内核程序中进程的pid,handle,eprocess之间相互转换的方法

最新推荐文章于 2021-08-05 17:20:00 发布
最新推荐文章于 2021-08-05 17:20:00 发布
阅读量5.8k 收藏 5
点赞数 1
本文介绍了在内核程序开发中,如何实现进程标识符(PID)、句柄与 eprocess 结构之间的相互转换。通过具体代码示例展示了五种转换方式,并解释了句柄、句柄表及对象三者之间的关系。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在内核程序开发中,我们常常需要取得某进程的pid或句柄,或者需要检索进程的eprocess结构,很多API函数需要的参数也不同,所以掌握pid<->handle<->eprocess相互转换的方法会大大提高我们的开发效率。


以下就是我自己在实际开发中总结出来的转换方法,在此记录下来,以供需要的朋友参考。


1、pid->handle
OBJECT_ATTRIBUTES ObjectAttributes;
CLIENT_ID clientid;
InitializeObjectAttributes(&ObjectAttributes, 0 ,OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, 0, 0);
clientid.UniqueProcess = (HANDLE)pid;
clientid.UniqueThread=0;
ZwOpenProcess(&handle, PROCESS_ALL_ACCESS, &ObjectAttributes, &clientid); 
handle即为所求。


2、handle->pid
PROCESS_BASIC_INFORMATION pbi;
ns = ZwQueryInformationProcess(ProcessHandle, ProcessBasicInformation, (PVOID)&pbi, sizeof(ProcessBasicInformation), NULL);
pid = pbi.UniqueProcessId; 
pid即为所求。


3、pid->eprocess
PEPROCESS pEProc;
PsLookupProcessByProcessId((HANDLE)pid, &pEProc);
ObDereferenceObject(pEProc); 
pEProc即为所求eprocess的指针。


4、handle->eprocess
st = ObReferenceObjectByHandle (ProcessHandle,
                                    PROCESS_TERMINATE,
                                    PsProcessType,
                                    KeGetPreviousModeByThread(&Self->Tcb),
                                    &Process,
                                    NULL);


5、eprocess->pid
_EPROCESS.UniqueProcessId即为所求,虽然声明类型为HANDLE,但实际上是pid。


6、eprocess->handle
Status = ObOpenObjectByPointer(
                    Process,
                    Attributes,
                    &AccessState,
                    0,
                    PsProcessType,
                    PreviousMode,
                    &Handle
                    ); 


总结:
这是句柄、句柄表、对象三者间的关系。
PspCidTable是全局的句柄表,用来存放进程、线程对象体,通过进、线程的pid作为索引可以在PspCidTable句柄表中找到pid所属进、线程的对象体(既EPROCESS或ETHREAD)。
其次,在进程内部,以handle作为索引,可以在进程的句柄表(ObjectTable)中找到handle代表的对象头,对象头+0x18就可得到对象体。以上内容全部可以通过在windbg下验证。 


