内核程序中进程的pid,handle,eprocess之间相互转换的方法

最新推荐文章于 2021-08-05 17:20:00 发布
最新推荐文章于 2021-08-05 17:20:00 发布
阅读量5.8k 收藏 5
点赞数 1
本文介绍了在内核程序开发中,如何实现进程标识符(PID)、句柄与 eprocess 结构之间的相互转换。通过具体代码示例展示了五种转换方式,并解释了句柄、句柄表及对象三者之间的关系。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在内核程序开发中,我们常常需要取得某进程的pid或句柄,或者需要检索进程的eprocess结构,很多API函数需要的参数也不同,所以掌握pid<->handle<->eprocess相互转换的方法会大大提高我们的开发效率。


以下就是我自己在实际开发中总结出来的转换方法,在此记录下来,以供需要的朋友参考。


1、pid->handle
OBJECT_ATTRIBUTES ObjectAttributes;
CLIENT_ID clientid;
InitializeObjectAttributes(&ObjectAttributes, 0 ,OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, 0, 0);
clientid.UniqueProcess = (HANDLE)pid;
clientid.UniqueThread=0;
ZwOpenProcess(&handle, PROCESS_ALL_ACCESS, &ObjectAttributes, &clientid); 
handle即为所求。


2、handle->pid
PROCESS_BASIC_INFORMATION pbi;
ns = ZwQueryInformationProcess(ProcessHandle, ProcessBasicInformation, (PVOID)&pbi, sizeof(ProcessBasicInformation), NULL);
pid = pbi.UniqueProcessId; 
pid即为所求。


3、pid->eprocess
PEPROCESS pEProc;
PsLookupProcessByProcessId((HANDLE)pid, &pEProc);
ObDereferenceObject(pEProc); 
pEProc即为所求eprocess的指针。


4、handle->eprocess
st = ObReferenceObjectByHandle (ProcessHandle,
                                    PROCESS_TERMINATE,
                                    PsProcessType,
                                    KeGetPreviousModeByThread(&Self->Tcb),
                                    &Process,
                                    NULL);


5、eprocess->pid
_EPROCESS.UniqueProcessId即为所求,虽然声明类型为HANDLE,但实际上是pid。


6、eprocess->handle
Status = ObOpenObjectByPointer(
                    Process,
                    Attributes,
                    &AccessState,
                    0,
                    PsProcessType,
                    PreviousMode,
                    &Handle
                    ); 


总结:
这是句柄、句柄表、对象三者间的关系。
PspCidTable是全局的句柄表,用来存放进程、线程对象体,通过进、线程的pid作为索引可以在PspCidTable句柄表中找到pid所属进、线程的对象体(既EPROCESS或ETHREAD)。
其次,在进程内部,以handle作为索引,可以在进程的句柄表(ObjectTable)中找到handle代表的对象头,对象头+0x18就可得到对象体。以上内容全部可以通过在windbg下验证。 


