EPROCESS 结构体属性介绍

最新推荐文章于 2023-05-08 09:53:07 发布
最新推荐文章于 2023-05-08 09:53:07 发布
阅读量2.2k 收藏 7
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Kwansy/article/details/110672988
版权
本文深入探讨了Windows操作系统中的核心进程数据结构EPROCESS,详细介绍了其包含的属性,如进程ID、令牌、虚拟地址空间、句柄表等,帮助读者理解进程管理的底层机制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

typedef struct _EPROCESS {
   
    // KPROCESS 和 EPROCESS 地址相同
    KPROCESS Pcb;

    //
    // Lock used to protect:
    // The list of threads in the process.
    // Process token.
    // Win32 process field.
    // Process and thread affinity setting.
    //

    // 推锁对象,用于保护 EPROCESS 的数据成员
    EX_PUSH_LOCK ProcessLock;

    // 进程的创建和退出时间
    LARGE_INTEGER CreateTime;
    LARGE_INTEGER ExitTime;

    //
    // Structure to allow lock free cross process access to the process
    // handle table, process section and address space. Acquire rundown
    // protection with this if you do cross process handle table, process
    // section or address space references.
    //

    // 进程的停止保护锁,进程销毁时,要等到所有其他进程和线程已经释放此锁,才能继续进行
    EX_RUNDOWN_REF RundownProtect;

    // 进程唯一编号,进程创建时指定
    HANDLE UniqueProcessId;

    //
    // Global list of all processes in the system. Processes are removed
    // from this list in the object deletion routine.  References to
    // processes in this list must be done with ObReferenceObjectSafe
    // because of this.
    //

    // 所有进程都挂入了全局链表 PsActiveProcessHead 中,ActiveProcessLinks 就是
    // 当前进程的挂入点。可通过此成员遍历所有进程。
    LIST_ENTRY ActiveProcessLinks;

    //
    // Quota Fields.
    //

    // 下面两个数组的长度均为3,分别对应非换页内存池,换页内存池和交换文件中的内存使用情况。
    // 这两个数组是在 PspChargeQuota 函数内计算的。
    
    // 进程内存使用量
    SIZE_T QuotaUsage[PsQuotaTypes];
    
    // 进程内存使用量峰值
    SIZE_T QuotaPeak[PsQuotaTypes];
    
    // 进程的虚拟内存已提交的页面数量
    SIZE_T CommitCharge;

    //
    // VmCounters.
    //

    // 进程虚拟内存大小峰值
    SIZE_T PeakVirtualSize;
    
    // 进程虚拟内存大小
    SIZE_T VirtualSize;

    // 当进程加入到一个系统会话中时,通过 SessionProcessLinks 挂入该会话的进程链表中
    LIST_ENTRY SessionProcessLinks;

    
    // 当进程中的线程发生用户模式异常时,内核的异常处理例程在异常处理过程中,将向该进程的异常
    // 端口或调试端口发送消息,从而使这些端口的接收方(调试器或windows子系统)能够处理该异常。
    // 5.2.7节将介绍异常分发过程。
    
    // 调试端口
    PVOID DebugPort;
    
    // 异常端口
    PVOID ExceptionPort;
    
    // 句柄表,存储了所有被该进程打开的内核对象的句柄
    PHANDLE_TABLE ObjectTable;

    //
    // Security.
    //

    // 指向该进程的访问令牌,用于该进程的安全访问检查
    EX_FAST_REF Token;

    // 工作集页面
    PFN_NUMBER WorkingSetPage;
    
    // 守护互斥体锁(guarded mutex),用于保护对地址空间的操作。
    // 当内核代码需要对虚拟地址空间进行操作时,必须在 AddressCreationLock 上执行锁操作,
    // 完成以后再解锁。LOCK_ADDRESS_SPACE 和 UNLOCK_ADDRESS_SPACE 宏用于简化代码。
    KGUARDED_MUTEX AddressCreationLock;
    
    // 自旋锁对象,用于保护进程的超空间
    KSPIN_LOCK HyperSpaceLock;

    // 指向正在复制地址空间的那个线程,仅当在地址空间复制的过程中,此值才有值,其他情况为 NULL
    // 详见 MiCloneProcessAddressSpace 函数
    struct _ETHREAD *ForkInProgress;
    
    
    ULONG_PTR HardwareTrigger;

