EPROCESS 结构体属性介绍

最新推荐文章于 2025-07-14 17:09:11 发布
原创 最新推荐文章于 2025-07-14 17:09:11 发布 · 2.3k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了Windows操作系统中的核心进程数据结构EPROCESS,详细介绍了其包含的属性,如进程ID、令牌、虚拟地址空间、句柄表等,帮助读者理解进程管理的底层机制。 
typedef struct _EPROCESS {
   
   
    // KPROCESS 和 EPROCESS 地址相同
    KPROCESS Pcb;

    //
    // Lock used to protect:
    // The list of threads in the process.
    // Process token.
    // Win32 process field.
    // Process and thread affinity setting.
    //

    // 推锁对象,用于保护 EPROCESS 的数据成员
    EX_PUSH_LOCK ProcessLock;

    // 进程的创建和退出时间
    LARGE_INTEGER CreateTime;
    LARGE_INTEGER ExitTime;

    //
    // Structure to allow lock free cross process access to the process
    // handle table, process section and address space. Acquire rundown
    // protection with this if you do cross process handle table, process
    // section or address space references.
    //

    // 进程的停止保护锁,进程销毁时,要等到所有其他进程和线程已经释放此锁,才能继续进行
    EX_RUNDOWN_REF RundownProtect;

    // 进程唯一编号,进程创建时指定
    HANDLE UniqueProcessId;

    //
    // Global list of all processes in the system. Processes are removed
    // from this list in the object deletion routine.  References to
    // processes in this list must be done with ObReferenceObjectSafe
    // because of this.
    //

    // 所有进程都挂入了全局链表 PsActiveProcessHead 中,ActiveProcessLinks 就是
    // 当前进程的挂入点。可通过此成员遍历所有进程。
    LIST_ENTRY ActiveProcessLinks;

    //
    // Quota Fields.
    //

    // 下面两个数组的长度均为3,分别对应非换页内存池,换页内存池和交换文件中的内存使用情况。
    // 这两个数组是在 PspChargeQuota 函数内计算的。
    
    // 进程内存使用量
    SIZE_T QuotaUsage[PsQuotaTypes];
    
    // 进程内存使用量峰值
    SIZE_T QuotaPeak[PsQuotaTypes];
    
    // 进程的虚拟内存已提交的页面数量
    SIZE_T CommitCharge;

    //
    // VmCounters.
    //

    // 进程虚拟内存大小峰值
    SIZE_T PeakVirtualSize;
    
    // 进程虚拟内存大小
    SIZE_T VirtualSize;

    // 当进程加入到一个系统会话中时,通过 SessionProcessLinks 挂入该会话的进程链表中
    LIST_ENTRY SessionProcessLinks;

    
    // 当进程中的线程发生用户模式异常时,内核的异常处理例程在异常处理过程中,将向该进程的异常
    // 端口或调试端口发送消息,从而使这些端口的接收方(调试器或windows子系统)能够处理该异常。
    // 5.2.7节将介绍异常分发过程。
    
    // 调试端口
    PVOID DebugPort;
    
    // 异常端口
    PVOID ExceptionPort;
    
    // 句柄表,存储了所有被该进程打开的内核对象的句柄
    PHANDLE_TABLE ObjectTable;

    //
    // Security.
    //

    // 指向该进程的访问令牌,用于该进程的安全访问检查
    EX_FAST_REF Token;

    // 工作集页面
    PFN_NUMBER WorkingSetPage;
    
    // 守护互斥体锁(guarded mutex),用于保护对地址空间的操作。
    // 当内核代码需要对虚拟地址空间进行操作时,必须在 AddressCreationLock 上执行锁操作,
    // 完成以后再解锁。LOCK_ADDRESS_SPACE 和 UNLOCK_ADDRESS_SPACE 宏用于简化代码。
    KGUARDED_MUTEX AddressCreationLock;
    
    // 自旋锁对象,用于保护进程的超空间
    KSPIN_LOCK HyperSpaceLock;

    // 指向正在复制地址空间的那个线程,仅当在地址空间复制的过程中,此值才有值,其他情况为 NULL
    // 详见 MiCloneProcessAddressSpace 函数
    struct _ETHREAD *ForkInProgress;
    
    
    ULONG_PTR HardwareTrigger;

    // 指向进程的物理VAD树根,并不总是存在,只有确实需要映射物理内存时才会被创建。
    PMM_AVL_TABLE PhysicalVadRoot;
    
    // 指向一个平衡树的根,当进程地址空间复制时创建此树,创建后直到进程退出时才销毁
    PVOID CloneRoot;
    