转载自:http://bbs.pediy.com/showthread.php?t=119193
whatday
关注
Windows内核pid,handle,eprocess之间相互转换方法
Think88666的博客
08-25 539
Windows内核pid,handle,eprocess之间相互转换方法
Windows内核PIDHandleEPROCESS之间相互转换方法
ByteEchoX的博客
09-19 299
在Windows内核编程中,我们经常需要在进程和句柄之间进行转换,以及获取与进程相关联的EPROCESS结构。在本文中,我将介绍如何在Windows内核中进行PIDHandleEPROCESS之间相互转换,并提供相应的源代码示例。通过上述示例代码,你可以在你的内核驱动程序中使用这些转换方法来管理进程和句柄。请注意,在实际使用这些方法时,你需要了解Windows内核编程的相关知识,并确保在进行任何内核操作之前,仔细处理错误情况和异常情况。在Windows内核编程中,句柄是用于访问内核对象的标识符。
PID,EPROCESS,HANDLE转换【转】
weixin_30571465的博客
03-26 216
1. 通过 pid 获取目标进程EPROCESS (PsLookupProcessByProcessId)。如果当前进程不是目标进程,那么我们切换当前进程方法当然是通过 KeAttachProcess 或者 KeStackAttachProcess 啦。接下来我们就可以从 _PEB结构中随心所欲的获取目标路径,命令行,啥滴东西了。最后别忘了 Detach(如果你没有 Attach 那么这一...
[转](39)通过 PID 获取 EPROCESS
weixin_41875267的博客
11-19 321
NTSTATUS PsLookupProcessByProcessId( IN HANDLE ProcessId, OUT PEPROCESS *Process ); --------------------- 作者:hambaga 来源:优快云 原文:https://blog.youkuaiyun.com/Kwansy/article/details/109211912 版权声明:本文为作者原创文章,转载请附上博文链接! 内容解析By:优快云,CNBLOG博客文章一键转载...
详解PID进程名的转换及伪装
05-15 1917
作者:天杀 很多时候我们都要用到从PID进程名的转换。先总结一下相关的一些常用函数。GetCurrentProcessIdGetWindowProcessID这是两个最常用的获得PID的函数。再看看如何通过PID获得进程名先用OpenProcess把进程打开,然后一般用下面的一些方法来获得1.用快照函数CreateToolhelp32Snapshot,然后枚举进程,比较        Creat
句柄(handle)和文件标识符(PID
qq_45444695的博客
11-12 1681
今天有朋友问到,什么是句柄,什么是handle,什么是进程标识符,什么又是PID? 其实句柄就是handle,而进程标识符就是PID, 那么句柄和标识符又分别是什么?他们之间又有何联系? 句柄的声明 typedef void *HANDLE 它句柄的本质就是一个指针,但是它的作用又不同于指针,它又不是真正意义上的指针,或者说说句柄是一个受限的指针。 给你一个指针,你可以拿这个指针做几乎任何事情,给你一个句柄,你只能干一些Windows允许你干的事情。 我们知道Windows是一个以虚拟内存为基础的操作系统。
[Windows驱动开发] 进程pid - handle - eprocess之间相互转换方法
墨鱼菜鸡
08-05 270
内核程序开发中,我们常常需要取得某进程pid或句柄,或者需要检索进程eprocess结构,很多API函数需要的参数也不同,所以掌握pid<->handle<->eprocess相互转换方法会大大提高我们的开发效率。 以下就是我自己在实际开发中总结出来的转换方法,在此记录下来,以供需要的朋友参考。 1、pid->han...
EPROCESS遍历进程
For Geek
05-07 2144
Windows为每一个进程都安排了一个EPROCESS的结构用于维护每一个进程,当然EPROCESS是属于内核管理的,所以只有ring0层的程序才可以访问这个结构,下面我们来看一下EPROCESS的结构是怎样的。 kd> dt _eprocess ntdll!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessL...
eprocess.zip_EPROCESS_eprocess结构体
09-24
在Windows操作系统中,EPROCESS结构体是内核级的数据结构,它代表了系统中的一个进程。这个结构体包含了关于进程的各种信息,如进程ID、内存分配、权限、句柄表等。当我们谈论“wrk中当前进程EPROCESS结构体”时,...
【转帖】驱动编写与windbg调试
floweronwarmbed的专栏
11-01 639
 一.驱动编写随着对windows系统的深入研究,越来越多的内核方面的知识被挖掘出来了,今天我们讨论下如何写一个简单的驱动,并使用现在比较新的windbg调试器进行调试。首先写驱动要对驱动有一个比较全面的认识。一个简单的驱动一般有以下几个部分组成:1,一个入口点(DriverEntry):用于创建设备对象及符号连接,以及其它初使化操作,如分配池内存等.2,一个出口(DriverUnload):删除
【驱动之四】Nt和Zw
seedluo815的专栏
05-05 1351
Ring3中的NATIVE API,和Ring0的系统调用,都有同名的Zw和Nt系列函数,一度让初学者感到迷糊。现在就以ZwOpenProcess和NtOpenProcess函数为例,详细阐述下他们的分别和联系。  ntdll.dll导出了NtOpenProcess和ZwOpenProcess两个函数,我们记为ntdll!NtOpenProcess和ntdll!ZwOpenProcess。仔细看
如何从内核中检测ROOTKIT和剥离ROOTKIT
04-26 1565
https://www.xfocus.net/bbs/index.php?act=ST&f=2&t=62603]Detection of the hidden processes.[C] Ms-Rem© 2002-2005 wasm.ru - all rights reserved and reversedMany users have got used that Windows NT
Zw函数与Nt函数的分别与联系
huobengle
09-02 321
in ring3: lkd&gt; ? ntdll!ZwOpenProcess Evaluate expression: 2089999739 = 7c92dd7b lkd&gt; ?ntdll!NtOpenProcess Evaluate expression: 2089999739 = 7c92dd7b 可以看到,在ntdll中,ZwOpenProcess和NtOpenProce...
驱动保护:挂接SSDT内核钩子(1)
weixin_30790841的博客
09-20 578
