Windbg查看进程的_EPROCESS结构

最新推荐文章于 2023-04-13 16:27:32 发布
原创 最新推荐文章于 2023-04-13 16:27:32 发布 · 6.1k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#integer #image #null #list #token #c

本文介绍如何使用Windbg查看进程的_EPROCESS结构地址,并通过notepad.exe为例演示具体步骤。文章还展示了如何利用_EPROCESS结构查找特定字段,如DebugPort的地址。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近研究某驱动DebugPort清零,学习了使用Windbg查看_EPROCESS结构地址,采用Syser下断查找清零代码。

下面主要写下Windbg查看进程的_EPROCESS结构,便以后查阅。

大家知道,每一个进程都对应一个_EPROCESS结构,我们如何确定一个进程的_EPROCESS地址呢?以notepad.exe为例

使用Windbg的Kernel Debug,输入命令

lkd> !process 0 0    //查看当前进程
PROCESS 8a5e7088 SessionId: 0 Cid: 0ff0    Peb: 7ffdd000 ParentCid: 0324
    DirBase: 0ac40520 ObjectTable: e1a13a30 HandleCount: 65.
    Image: windbg.exe

PROCESS 882f2650 SessionId: 0 Cid: 07d8    Peb: 7ffd7000 ParentCid: 0324
    DirBase: 0ac404e0 ObjectTable: e506af88 HandleCount: 48.
    Image: notepad.exe
。。。。。

可以看到 PROCESS 882f2650,882f2650就是notepad.exe的_EPROCESS结构地址

lkd> dt _eprocess 882f2650   //查看notepad.exe的_EPROCESS
nt!_EPROCESS
   +0x000 Pcb              : _KPROCESS
   +0x06c ProcessLock      : _EX_PUSH_LOCK
   +0x070 CreateTime       : _LARGE_INTEGER 0x1cb68eb`1575a5ee
   +0x078 ExitTime         : _LARGE_INTEGER 0x0
   +0x080 RundownProtect   : _EX_RUNDOWN_REF
   +0x084 UniqueProcessId : 0x000007d8 Void
   +0x088 ActiveProcessLinks : _LIST_ENTRY [ 0x805648b8 - 0x8a5e7110 ]
   +0x090 QuotaUsage       : [3] 0xc58
   +0x09c QuotaPeak        : [3] 0x1080
   +0x0a8 CommitCharge     : 0x220
   +0x0ac PeakVirtualSize : 0x2453000
   +0x0b0 VirtualSize      : 0x22bf000
   +0x0b4 SessionProcessLinks : _LIST_ENTRY [ 0xba632014 - 0x8a5e713c ]
   +0x0bc DebugPort        : (null)
   +0x0c0 ExceptionPort    : 0xe1be7658 Void
   +0x0c4 ObjectTable      : 0xe506af88 _HANDLE_TABLE
   +0x0c8 Token            : _EX_FAST_REF
   +0x0cc WorkingSetLock   : _FAST_MUTEX
   +0x0ec WorkingSetPage   : 0x7bbc2
   +0x0f0 AddressCreationLock : _FAST_MUTEX
   +0x110 HyperSpaceLock   : 0
   +0x114 ForkInProgress   : (null)
   +0x118 HardwareTrigger : 0
   +0x11c VadRoot          : 0x8a626df0 Void
   +0x120 VadHint          : 0x88380130 Void
   +0x124 CloneRoot        : (null)

_EPROCESS + bc处为Debugprot地址,可以使用Syser下断
bpm 882f2650+bc w 断在notepad.exe的DebugPort处,如有对它的处理就会断住。。