    // 指向进程的物理VAD树根,并不总是存在,只有确实需要映射物理内存时才会被创建。
    PMM_AVL_TABLE PhysicalVadRoot;
    
    // 指向一个平衡树的根,当进程地址空间复制时创建此树,创建后直到进程退出时才销毁
    PVOID CloneRoot;
    
    // 私有页面数量
最低0.47元/天 解锁文章
hambaga
关注
执行体进程--EPROCESS
BpLife
12-08 1425
执行体层位于内核层之上,它侧重于提供各种管理策略,同时为上层应用层程序提供基本的功能接口。 // Process structure. // // If you remove a field from this structure, please also // remove the reference to it from within the kernel debugger // (nt\p
KTHREAD 结构体属性介绍
hambaga的博客
03-10 1969
typedef struct _KTHREAD { // // The dispatcher header and mutant listhead are fairly infrequently // referenced. // DISPATCHER_HEADER Header; // KTHREAD 是可等待对象,线程结束时有信号 // 此链表存储了属于该线程的所有 mutant(对应3环的 mutex) // 一旦该线程获得了 mu
EPROCESS 结构
热门推荐
swanabin的专栏
07-05 1万+
每个进程都有一个 EPROCESS 结构,里面保存着进程的各种信息,和相关结构的指针。EPROCESS 结构位于系统地址空间,所以访问这个结构需要有ring0的权限。使用 Win2k DDK 的 KD (内核调试器)我们可以得到 EPROCESS 结构的定义。注意下面的是 Win2k Build 2195 下的 EPROCESS 结构定义。 kd> !strct eprocess !s
进程结构体EPROCESS
maomao171314的专栏
02-01 2609
1、进程结构体EPROCESS 每个windows进程在0环都有一个对应的结构体EPROCESS 这个结构体包含了进程所有重要的信息。 kd> dt _EPROCESS +0x000 Pcb : _KPROCESS +0x078 ProcessLock : _EX_PUSH_LOCK +0x080 CreateTime : _LARGE_INTEGER +0x088 ExitTime : _LARG...
进程结构体
qq_18811919的博客
03-17 5160
进程结构体EPROCESS 每个windows进程在0环都有对应的结构体:EPROCESS这个结构体包含了进程所有重要的信息。 使用windbg查看:dt _EPROCESS EPROCESS与PEB是有区别的:EPROCESS在0环PEB在3环。 EPROCESS结构体属性(KPROCESS) +0x0 Pcb 是一个KPROCESS结构体 Windbg查看KPROCESS:dt _KPROCESS KPROCESS第一个属性: +0x0 Header DISPATCHER_HEARDER 只要是该DI
_EPROCESS数据结构
windowzhong的专栏
06-11 518
0:000> dt _EPROCESS   +0x000 Pcb              : _KPROCESS   +0x06c ProcessLock      : _EX_PUSH_LOCK   +0x070 CreateTime       : _LARGE_INTEGER   +0x078 ExitTime         : _LARGE_INTEGER   +0x080 Rundo
eprocess.zip_EPROCESS_eprocess结构体
09-24
在Windows操作系统中,EPROCESS结构体是内核级的数据结构,它代表了系统中的一个进程。这个结构体包含了关于进程的各种信息,如进程ID、内存分配、权限、句柄表等。当我们谈论“wrk中当前进程的EPROCESS结构体”时,...
34进程与线程之进程结构体
qq_18059143的博客
11-29 721
前言:操作系统创造进程和线程,实质就是构建一个结构体。 一、进程结构体EPROCESS 使用命令查看:dt _EPROCESS PEB也是描述进程的一个结构体,但是是提供给3环使用的,而不是0环。每个windows进程在0环都有一个对应的结构体EPROCESS 这个结构体包含了进程所有重要的信息。 成员之KPROCESS +...
获取EPROCESS.pdf
11-16
其中,ProcessId 字段指定进程标识符,ObjectTypeNumber 字段指定打开的对象的类型,Flags 字段指定句柄属性标志,Handle 字段指定句柄数值,Object 字段指定句柄对应的EPROCESS结构体的地址,GrantedAccess 字段...
EPROCESS 进程/线程优先级 句柄表 GDT LDT 页表 《寒江独钓》内核学习笔记(2)
weixin_34323858的博客
12-02 800
