Windows内核下PID、Handle和EPROCESS之间相互转换的方法

最新推荐文章于 2024-03-10 09:21:46 发布

心灵深处的闪耀光芒

最新推荐文章于 2024-03-10 09:21:46 发布

阅读量325

点赞数

CC 4.0 BY-SA版权

文章标签： windows 编程

本文链接：https://blog.youkuaiyun.com/ByteEchoX/article/details/133051316

编程专栏收录该内容

445 篇文章 ¥29.90 ¥99.00

订阅专栏

本文介绍了在Windows内核编程中如何进行PID、Handle和EPROCESS结构之间的相互转换，包括从PID获取EPROCESS、从句柄获取EPROCESS以及从EPROCESS获取PID的方法，并提供了相应的源代码示例。

在Windows内核编程中，我们经常需要在进程和句柄之间进行转换，以及获取与进程相关联的EPROCESS结构。这些转换是使用内核模式编程技术实现的。在本文中，我将介绍如何在Windows内核中进行PID、Handle和EPROCESS之间的相互转换，并提供相应的源代码示例。

从PID获取EPROCESS结构

在Windows内核编程中，EPROCESS结构代表了一个进程的内部表示。要从PID获取与之关联的EPROCESS结构，我们可以使用PsLookupProcessByProcessId函数。下面是一个示例代码：

NTSTATUS GetEprocessFromPid(HANDLE pid, PEPROCESS* eprocess)
{
   
   
    NTSTATUS status;
    HANDLE processHandle;

    status

了解本专栏

订阅专栏解锁全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

心灵深处的闪耀光芒

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

订阅专栏

25、利用Rust实现Windows内核驱动漏洞利用与权限提升

zz67890的博客

08-16

本文详细介绍了如何利用Rust语言实现对存在漏洞的Windows内核驱动进行攻击，通过分析IOCTL代码、动态调试、实现任意内存读写，最终完成权限提升至SYSTEM级别的完整过程。内容涵盖静态分析、漏洞利用原语的构建、内核基地址获取、令牌窃取等关键技术点，适用于安全研究人员和内核开发人员学习与参考。

Windows内核下pid,handle,eprocess之间相互转换的方法

Think88666的博客

08-25

635

Windows内核下pid,handle,eprocess之间相互转换的方法

参与评论您还未登录，请先登录后发表或查看评论

win32内核程序中进程的pid,handle,eprocess之间相互转换的方法

dog0230的博客

01-22

193

在win32内核程序开发中，我们常常需要取得某进程的pid或句柄，或者需要检索进程的eprocess结构，很多API函数需要的参数也不同，所以掌握pid<->handle<->eprocess相互转换的方法会大大提高我们的开发效率。以下就是我自己在实际开发中总结出来的转换方法，在此记录下来，以供需要的朋友参考。 1、pid->handle ...

驱动开发：内核操作进线程与模块

优快云

10-21

6856

进程就是活动起来的程序，每一个进程在内核里，都有一个名为EPROCESS的结构记录它的详细信息，其中就包括进程名，PID，PPID，进程路径等，通常在应用层枚举进程只列出所有进程的编号即可，不过在内核层需要把它的 EPROCESS 地址给列举出来。

PID,EPROCESS,HANDLE转换【转】

weixin_30571465的博客

03-26

232

1. 通过 pid 获取目标进程的 EPROCESS (PsLookupProcessByProcessId)。如果当前进程不是目标进程，那么我们切换当前进程，方法当然是通过 KeAttachProcess 或者 KeStackAttachProcess 啦。接下来我们就可以从 _PEB结构中随心所欲的获取目标路径，命令行，啥滴东西了。最后别忘了 Detach(如果你没有 Attach 那么这一...