    // 私有页面数量
    PFN_NUMBER NumberOfPrivatePages
最低0.47元/天 解锁文章
hambaga
关注
34进程与线程之进程结构体
qq_18059143的博客
11-29 769
前言:操作系统创造进程和线程,实质就是构建一个结构体。 一、进程结构体EPROCESS 使用命令查看:dt _EPROCESS PEB也是描述进程的一个结构体,但是是提供给3环使用的,而不是0环。每个windows进程在0环都有一个对应的结构体EPROCESS 这个结构体包含了进程所有重要的信息。 成员之KPROCESS +...
EPROCESS/KPROCESS/ETHREAD/KTHREAD)进程与线程内核层中的结构
weixin_45678798的博客
07-27 2039
现代操作系统通过中央处理器进行任务执行的操作,通过把时间细分,在适当的时间粒度上轮流执行任务,每个任务都有机会进行执行。通过这种方式用户会认为系统的任务是在同时进行的,这种并行方式被称为伪并行,当然如果存在多个处理器,也可变成真并行。...........................
执行体进程--EPROCESS
BpLife
12-08 1478
执行体层位于内核层之上,它侧重于提供各种管理策略,同时为上层应用层程序提供基本的功能接口。 // Process structure. // // If you remove a field from this structure, please also // remove the reference to it from within the kernel debugger // (nt\p
EPROCESS 结构
热门推荐
swanabin的专栏
07-05 1万+
每个进程都有一个 EPROCESS 结构,里面保存着进程的各种信息,和相关结构的指针。EPROCESS 结构位于系统地址空间,所以访问这个结构需要有ring0的权限。使用 Win2k DDK 的 KD (内核调试器)我们可以得到 EPROCESS 结构的定义。注意下面的是 Win2k Build 2195 下的 EPROCESS 结构定义。 kd> !strct eprocess !s
进程结构体EPROCESS
maomao171314的专栏
02-01 2966
1、进程结构体EPROCESS 每个windows进程在0环都有一个对应的结构体EPROCESS 这个结构体包含了进程所有重要的信息。 kd> dt _EPROCESS +0x000 Pcb : _KPROCESS +0x078 ProcessLock : _EX_PUSH_LOCK +0x080 CreateTime : _LARGE_INTEGER +0x088 ExitTime : _LARG...
进程结构体
qq_18811919的博客
03-17 5368
进程结构体EPROCESS 每个windows进程在0环都有对应的结构体:EPROCESS这个结构体包含了进程所有重要的信息。 使用windbg查看:dt _EPROCESS EPROCESS与PEB是有区别的:EPROCESS在0环PEB在3环。 EPROCESS结构体属性(KPROCESS) +0x0 Pcb 是一个KPROCESS结构体 Windbg查看KPROCESS:dt _KPROCESS KPROCESS第一个属性: +0x0 Header DISPATCHER_HEARDER 只要是该DI
eprocess.zip_EPROCESS_eprocess结构体
09-24
在Windows操作系统中,EPROCESS结构体是内核级的数据结构,它代表了系统中的一个进程。这个结构体包含了关于进程的各种信息,如进程ID、内存分配、权限、句柄表等。当我们谈论“wrk中当前进程的EPROCESS结构体”时,...
获取EPROCESS.pdf
11-16
其中,ProcessId 字段指定进程标识符,ObjectTypeNumber 字段指定打开的对象的类型,Flags 字段指定句柄属性标志,Handle 字段指定句柄数值,Object 字段指定句柄对应的EPROCESS结构体的地址,GrantedAccess 字段...
软件调试笔记9 - Windows概要:进程结构:EPROCESS
imJaron的博客
11-23 800
下面,通过记事本程序来详细查看进程的每一项内容。 首先打开WINDBG并进入本地内核调试,然后打开记事本程序。用命令!process 0 0列出所有进程。 第一个参数0表示所有进程,第二个0表示基本的进程属性。 找到notepad.exe程序的内容。 EPROCESS结构: Process后面的地址指向的就是EPROCESS结构,很多时候WINDOW
_EPROCESS数据结构
windowzhong的专栏
06-11 550
0:000> dt _EPROCESS   +0x000 Pcb              : _KPROCESS   +0x06c ProcessLock      : _EX_PUSH_LOCK   +0x070 CreateTime       : _LARGE_INTEGER   +0x078 ExitTime         : _LARGE_INTEGER   +0x080 Rundo
eprocess
03-13
eprocess
01 EPROCESS、ETHREAD、KPCR结构
qq_50242229的博客
05-08 650
每个windows进程在0环都有一个对应的结构体EPROCESS,这个结构体包含了进程所有重要的信息。
EPROCESS 进程/线程优先级 句柄表 GDT LDT 页表 《寒江独钓》内核学习笔记(2)
weixin_34323858的博客
12-02 851