转载自:http://bbs.pediy.com/showthread.php?t=119193
whatday
关注
Windows内核pid,handle,eprocess之间相互转换方法
Think88666的博客
08-25 539
Windows内核pid,handle,eprocess之间相互转换方法
Windows内核PIDHandleEPROCESS之间相互转换方法
ByteEchoX的博客
09-19 299
在Windows内核编程中,我们经常需要在进程和句柄之间进行转换,以及获取与进程相关联的EPROCESS结构。在本文中,我将介绍如何在Windows内核中进行PIDHandleEPROCESS之间相互转换,并提供相应的源代码示例。通过上述示例代码,你可以在你的内核驱动程序中使用这些转换方法来管理进程和句柄。请注意,在实际使用这些方法时,你需要了解Windows内核编程的相关知识,并确保在进行任何内核操作之前,仔细处理错误情况和异常情况。在Windows内核编程中,句柄是用于访问内核对象的标识符。
PID,EPROCESS,HANDLE转换【转】
weixin_30571465的博客
03-26 214
1. 通过 pid 获取目标进程EPROCESS (PsLookupProcessByProcessId)。如果当前进程不是目标进程,那么我们切换当前进程方法当然是通过 KeAttachProcess 或者 KeStackAttachProcess 啦。接下来我们就可以从 _PEB结构中随心所欲的获取目标路径,命令行,啥滴东西了。最后别忘了 Detach(如果你没有 Attach 那么这一...
[转](39)通过 PID 获取 EPROCESS
weixin_41875267的博客
11-19 321
NTSTATUS PsLookupProcessByProcessId( IN HANDLE ProcessId, OUT PEPROCESS *Process ); --------------------- 作者:hambaga 来源:优快云 原文:https://blog.youkuaiyun.com/Kwansy/article/details/109211912 版权声明:本文为作者原创文章,转载请附上博文链接! 内容解析By:优快云,CNBLOG博客文章一键转载...
详解PID进程名的转换及伪装
05-15 1917
作者:天杀 很多时候我们都要用到从PID进程名的转换。先总结一下相关的一些常用函数。GetCurrentProcessIdGetWindowProcessID这是两个最常用的获得PID的函数。再看看如何通过PID获得进程名先用OpenProcess把进程打开,然后一般用下面的一些方法来获得1.用快照函数CreateToolhelp32Snapshot,然后枚举进程,比较        Creat
句柄(handle)和文件标识符(PID
qq_45444695的博客
11-12 1680
今天有朋友问到,什么是句柄,什么是handle,什么是进程标识符,什么又是PID? 其实句柄就是handle,而进程标识符就是PID, 那么句柄和标识符又分别是什么?他们之间又有何联系? 句柄的声明 typedef void *HANDLE 它句柄的本质就是一个指针,但是它的作用又不同于指针,它又不是真正意义上的指针,或者说说句柄是一个受限的指针。 给你一个指针,你可以拿这个指针做几乎任何事情,给你一个句柄,你只能干一些Windows允许你干的事情。 我们知道Windows是一个以虚拟内存为基础的操作系统。
[Windows驱动开发] 进程pid - handle - eprocess之间相互转换方法
墨鱼菜鸡
08-05 270
内核程序开发中,我们常常需要取得某进程pid或句柄,或者需要检索进程eprocess结构,很多API函数需要的参数也不同,所以掌握pid<->handle<->eprocess相互转换方法会大大提高我们的开发效率。 以下就是我自己在实际开发中总结出来的转换方法,在此记录下来,以供需要的朋友参考。 1、pid->han...
EPROCESS遍历进程
For Geek
05-07 2144
Windows为每一个进程都安排了一个EPROCESS的结构用于维护每一个进程,当然EPROCESS是属于内核管理的,所以只有ring0层的程序才可以访问这个结构,下面我们来看一下EPROCESS的结构是怎样的。 kd> dt _eprocess ntdll!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessL...
eprocess.zip_EPROCESS_eprocess结构体
09-24
在Windows操作系统中,EPROCESS结构体是内核级的数据结构,它代表了系统中的一个进程。这个结构体包含了关于进程的各种信息,如进程ID、内存分配、权限、句柄表等。当我们谈论“wrk中当前进程EPROCESS结构体”时,...
【转帖】驱动编写与windbg调试
floweronwarmbed的专栏
11-01 639
 一.驱动编写随着对windows系统的深入研究,越来越多的内核方面的知识被挖掘出来了,今天我们讨论下如何写一个简单的驱动,并使用现在比较新的windbg调试器进行调试。首先写驱动要对驱动有一个比较全面的认识。一个简单的驱动一般有以下几个部分组成:1,一个入口点(DriverEntry):用于创建设备对象及符号连接,以及其它初使化操作,如分配池内存等.2,一个出口(DriverUnload):删除
【驱动之四】Nt和Zw
seedluo815的专栏
05-05 1350
Ring3中的NATIVE API,和Ring0的系统调用,都有同名的Zw和Nt系列函数,一度让初学者感到迷糊。现在就以ZwOpenProcess和NtOpenProcess函数为例,详细阐述下他们的分别和联系。  ntdll.dll导出了NtOpenProcess和ZwOpenProcess两个函数,我们记为ntdll!NtOpenProcess和ntdll!ZwOpenProcess。仔细看
如何从内核中检测ROOTKIT和剥离ROOTKIT
04-26 1565
https://www.xfocus.net/bbs/index.php?act=ST&f=2&t=62603]Detection of the hidden processes.[C] Ms-Rem© 2002-2005 wasm.ru - all rights reserved and reversedMany users have got used that Windows NT
Zw函数与Nt函数的分别与联系
huobengle
09-02 321
in ring3: lkd&gt; ? ntdll!ZwOpenProcess Evaluate expression: 2089999739 = 7c92dd7b lkd&gt; ?ntdll!NtOpenProcess Evaluate expression: 2089999739 = 7c92dd7b 可以看到,在ntdll中,ZwOpenProcess和NtOpenProce...
驱动保护:挂接SSDT内核钩子(1)
weixin_30790841的博客
09-20 578
SSDT 中文名称为系统服务描述符表,该表的作用是将Ring3应用层与Ring0内核层,两者的API函数连接起来,起到承上启下的作用,SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基址、服务函数个数等,SSDT 通过修改此表的函数地址可以对常用 Windows 函数进行内核级的Hook,从而实现对一些核心的系统动作进行过滤、监控的目的,接下来将演...
简单易懂的SSDT学习心得
fsjaky的专栏
04-14 3125
在这篇心得开始,说点其他的。之前参加百度校园招聘的时候,面试官问我什么是SSDT,已经HOOK SSDT的实现过程。自己明明知道,可是我一下答上来,所以我找出来以前学习的心得,贴出来,好备份吧!我这篇心得呢!是代码与文字一起加载在一起的,学习就想读书的时候一样,书看到哪里笔记就做到哪里。这样方便理解。如果代价复制黏贴来学,不会影响的,一边看代码一边看笔记哟!其实我平时写代码不是这样的……都是规范化
Delphi实现SSDT Hook
weixin_34019144的博客
01-08 256
关于SSDT Hook的理论知识就不多说了。简单的说一下Delphi开发KMD的一些需要注意的地方... 这里使用DDDK---有点自己修改过的痕迹不过区别不大...自己可以看代码1.KeServiceDescriptorTable是一个很特殊的函数...如果直接使用implib来进行创建库的话你会发现这个函数是被忽略的...因为偏移为0所以这个函数基本上只能起到标志作用没有任何实用价值.......
handlehandler的区别
extend_die的专栏
11-02 4832
handle既是名词也是动词,而handler只是个名词。在计算机编程术语里handle作为名词时是对可进行管理的资源对象的抽象,handle指向某个类别的资源对象,如文件句柄,进程ID都可以用handle来表达,在当动词讲时含义是处理和操作。而handler表示的是过程(函数),理解为功能处理器的含义,如常用的回调函数可以用handler来表示。
EPROCESS结构体
最新发布
05-14
首先,EPROCESS结构体是Windows内核中表示进程的关键数据结构,包含进程的各种信息。根据引用4,EPROCESS结构中有VAD结构的偏移,所以需要说明其存储进程的虚拟地址信息。同时,引用3提到内核使用LIST_ENTRY链表,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值