驱动隐藏进程（eprocess断链）

qq_43147121的博客

10-01

1557

具体的原理就不详细描述了，这种办法是最为基础的隐藏手段而且网上有很多文章，只不过我看了一些大部分都只是直接在driverEntry中写死的那种，所以我简单写了个三环0环交互的驱动代码供大家参考。进程在内核中存在一个双向链表将所有的活动进程串联起来，今天写的就是将我们的目标进程从这个链表中移除以达到隐藏进程的目的。

[Windows驱动开发] 进程的pid - handle - eprocess之间相互转换的方法

墨鱼菜鸡

08-05

363

在内核程序开发中，我们常常需要取得某进程的pid或句柄，或者需要检索进程的eprocess结构，很多API函数需要的参数也不同，所以掌握pid<->handle<->eprocess相互转换的方法会大大提高我们的开发效率。以下就是我自己在实际开发中总结出来的转换方法，在此记录下来，以供需要的朋友参考。 1、pid->han...

eprocess.zip_EPROCESS_eprocess结构体

09-24

获取EPROCESS结构体的方法通常涉及内核模式调试，这需要对Windows内核有深入的理解。例如，可以使用WinDbg的命令`!process`或者`kdexts`扩展来显示进程信息。在用户模式下，一般不能直接访问EPROCESS，因为这是内核...

PID的含义及查看方法（macOS系统和Windows系统）

2301_76297780的博客

03-10

6028

介绍PID进程标识符的含义及查看方法（macOS系统和Windows系统）

windows内核- 内核中进程与句柄互转（六）

rosykee的专栏

12-10

739

ObReferenceObjectByHandle函数接受一个句柄和一个对象类型作为参数，并返回对该对象的引用。在内核开发中，经常需要进行进程和句柄之间的互相转换。进程通常由一个唯一的进程标识符（PID）来标识，而句柄是指对内核对象的引用。通过 GetProcessId（HANDLE）返回句柄对应的进程PID。例程接受进程的进程 ID，并返回指向进程的 EPROCESS 结构的引用指针。函数接受一个EProcess结构作为参数，并返回该进程的PID。结构表示一个进程，而HANDLE是一个句柄。

句柄（handle）和文件标识符（PID）

qq_45444695的博客

11-12

1713

今天有朋友问到，什么是句柄，什么是handle，什么是进程标识符，什么又是PID？其实句柄就是handle，而进程标识符就是PID，那么句柄和标识符又分别是什么？他们之间又有何联系？句柄的声明 typedef void *HANDLE 它句柄的本质就是一个指针，但是它的作用又不同于指针，它又不是真正意义上的指针，或者说说句柄是一个受限的指针。给你一个指针，你可以拿这个指针做几乎任何事情，给你一个句柄，你只能干一些Windows允许你干的事情。我们知道Windows是一个以虚拟内存为基础的操作系统。

内核程序中进程的pid,handle,eprocess之间相互转换的方法

whatday的专栏

09-10

5890

在win32内核程序开发中，我们常常需要取得某进程的pid或句柄，或者需要检索进程的eprocess结构，很多API函数需要的参数也不同，所以掌握pidhandleeprocess相互转换的方法会大大提高我们的开发效率。以下就是我自己在实际开发中总结出来的转换方法，在此记录下来，以供需要的朋友参考。 1、pid->handle OBJECT_ATTRIBUTES Objec

[转] win32内核程序中进程的pid,handle,eprocess之间相互转换的方法

weixin_34290000的博客

05-10

185

很有用，收下以后方便查询。原贴地址：http://bbs.pediy.com/showthread.php?t=119193 在win32内核程序开发中，我们常常需要取得某进程的pid或句柄，或者需要检索进程的eprocess结构，很多API函数需要的参数也不同，所以掌握pid<->handle<->eprocess相互转换的方法会大大提高我们的开发效率。以下就...

驱动下通过进程PID获得进程名（动态获取ImageFileName在EPROCESS结构体中的相对偏移）...

weixin_30828379的博客

01-31

988

思路　　进程EPROCESS结构体中含有进程名ImageFileName（需求处ImageFileName在EPROCESS结构体中的相对偏移）——》获得进程EPROCESS——》通过进程句柄获得EPROCESS——》通过进程PID打开进程获得进程句柄计算ImageFileName在EPROCESS结构体中的相对偏移　　　　方法一来个判断操作系统,再利用windbg调试得到相...

