吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 12592|回复: 17
收起左侧

[调试逆向] 利用EPROCESS结构的ActiveProcessLinks成员枚举进程

  [复制链接]
WinXsp 发表于 2010-4-2 12:58
本帖最后由 WinXsp 于 2010-4-2 13:46 编辑

由于本人水平有限且时间仓促,文中难免有错误,希望发现的朋友能及时的回帖批评指正,以免误人子弟~

Ps: 该代码在WindowsXpSp2测试下通过

利用EPROCESS结构的 ActiveProcessLinks成员枚举进程,

用到的函数

PsGetProcessId , 该函数得到进程的Pid.

DbgPrint ,该函数用来打印调试消息.

用到常数

PsInitialSystemProcess



先来看下的声明

1.jpg
可以从WRK \base\ntos\inc\ps.h
得知,该常数指向一个EPROCESS结构的地址。这个结构是System 进程的

2.jpg
3.jpg

绿色 是我们要判断是否进程已经结束的

红色 是我们要得到的信息


其中的 0x88 是我们要遍历的结构
4.jpg

其代码如下
5.jpg
得到的结果如下

6.jpg
附件.rar (855.44 KB, 下载次数: 79)

免费评分

参与人数 2威望 +2 收起 理由
datochan + 1 精品文章!
Hmily + 1 感谢您的分析,[吾爱破解]有你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| WinXsp 发表于 2010-4-2 14:33
本帖最后由 WinXsp 于 2010-4-2 16:39 编辑

沙发......
jerrynpc 发表于 2010-4-2 14:42
Hmily 发表于 2010-4-2 14:49
datochan 发表于 2010-4-2 21:26
肉鸡的同学,那真得支持下。
真羡慕肉鸡,有同学做伴,嘿嘿~
代码疯子 发表于 2010-12-25 13:20
哈哈 学习了 最近我也开始看了 非常感谢
angel_ 发表于 2011-4-10 00:30
这是个好东西`!~!~!
loveforever90 发表于 2011-4-21 17:03
强,顶一顶
oksbsb 发表于 2011-4-23 09:14
不错不错!不知道PsInitialSystemProcess通用不?
KiDebug 发表于 2011-4-28 18:35
有点老了。

ActiveProcessLinks可以通过PsActiveProcessHead去遍历,取PsActiveProcessHead的方法通用XP/2003/Win7
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 10:08

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表