在学习笔记(1)中,我们学习了IRP的数据结构的相关知识,接下来我们继续来学习内核中很重要的另一批数据结构: EPROCESS/KPROCESS/PEB。把它们放到一起是因为这三个数据结构及其外延和windows中进程的表示关系密切,我们在做进程隐藏和进程枚举的时候一定会涉及到这3类数据结构,所以这里有必要及时做一下总结,做个学习笔记,理清思路。   1. 相关阅读材料 《windows 内...
各系统 EPROCESS 结构
trents的专栏
02-18 4921
2000操作系统 nt!_EPROCESS    +0x000 Pcb              : _KPROCESS    +0x06c ExitStatus       : 259    +0x070 LockEvent        : _KEVENT    +0x080 LockCount        : 1    +0x088 CreateTime       : _LA
_EPROCESS结构简单了解!
创造神话,实现梦想!
08-13 9937
lkd> dt _EPROCESS nt!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime
windows内核研究(进程与线程-进程结构体EPROCESS
weixin_43754657的博客
07-14 460
摘要: EPROCESS是Windows内核中表示进程的核心数据结构,位于内核层(0环)。该结构体包含进程的关键信息,如进程ID(UniqueProcessId)、进程环境块指针(Peb)、句柄表(ObjectTable)、创建时间(CreateTime)以及内存管理相关数据(虚拟内存统计、物理页信息等)。EPROCESS还通过ActiveProcessLinks链接所有活动进程,并包含调试相关字段(DebugPort、ExceptionPortData)。结构体中KPROCESS子结构(Pcb)保存进程调
EPROCESS ;ethread WINDOWS 7结构
~~~jesse的专栏
04-29 3785
<br />7600.16695<br />eprocess<br /><br />lkd> dt _eprocess<br />nt!_EPROCESS<br />   +0x000 Pcb              : _KPROCESS<br />   +0x098 ProcessLock      : _EX_PUSH_LOCK<br />   +0x0a0 CreateTime       : _LARGE_INTEGER<br />   +0x0a8 ExitTime         : _LA
结构体
许小奕的IT技术博客
03-27 361
1,结构体的定义:在实际问题中,一组数据往往具有不同的数据类型。例如,在学生登记表中,姓名应为字符型;学号可为整形或字符型;年龄应为整形;性别应为字符型;成绩可为整形或实型。显然不能用一个数组来存放这一组数据。因为数组中各元素的类型和长度都必须一致,以便于编译系统处理。为了解决这个问题,C语言中给出了另一种构造数据类型——“结构”或叫“结构体”。它相当于其它高级语言中的记录。“结构是一种构造类型,...
MDL结构体
最新发布
10-06
MDL(Memory Descriptor List)即内存描述符列表,是由内存管理器定义的一个不透明结构体,使用物理页帧号数组来描述支持虚拟内存的页。它通过一系列物理页面描述在虚拟缓冲中的页面,使用一个PFN_NUMBER队列描述与缓冲区相关的页面,该队列的内存位置紧跟着MDL头结构之后。以下是Win10下`_MDL`结构体的定义: ```c //Win10下的定义 //0x1c bytes (sizeof) struct _MDL { struct _MDL* Next; //0x0 MDL队列中的下一个成员 SHORT Size; //0x4 整个MDL列表的长度,包括MDL结构体和物理页帧号所占的内存,物理页帧号起始地址紧跟在结构体后 SHORT MdlFlags; //0x6 标志,设置一些内存属性 struct _EPROCESS* Process; //0x8 缓冲区所属进程 VOID* MappedSystemVa; //0xc 映射之后的系统空间虚拟地址 VOID* StartVa; //0x10 缓冲区所在第一个页面的虚拟地址 ULONG ByteCount; //0x14 字节数,虚拟地址的大小 ULONG ByteOffset; //0x18 StartVa + ByteOffset缓冲区开始的地址 }; ``` 各成员的含义如下: - `Next`:用于挂入到一个队列中,如插入到驱动程序的IRP的MDL队列中,可将多个MDL连接成一个链表[^1][^2][^4]。 - `Size`:指定这个MDL所占的空间大小,等于MDL结构体的大小加上`sizeof(PFN_NUMBER)`乘以映射需要的页面数。该值减去`sizeof(MDL)`,等于存放物理页面编号区域的大小。例如,若该MDL需要三个物理页面来映射虚拟地址空间,则`Size - sizeof(MDL) == 4 * 3 == 12` [^1][^3]。 - `MdlFlags`:指明MDL的映射方式,用于设置一些内存属性 [^1][^2]。 - `Process`:指明此MDL属于哪个进程 [^1][^2]。 - `MappedSystemVa`:所描述的内存如果有映射到系统空间并锁定,那么这个成员指定了MDL在系统空间内的地址 [^1]。 - `StartVa`:所描述的内存映射后的虚拟地址的开始页面地址,这个地址总是页面对齐的地址 [^1]。 - `ByteCount`:此MDL所描述的内存块的字节数 [^1][^2]。 - `ByteOffset`:MDL映射的虚拟地址的首地址在`StartVa`页面中的偏移值 [^1][^2]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值