Windows驱动学习笔记之三 驱动枚举进程(WIN64)

最新推荐文章于 2025-09-24 23:07:23 发布
原创 最新推荐文章于 2025-09-24 23:07:23 发布 · 2.3k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了在Windows 64位驱动中枚举进程时应注意的两个关键点:避免显示已退出的进程,以及正确获取完整进程名称。通过检查_EPROCESS结构的EXITTIME和ObjectTable字段来判断进程状态,同时指出PsGetProcessImageFileName可能截断长进程名。建议使用_EAUDIT_PROCESS_CREATION_INFO和相关API获取全路径,并转换为DOS路径。


WIN64 驱动下枚举进程实际是最简单的,网上流传的版本很多(跟32位没什么区别),其实都是是获取 _EPROCESS,通过_EPROCESS来获取系统的所有进程。

这里只想说对于新手要注意两点:

                    1.是别把已经退出的进程也给显示出来

                        _EPROCESS->EXITTIME   注意这个可以判断进程是否已经退出 ,退出就没必要再显示了,直接忽略掉

                        _EPROCESS->ObjectTable 这个也是判断进程是否退出的好方法,如果进程真的完全死掉了,这位为NULL,但这个对于系统空闲进程(Idle)不能这么判断,Idle也为NULL,但EXITTIME却不显示退出

                       最好是两个一起判断,因为EXITTIME也不完全保证(如果有人把这个值故意设置成退出呢?)