SSDT 中文名称为系统服务描述符表,该表的作用是将Ring3应用层与Ring0内核层,两者的API函数连接起来,起到承上启下的作用,SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基址、服务函数个数等,SSDT 通过修改此表的函数地址可以对常用 Windows 函数进行内核级的Hook,从而实现对一些核心的系统动作进行过滤、监控的目的,接下来将演...
简单易懂的SSDT学习心得
fsjaky的专栏
04-14 3125
在这篇心得开始,说点其他的。之前参加百度校园招聘的时候,面试官问我什么是SSDT,已经HOOK SSDT的实现过程。自己明明知道,可是我一下答上来,所以我找出来以前学习的心得,贴出来,好备份吧!我这篇心得呢!是代码与文字一起加载在一起的,学习就想读书的时候一样,书看到哪里笔记就做到哪里。这样方便理解。如果代价复制黏贴来学,不会影响的,一边看代码一边看笔记哟!其实我平时写代码不是这样的……都是规范化
内核编程之SSDTHook(2)Hook NtOpenProcess实现进程保护
zuishikonghuan的博客
03-11 7576
本博文由优快云博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处: 上一篇博文“内核编程之SSDTHook(1)原理(地址:)”中,介绍了SSDTHook的原理,这一篇博文,我们来写一个实例,通过Hook NtOpenProcess来的实现进程保护。 我之前写过两篇Ring3下的API Inline Hook的博文,这两篇博文通过Inline
Nt*和Zw*开头的函数
qiaoli的知识备忘录
09-23 2480
原文 Ring3中的NATIVE API,和Ring0的系统调用,都有同名的Zw和Nt系列函数,这些Zw*和Nt*函数既在ntdll.dll(Ring3)中导出又在ntoskrnl.exe(Ring0)中导出,他们有什么区别呢? 我们先来看看ntdll.dll和ntoskrnl.exe的关系。 Win32 API中的所有调用最终都转向了ntdll.dll,再由它转发至ntoskrnl
EPROCESS结构体
最新发布
05-14
<think>好的,我现在要回答用户关于EPROCESS结构体定义和使用方法的问题。首先,用户是Windows内核开发的初学者,可能需要基础的解释。我需要参考提供的引用资料,尤其是引用3和4,其中提到了EPROCESS与链表、VAD结构的关系。 首先,EPROCESS结构体是Windows内核中表示进程的关键数据结构,包含进程的各种信息。根据引用4,EPROCESS结构中有VAD结构的偏移,所以需要说明其存储进程的虚拟地址信息。同时,引用3提到内核使用LIST_ENTRY链表,可能EPROCESS中的ActiveProcessLinks就是这种链表结构,用于连接所有进程。 接下来,结构体定义部分,用户可能需要知道主要成员,如进程ID、句柄表、PEB地址等。由于EPROCESS在不同系统版本中定义不同,应提醒用户使用调试工具查看具体版本的定义。 关于使用方法,需要说明如何通过PsGetCurrentProcess获取当前进程EPROCESS,如何遍历进程链表,以及如何访问VAD等成员。这里要结合引用4中的例子,比如使用!process指令和偏移量来定位VAD结构。 最后,生成相关问题时要围绕EPROCESS的应用场景、遍历方法、与线程结构体的关系等,帮助用户深入理解。同时确保使用正确的LaTeX格式,行内公式用$,独立公式用$$,并检查语法正确性。</think>### EPROCESS结构体的定义与使用方法 #### 一、EPROCESS结构体定义 `EPROCESS`是Windows内核中描述进程的核心数据结构,包含进程的所有元数据。其定义因Windows版本不同而有所差异,但核心成员包括: $$ \begin{aligned} &\text{+0x2e8 UniqueProcessId : Ptr64 Void} \quad \text{(进程PID)} \\ &\text{+0x448 ObjectTable : Ptr64 _HANDLE_TABLE} \quad \text{(句柄表)} \\ &\text{+0x5c8 Peb : Ptr64 _PEB} \quad \text{(用户态进程环境块)} \\ &\text{+0x658 VadRoot : Ptr64 _MM_AVL_TABLE} \quad \text{(VAD树根节点)} \\ &\text{+0x5f0 ActiveProcessLinks : _LIST_ENTRY} \quad \text{(进程链表节点)} \end{aligned} $$ 该结构体长度通常超过0x1000字节[^4],实际定义需通过WinDbg查看: ```bash 0: kd> dt nt!_EPROCESS ``` #### 二、主要成员解析 1. **进程标识** - `UniqueProcessId`:进程PID,通过`PsGetProcessId`函数获取 - `ImageFileName`:进程映像文件名(如x64.exe) 2. **内存管理** - `VadRoot`指向进程的虚拟地址描述符树(VAD Tree),可通过`!vad`命令查看: ```bash 0: kd> !process ffffe28fbb0860c0 7 ``` 3. **链表结构** - `ActiveProcessLinks`是`LIST_ENTRY`类型的内核链表节点,用于连接所有活动进程: $$ \text{遍历公式:NextProcess = CONTAINING_RECORD(ListEntry.Flink, EPROCESS, ActiveProcessLinks)} $$ #### 三、使用方法示例 1. **获取当前进程** ```c PEPROCESS CurrentProcess = PsGetCurrentProcess(); ``` 2. **遍历进程链表** ```c PLIST_ENTRY ListHead = PsGetProcessListHead(); PLIST_ENTRY CurrentEntry = ListHead->Flink; while (CurrentEntry != ListHead) { PEPROCESS Process = CONTAINING_RECORD(CurrentEntry, EPROCESS, ActiveProcessLinks); DbgPrint("Process Name: %s\n", Process->ImageFileName); CurrentEntry = CurrentEntry->Flink; } ``` 3. **访问VAD树** ```c PMM_AVL_TABLE VadRoot = Process->VadRoot; if (VadRoot->NumberGenericTableElements > 0) { // 遍历VAD树分析内存布局 } ``` #### 四、开发注意事项 1. **版本兼容性** EPROCESS结构偏移量随系统版本变化(如Win10与Win7不同),应使用`FIELD_OFFSET`宏动态获取偏移[^3]。 2. **内存访问** 访问用户空间地址需使用`ProbeForRead`验证,或通过MDL映射物理内存[^2]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值