第一次发帖,写得比较简单,留待参考。

Windows各版本EPROCESS结构
漂泊心情
01-15 2221
Windows XP: +0x000 Pcb : _KPROCESS +0x000 Header : _DISPATCHER_HEADER +0x010 ProfileListHead : _LIST_ENTRY [ 0xffbcc030 - 0xffbcc030 ] +0x018 DirectoryTableBase : [2] 0x2807000 +0x020 LdtDescript
如何使用windbgeprocess结构
尘埃落定
08-27 7009
安装windbg加入 symbol path  运行WinDbg->菜单->File->Symbol File Path->按照下面的方法设置_NT_SYMBOL_PATH变量:在弹出的框中输入“C:/MyCodesSymbols;SRV*C:/MyLocalSymbols*http://msdl.microsoft.com/download/symbols”(
windbg命令解释
热门推荐
IT杂谈
07-31 1万+
inDbg 文档翻译----85cc682/NetRoc http://netroc682.spaces.live.com/ !processfields !processfields 扩展命令显示执行进程块(EPROCESS)中字段的名字和偏移。 语法 !processfields DLL Windows NT 4.0
windbg 查看某个进程EPOCESS结构
huanongying131的博客
12-07 2148
转:http://blog.sina.com.cn/s/blog_5ddb672b01017xrh.html windbg 查看某个进程EPOCESS结构,debugport清零 内核调试下 1. !process 0 0 列出所有进程的信息 lkd> !process 0 0 Unable to read selector for PCR for processor 0 ***...
如何用windbg查看_eprocess结构
weixin_30340819的博客
05-15 745
打开菜单: File->Symbol File Path... 输入: C:/MyCodesSymbols; SRV*C:/MyLocalSymbols*http://msdl.microsoft.com/download/symbols 随便绑定一个进程,然后输入 dt _eprocess 转载于:https://www.cnblogs.com/IWings/p/685...
windbg 查看结构体_windbg常见命令
weixin_34830055的博客
01-16 2315
WinDbgWinDbg支持以下三种类型的命令:·常规命令,用来调试进程·点命令,用来控制调试器·扩展命令,可以添加叫WinDbg的自定义命令,一般由扩展dll提供这些命令PDB文件PDB文件是由链接器产生的程序数据库文件。私有PDB文件包含私有和公有符号,源代码行,类型,本地和全局变量信息。公有PDB文件不包含类型,本地变量和源代码行信息,且只包含...
EPROCESS.rar_EPROCE_EPROCESS_EPROCESS win7_EPROCESS winxp_win 7
09-14
例如,通过调试器如WinDbg,可以查看和修改EPROCESS结构中的字段来影响进程的行为。开发者可能需要了解EPROCESS结构来编写内核模式驱动程序,以实现更精细的进程控制,如设置优先级、改变权限或者监控进程活动。 在...
eprocess.zip_EPROCESS_eprocess结构
09-24
在Windows操作系统中,EPROCESS结构体是内核级的数据结构,它代表了系统中的一个进程。这个结构体包含了关于进程的各种信息,如进程ID、内存分配、权限、句柄表等。当我们谈论“wrk中当前进程EPROCESS结构体”时,...
使用windbg调试进程线程数据结构
05-13
2. **查看EPROCESS结构**: - 在Windbg的命令行输入`dt _EPROCESS`或`dt EPROCESS`。 - 这个命令会显示`_EPROCESS`结构的所有字段及其值。由于`EPROCESS`结构非常复杂且包含大量信息,这里只展示一部分信息。 - **...
get-EPROCESS.zip_EPROCESS
09-23
7. **调试和分析**:在进行这类编程时,使用调试工具如WinDbg可以帮助理解EPROCESS结构和PEB结构的布局,以及如何正确地访问它们。 总的来说,"get-EPROCESS.zip_EPROCESS"的主题涉及了Windows内核编程,特别是如何...
EPROCESS_ActiveProcessLinks.rar_eprocess.h_ntddk.h
09-14
这个EPROCESS结构在ntddk.h中有定义,但是并未给出具体的结构,因此要得到EPROCESS中一些重要的成员变量,只能通过偏移的方法,比如PID,ImageName等.这些偏移可以在Windbg中dt _EPROCESS得到,但是不公开感觉还是不...
EPROCESS 结构
swanabin的专栏
07-05 1万+
每个进程都有一个 EPROCESS 结构,里面保存着进程的各种信息,和相关结构的指针。EPROCESS 结构位于系统地址空间,所以访问这个结构需要有ring0的权限。使用 Win2k DDK 的 KD (内核调试器)我们可以得到 EPROCESS 结构的定义。注意下面的是 Win2k Build 2195 下的 EPROCESS 结构定义。 kd> !strct eprocess !s
使用windbg查看进程导入表
momodeconger的博客
04-13 454
查看INT表(桥1)每4个字节代表一个导入函数的地址,一共从msvcp140d.dll中导入了14个函数。由于_IMAGE_DOS_HEADER这个结构属于ntdll,所以使用下面的命令,反汇编7978aec0,这个地址对应的就是我们通过INT找到的函数。查看第一个函数的名字和序号,前2个字节是序号,后面是函数的名称。查看IAT表(函数地址表),每4个字节对应一个函数的虚拟地址。其中,0n224就是NT头的位置(这是一个RVA)查看导入表内容,每个dll对应20个字节。查看导入的dll的名字。
