模块 python表示时间的三种方式:时间戳.元祖(struct_time).格式化时间字符串 三种格式之间的转换: 1.时间戳 就是从1970年1月1日0点0分0秒开始按秒计算的偏移量,时间 ...

  5. Python学习日记(二) list操作

    l = ['a','b','c','d',1,2,[3,'e',4]] 1.list.append() 在list的结尾新增一个新的元素,没有返回值,但会修改原列表 l.append(5) print ...

  6. CPN tools 帮助文档资料和实例

    1.替代变迁 包含有替代变迁的页面叫做父页,当CPN网使用替代变迁的时候,替代变迁所表达的逻辑必须在某一个位置得到实现,实现替代变迁逻辑页面叫做子页或者子网. 将替代变迁相邻的库所叫做槽库所,也即是在 ...

  7. typescript 箭头表达式

    箭头表达式:用来声明匿名函数,消除传统匿名函数的this指针问题 1.无参 var sum = () => {} 2.一个参数 var sum = arg2 => {} 3.多个参数 va ...

  8. python安装脚本

    [root@dn3 hadoop]# cat install.py #!/usr/bin/python #coding=utf- import os import sys : pass else: p ...

  9. DOCclever--自动化接口测试用例

    1.登录---UI模式 2.登录--代码模式

  10. to_excel

    Signature: df.to_excel( ['excel_writer', "sheet_name='Sheet1'", "na_rep=''", 'fl ...