PID & PEPROCESS & HANDLE 相互间转换

anjiao_1989的专栏

04-04

1396

PID & PEPROCESS & HANDLE 相互间转换 from \ to PID PEPROCESS HANDLE PID PsLookupProcessByProcessId PEPROCESS PsGetProcessId ObOpenObjectByPointer HANDLE ObReferenceObjectByHandle ...

Qt在windows下杀死进程：QProcess和系统API两种方式

最新发布

07-28

### 3.1 PEProcess 与 EProcess 的定义与关系在 Windows 内核开发中，`EPROCESS` 和 `PEPROCESS` 是两个密切相关但用途不同的类型。`EPROCESS` 是一个结构体，表示进程的内核对象，包含有关进程的详细信息，如进程标识符、地址空间、安全上下文等[^3]。该结构体在内核模式下用于管理进程的生命周期和资源分配。 `PEPROCESS` 是指向 `EPROCESS` 结构的指针类型。在 Windows 内核编程中，通常使用 `PEPROCESS` 来操作进程对象，例如获取进程 PID、访问进程的地址空间或执行进程相关的系统调用[^2]。从本质上讲，`PEPROCESS` 是对 `EPROCESS` 的封装，用于在函数参数和返回值中传递进程对象的引用。 --- ### 3.2 内核函数中的使用差异在实际的内核函数调用中，`EPROCESS` 和 `PEPROCESS` 的使用场景有所不同。例如，`PsGetProcessId()` 函数接受一个 `PEPROCESS` 类型的参数，并返回对应的进程标识符（PID）[^2]。该函数用于从进程对象中提取 PID，常用于进程监控和调试场景。 ```c HANDLE PsGetProcessId(PEPROCESS Process); ``` 与此相对，`PsLookupProcessByProcessId()` 函数接受一个 PID，并返回一个指向 `EPROCESS` 结构的指针[^4]。该函数用于通过进程 ID 查找对应的进程对象，是进程信息获取和操作的基础。 ```c NTSTATUS PsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS *Process); ``` 上述两个函数展示了 `EPROCESS` 和 `PEPROCESS` 在进程信息获取中的不同用途：`EPROCESS` 用于存储进程的详细信息，而 `PEPROCESS` 用于在函数调用中传递进程对象的引用。 --- ### 3.3 内核结构访问与偏移计算在某些内核开发场景中，需要直接访问 `EPROCESS` 结构的内部字段。例如，通过 `EPROCESS` 获取父进程的 PID，可以通过访问 `InheritedFromUniqueProcessId` 字段来实现。该字段的偏移量可以通过 `FIELD_OFFSET` 宏计算，并通过指针解引用获取对应的值[^3]。 ```c HANDLE ParentPid = *(HANDLE*)((PUCHAR)Process + FIELD_OFFSET(EPROCESS, InheritedFromUniqueProcessId)); ``` 该操作依赖于对 `EPROCESS` 结构的直接访问，通常用于进程关系分析或安全审计。由于 `EPROCESS` 结构的具体布局在不同 Windows 版本中可能发生变化，因此此类访问方式具有一定的版本依赖性。 --- ### 3.4 进程路径与 PEB 的获取在 Windows 内核中，除了 `EPROCESS` 和 `PEPROCESS` 外，`PEB`（Process Environment Block）也是进程管理的重要结构。`PEB` 包含了进程的用户模式信息，如进程参数、环境变量和模块列表。通过 `EPROCESS` 可以获取 `PEB` 指针，从而访问进程的命令行参数和映像路径。 ```c PPEB curPeb = PsGetProcessPeb(curproc); ``` 该函数 `PsGetProcessPeb()` 返回当前进程的 `PEB` 指针，可用于进一步获取进程的用户模式信息。例如，`PEB` 中的 `ProcessParameters` 字段包含 `ImagePathName`，可用于获取进程的可执行文件路径[^5]。 --- ###