记录windbg调试使用
weixin_41725706的博客
11-05 823
x64windbg调试进程和线程结构
windbg 查看结构体_Windbg入门实战讲解
weixin_42467088的博客
12-31 1449
windbg作为windows调试的神器。是查看内核某些结构体,挖掘漏洞,调试系统内核,调试驱动等必不可少的工具。但是由于windbg命令众多,界面友好程度较差,从而造成新人上手不易,望而却步。本文抛砖引玉,从基础入手,讲解windbg。希望同作为新人的我们一起进步!注意:本文省略部分为:1.如何加载系统符号。2.如何开启双机调试。因为这部分的内容,网络上太多了。读者可自行百度。但是请注意:这两部...
[windbg] 进程、线程
LYSM
04-07 1118
查看所有进程信息 !process 0 0 查看当前进程信息 !process -1 1 查看指定进程名信息 !process 0 0 test.exe
各系统 EPROCESS 结构
trents的专栏
02-18 4890
2000操作系统 nt!_EPROCESS    +0x000 Pcb              : _KPROCESS    +0x06c ExitStatus       : 259    +0x070 LockEvent        : _KEVENT    +0x080 LockCount        : 1    +0x088 CreateTime       : _LA
软件调试笔记9 - Windows概要:进程结构EPROCESS
imJaron的博客
11-23 748
下面,通过记事本程序来详细查看进程的每一项内容。 首先打开WINDBG并进入本地内核调试,然后打开记事本程序。用命令!process 0 0列出所有进程。 第一个参数0表示所有进程,第二个0表示基本的进程属性。 找到notepad.exe程序的内容。 EPROCESS结构: Process后面的地址指向的就是EPROCESS结构,很多时候WINDOW
windbg怎么通过eprocess遍历3环的模块信息
最新发布
03-30
### 使用 WinDbg 遍历用户态模块信息的方法 WinDbg 是一种强大的调试工具,可以通过分析 `_EPROCESS` 结构来获取有关进程的信息。以下是关于如何利用 WinDbg 和 `_EPROCESS` 结构遍历用户态模块信息的具体方法。 #### 1. 获取目标进程EPROCESS 地址 在 WinDbg 中,可以使用 `!process` 命令查找特定进程的 `_EPROCESS` 地址。例如: ```plaintext !process 0 0 notepad.exe ``` 上述命令会返回 Notepad 进程的相关信息,其中包括其 `_EPROCESS` 地址[^1]。 #### 2. 查看 EPROCESS 结构中的字段 一旦获得了 `_EPROCESS` 地址,就可以进一步查看结构的内容。例如,假设 `_EPROCESS` 地址为 `fffffa8009c3b060`,则可以运行以下命令: ```plaintext dt nt!_EPROCESS fffffa8009c3b060 ``` 这将显示 `_EPROCESS` 的各个字段及其偏移量。其中一些重要字段包括: - **ImageFileName**: 存储进程名称。 - **ActiveProcessLinks**: 表示活动进程链表(双向链表),用于链接所有活跃进程。 - **SectionObject**: 指向进程映像节对象的指针,可用于访问加载到内存中的模块信息[^3]。 #### 3. 访问 PEB (Process Environment Block) PEB 是每个 Windows 进程的核心数据结构之一,包含了大量与进程执行环境相关的信息。要找到某个进程的 PEB 地址,可以在已知 `_EPROCESS` 地址的情况下查询 `Peb` 字段: ```plaintext dt nt!_EPROCESS -y Peb ffffea800a4d7060 ``` 此命令的结果可能类似于这样: ```plaintext +0x2e0 Peb : 0xfffff8a0`0acdf000 _PEB ``` 接着可以直接转至 PEB 并提取 Ldr 数据成员的位置,Ldr 成员指向的是一个 `_PEB_LDR_DATA` 类型的数据结构,它管理着当前进程中所有的动态库(DLLs)列表: ```plaintext dt nt!_PEB -y Ldr 0xfffff8a00acdf000 ``` #### 4. 列举 DLL 加载器项 通过解析 `_PEB_LDR_DATA`,可以获得正在使用的模块列表。具体来说,需要关注以下几个关键部分: - **InLoadOrderModuleList**, **InMemoryOrderModuleList**, 或者 **InInitializationOrderModuleList** —— 它们都是双联结点数组形式存储了不同顺序排列下的模块节点。 下面是一个例子展示如何打印 InLoadOrderModules 下的所有条目: ```plaintext !pebmodules or equivalently, !list "-e nt!_PEB_LDR_DATA.InLoadOrderModuleList" ``` 这些指令能够列举出每一个被加载进来的DLL文件路径以及基地址等细节[^2]。 #### 总结 综上所述,在 WinDbg 中借助于 `_EPROCESS` 结构体可实现对用户模式下各模块详情的有效检索。先定位所需进程对应的 `_EPROCESS` 实例;再经由这个实例深入挖掘关联的 PEB 资料区进而取得完整的模块清单。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值