在学习笔记(1)中,我们学习了IRP的数据结构的相关知识,接下来我们继续来学习内核中很重要的另一批数据结构: EPROCESS/KPROCESS/PEB。把它们放到一起是因为这三个数据结构及其外延和windows中进程的表示关系密切,我们在做进程隐藏和进程枚举的时候一定会涉及到这3类数据结构,所以这里有必要及时做一下总结,做个学习笔记,理清思路。   1. 相关阅读材料 《windows 内...
eprocess
03-13
eprocess
各系统 EPROCESS 结构
trents的专栏
02-18 4849
2000操作系统 nt!_EPROCESS    +0x000 Pcb              : _KPROCESS    +0x06c ExitStatus       : 259    +0x070 LockEvent        : _KEVENT    +0x080 LockCount        : 1    +0x088 CreateTime       : _LA
_EPROCESS结构简单了解!
创造神话,实现梦想!
08-13 9830
lkd> dt _EPROCESS nt!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime
01 EPROCESS、ETHREAD、KPCR结构
qq_50242229的博客
05-08 503
每个windows进程在0环都有一个对应的结构体EPROCESS,这个结构体包含了进程所有重要的信息。
EPROCESS ;ethread WINDOWS 7结构
~~~jesse的专栏
04-29 3729
<br />7600.16695<br />eprocess<br /><br />lkd> dt _eprocess<br />nt!_EPROCESS<br />   +0x000 Pcb              : _KPROCESS<br />   +0x098 ProcessLock      : _EX_PUSH_LOCK<br />   +0x0a0 CreateTime       : _LARGE_INTEGER<br />   +0x0a8 ExitTime         : _LA
结构体
许小奕的IT技术博客
03-27 332
1,结构体的定义:在实际问题中,一组数据往往具有不同的数据类型。例如,在学生登记表中,姓名应为字符型;学号可为整形或字符型;年龄应为整形;性别应为字符型;成绩可为整形或实型。显然不能用一个数组来存放这一组数据。因为数组中各元素的类型和长度都必须一致,以便于编译系统处理。为了解决这个问题,C语言中给出了另一种构造数据类型——“结构”或叫“结构体”。它相当于其它高级语言中的记录。“结构是一种构造类型,...
EPROCESS/KPROCESS/ETHREAD/KTHREAD)进程与线程内核层中的结构
weixin_45678798的博客
07-27 1837
现代操作系统通过中央处理器进行任务执行的操作,通过把时间细分,在适当的时间粒度上轮流执行任务,每个任务都有机会进行执行。通过这种方式用户会认为系统的任务是在同时进行的,这种并行方式被称为伪并行,当然如果存在多个处理器,也可变成真并行。...........................
怎么通过eprocess遍历3环的模块信息
最新发布
03-30
### 使用 EPROCESS 遍历用户态(3环)模块信息的实现方法 在 Windows 内核编程中,`EPROCESS` 是描述操作系统中进程的核心数据结构之一。通过 `EPROCESS` 可以访问许多与进程相关的属性和资源,其中包括用户态模块的信息。 #### 获取 PEB 和 LDR 数据结构 要遍历用户态模块信息,通常需要从 `EPROCESS` 中提取出 `PEB`(Process Environment Block)。`PEB` 包含了关于进程环境的重要信息,其中有一个字段指向 `_LDR_DATA_TABLE_ENTRY` 列表,该列表记录了加载到进程中的所有模块及其基地址等信息[^1]。 以下是具体步骤: 1. **获取目标进程的 EPROCESS** - 如果是当前进程,则可以直接调用 `PsGetCurrentProcess()` 来获得其对应的 `EPROCESS` 指针。 - 对于其他进程,可以通过 `PsLookupProcessByProcessId()` 或者 `ObReferenceObjectByHandle()` 获得目标进程的 `EPROCESS` 指针[^3]。 2. **定位 PEB 地址** - 在 `EPROCESS` 结构体中,存在一个成员变量 `Peb`,它是一个指针,指向对应进程的 `PEB` 结构。 ```c PEPROCESS TargetProcess; // 假设已经获得了目标进程的 EPROCESS PPEB Peb = (PPEB)((ULONG_PTR)(TargetProcess->Peb)); ``` 3. **解析 LDR 数据结构** - `PEB` 的一个重要成员是指向 `_PEB_LDR_DATA` 的指针,而 `_PEB_LDR_DATA
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值