chinghoi's blog

前言：       随着信息科技的迅速发展，Internet已经成为全球最重要的信息传播工具。当人们在享受网络为我们的工作、生活带来方便和效率的同时，但它们潜在地也带来了安全问题。据统计，凡是刚开始接触过互联网的人，大部分人都或多或少的被入侵、恶意攻击过，并且安全威胁事件逐年上升。可见黑客如此猖獗，应该采取什么手段来防止黑客入侵是大家普遍关心的问题。 长期以来，最为严重的安全威胁就是恶意程序。

ZwQuerySystemInformation函数的SystemProcessesAndThreadsInformation功能号实现驱动枚举进程：第一个参数为传入功能号, 第二个参数为输出进程信息的缓冲区, 为一个指向SYSTEM_PROCESS_INFORMATION结构体指针,结构的NextEntryOffset成员指向下一项目, 遍历此链表即可枚举进程,指向0则表示已达链表尾部第三个参数

一、获取PspCidTable的地址 1.特征码搜索以下几个函数之一提取Call PspCidTable地址： PsLookupProcessByProcessId() PsLookupProcessThreadByCid() PsLookupThreadByThreadId() 0: kd> u PsLookupProcessByProcessId l 20 nt!PsLoo