       &nbs

最低0.47元/天 解锁文章
枚举内核句柄表(Windows内核学习笔记)
KOOKNUT的博客
04-14 1108
前面我写过有关内核句柄表的一些知识,今天来在这里跟大家分享一下我自己写的内核枚举进程句柄方法。 #include"EnumProcessHandleTable.h" #ifdef _WIN64 #define _HANDLE_TABLE_ 0x200 //硬偏移Win7x64下的HANDLE_TABLE字段在EPROCESS下的偏移 #define _OFFSET_ ...
Windows驱动开发技术详解》学习笔记
热门推荐
Sagittarius_Warrior的博客
02-13 2万+
Abstract   如果推荐 Windows 驱动开发的入门书,我强烈推荐《Windows驱动开发技术详解》。但是由于成书的时间较早,该书中提到的很多工具和环境都已不可用或找不到,而本文搜集了大部分的工具,并在 win10X64 上安装开发环境,在 win7x86 上进行实验,趟过了不少实际编译和测试中遇到的坑。此外,本文也对相关章节的重点进行了总结,全文目录如下: 全书导读 开发和调试 驱...
x64驱动 遍历 PspCidTable 枚举进程和线程
LYSM
06-05 3449
介绍 PspCidTable 是一个内核句柄表,存放进程和线程的内核对象(EPROCESS 和 ETHREAD),并通过 PID 和 TID 进行索引(所以进程ID和线程ID不可能相同),ID 号以 4 递增。 获取 PspCidTable 地址 win7: PsLookupProcessByProcessId(被导出) -> PspCidTable win10: PsLookupProcessByProcessId(被导出) -> PspReferenceCidTableEntry -&g
易语言驱动枚举系统进程
07-15
易语言驱动枚举系统进程源码,驱动枚举系统进程,DriverEntry,驱动通信,DispatchCreateClose,驱动卸载,创建符号链接及设备,读内存,DbgPrint,DbgPrintInt,memcpy,IoCreateDevice,IoCreateSymbolicLink,RtlAnsiStringToUnicodeString,RtlInitAnsiString,RtlFr
PsGetProcessImageFileName 深度解析:Windows内核中的进程名探测器
最新发布
fearhacker的专栏
09-24 461
本文介绍了Windows内核函数PsGetProcessImageFileName的功能与实现原理,该函数用于获取进程可执行文件的短名称(最大15字符)和设备路径。文章详细解析了EPROCESS结构体中ImageFileName字段的存储位置,并提供了进程监控、驱动调试等实战应用示例。同时指出了该函数在名称截断和设备路径转换方面的局限性,并给出了相应解决方案。通过对比其他相关函数,分析了不同场景下的适用性。最后强调了本文仅用于教育目的,提醒读者遵守法律法规。
[windows 驱动开发] r0 枚举进程
LYSM
04-12 658
#include "ntddk.h" typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation, // 0 SystemProcessorInformation, // 1 SystemPerformanceInformation, // 2 SystemTimeOfDayInformation,
驱动枚举进程
爱杀之爪的矩阵
03-14 2058
Driver.cpp // DriEnumProcess.cpp : Defines the entry point for the console application.//#include "Driver.h"#include "ntddk.h"#include #include "stdarg.h"#include "stdio.h"#include "ntddkbd.h"
<学习笔记>Windows驱动开发技术详解__Windows内存管理
The New Old Things
09-15 3966
作为开发Windows驱动程序的程序员,需要比普通程序员更多了解Windows内部的内存管理机制,并在驱动程序中有效地使用内存。在驱动程序的编写中,分配和管理内存不能使用熟知的Win32 API函数,取而代之的是DDK提供的高效内核函数。C语言和C++中大多数关于内存操作的运行时
Win32学习笔记(20)文件系统
wzprabbit的博客
03-05 1084
1.文件系统 文件系统时操作系统用于管理磁盘上文件的方法和数据结构;简单点说就是在磁盘上如何组织文件的方法(可以理解为:任何东西存到硬盘上都是0和1不过怎么组织由文件系统决定) 文件系统 NTFS FAT32 磁盘分区容量 2T 32G 单个文件容量 4G以上 最大4G EFS加密 支持 不支持 磁盘配额 支持 不支持 那么在哪看我们的硬盘是什么文件系统? 就比如我的C盘:我们右键点击属性 看到是NTFS。..
windows 驱动实现进程枚举
全栈胖叔叔
05-08 1193
因为最近有需求写windows平台下的发外挂模块,需要实现对进程的监控,其中一个线程需要匹配进程名,那么问题来了,这就需要获取所有进程名称。 在用户层ring3下,枚举进程的方法主要有: 1.CreateToolhelp32Snapshot 通过快照枚举,x86和x64,winxp-win10 均可获取到进程名称。 2.通过 Psapi.dll,LoadLibrary(“PSAPI.DLL”),调用其EnumProcesses()枚举进程,x86和x64,winxp-win10 均可获取到进程名称,但是这个
EnumDriver_Windows编程_驱动枚举_
10-04
驱动枚举驱动隐藏,驱动编程。枚举系统内所有驱动枚举后可实现断链
【转】Windows下如何枚举所有进程(含代码)
zdragon2002的专栏
01-03 1万+
Windows下如何枚举所有进程 Posted on 13:37:00 by 晓月 and filed under Coding, Windows, Windows Mobile   要编写一个类似于 Windows 任务管理器的软件,首先遇到的问题是如何实现枚举所有进程。暂且不考虑进入核心态去查隐藏进程一类的,下面提供几种方法。请注意每种方法的使用局限,比如使用这些 API 所需要的操作
VC++实现枚举进程与模块
weixin_30547797的博客
10-24 300
#pragma once #define _WIN32_WINNT 0x0500 #include"windows.h" #include"tlhelp32.h" #include"stdio.h" #include"NativeApi.h" #include"wchar.h" #include"psapi.h"//SDK6.0 #pragma comment(lib,"psapi.lib"...
驱动开发:内核中枚举进线程与模块
LYSHARK
10-14 1万+
内核枚举进程使用`PspCidTable` 这个未公开的函数,它能最大的好处是能得到进程的EPROCESS地址,由于是未公开的函数,所以我们需要变相的调用这个函数,通过`PsLookupProcessByProcessId`函数查到进程的EPROCESS,如果`PsLookupProcessByProcessId`返回失败,则证明此进程不存在,如果返回成功则把EPROCESS、PID、PPID、进程名等通过DbgPrint打印到屏幕上。
驱动开发:内核枚举进程与线程ObCall回调
LYSHARK
10-22 2万+
首先我们需要定义好结构体,结构体是微软公开的,如果有其它需要请自行去微软官方去查。线程回调,之所以放在一起来讲解是因为这两中回调在枚举是都需要使用通用结构体。中我们通过特征码定位实现了对注册表回调的枚举,本篇文章。的枚举,如果是想要输出线程句柄,则只需要替换代码中的。就可以拿到链表头结构,得到后将其解析为。代码部分的实现很容易,由于进程与。所以放在一起来讲解最好不过。运行这段驱动程序,即可得到。运行这段驱动程序,即可得到。将教大家如何枚举系统中的。即可,修改后的代码如下。的枚举很容易,直接通过。
枚举进程模块
qq_41490873的博客
08-25 395
winternl.h中定义了PEB 和TEB typedef struct _PEB_LDR_DATA { BYTE Reserved1[8]; PVOID Reserved2[3]; LIST_ENTRY InMemoryOrderModuleList; } PEB_LDR_DATA, *PPEB_LDR_DATA; typedef struct _LDR_DATA_TABLE_ENTRY { PVOID Reserved1[2]; LIST_ENTRY InM
枚举windows进程
JoeBlackZQQ的专栏
11-22 1074
 将当前运行的进程列举出来(C++ Code): #include#include//#include #includeusing namespace std;int main(){    int count=0;    PROCESSENTRY32 pe32;    //使用这个数据之前设置大小    pe32.dwSize=sizeof(pe32);    HANDLE hProc
Win64 驱动内核编程-25.X64枚举和隐藏内核模块
天使也掉毛
03-26 4849
X64枚举和隐藏内核模块     在 WIN64 上枚举内核模块的人方法:使用 ZwQuerySystemInformation 的第 11 号功能和枚举 KLDR_DATA_TABLE_ENTRY 中的 InLoadOrderLinks 双向链表;隐藏内核模块的通用方法是把指定的驱动对象从 KLDR_DATA_TABLE_ENTRY中的 InLoadOrderLinks 双向链表上摘除。 X
联想Yoga13笔记本Win7 x64驱动程序安装指南
针对标题“yoga13 win7 x64驱动”和描述“yoga13 win7 x64驱动 联想超极本 无线网卡,显卡,声卡等”,我们将围绕联想Yoga 13超极本在Windows 7 x64操作系统上所需驱动程序展开详细讨论。考虑到联想Yoga 13是搭载...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值