电脑桌面
添加小米粒文库到电脑桌面
安装后可以在桌面快捷访问

Windows深入解析Processes,Threads,JobsVIP免费

Windows深入解析Processes,Threads,Jobs_第1页
1/14
Windows深入解析Processes,Threads,Jobs_第2页
2/14
Windows深入解析Processes,Threads,Jobs_第3页
3/14
Window s 深入解析---Processes,Threads,Jobs学习各种高级外挂制作技术,马上去百度搜索 "魔鬼作坊",点击第一个站进入,快速成为做挂达人。这是 Window s Internals第6章的内容。发现描述的还算详细。读了总比不读强。于是纪录之,老鸟飘过----<一>进程相关EPROCESS算是进程的代表,它还保留着与之相关的其他信息。进程是死的,其中的线程才是活的。进程就好比一个容器,装着很多活跃的线程而已[没有线程的进程注定要死亡,因为它没有活力]。对了,还有 PEB、TEB[这2个结构存在于用户进程空间中,其他的都在系统的高2GB地址范围里]。见图:① 明确 KPCR、KPRCB、ETHREAD、KTHREAD、EPROCESS、KPROCESS、TEB、PEB----KPCR(Kernel'sProcessorControlRegion,内核进程控制区域)是一个不会随 WINDOWS版本变动而改变的固定结构体,在它的末尾[偏移0x120]指向 KPRCB结构。nt!_KPCR+0x000NtTib:_NT_TIB+0x01cSelfPcr:Ptr32_KPCR+0x020Prcb:Ptr32_KPRCB+0x024Irql:UChar+0x028IRR:Uint4B+0x02cIrrActive:Uint4B+0x030IDR:Uint4B+0x034KdVersionBlock:Ptr32Void+0x038IDT:Ptr32_KIDTENTRY+0x03cGDT:Ptr32_KGDTENTRY+0x040TSS:Ptr32_KTSS...//省略+0x120PrcbData :_KPRCBKPRCB同样是一个不会随WINDOWS版本变动而改变的固定结构体。它包含有指向当前KTHREAD的指针,偏移值0x004。其实也就是知道了当前的ETHREAD基地址。[因为 ETHREAD的第一项便是KTHREAD,ETHREAD在后面讨论,现在讨论进程相关][通过 KeGetCurrentPrcb()函数即可得到 PKPRCB,具体参见 WRK]展开 KTHREAD,其中的_KAPC_STATE结构中包含当前 KPROCESS的地址nt!_KTHREAD+0x000Header:_DISPATCHER_HEADER...+0x034ApcState :_KAPC_STATE+0x034ApcState :struct_KAPC_STATE,5elements,0x18bytes+0x000ApcListHead:[2]struct_LIST_ENTRY,2elements,0x8bytes+0x010Process:Ptr32tostruct_KPROCESS,29elements,0x6cbytes+0x014KernelApcInProgress:UChar+0x015KernelApcPending:UChar+0x016UserApcPending:UChar而EPROCESS的第一项正是KPROCESS。联想我们熟悉的断 EPROCESS链表隐藏进程的手法。通过 PsGetCurrentProcess得到的其实是当前 KPROCESS的地址,而KPROCESS就是EPROCESS结构体的第一项,这样就得到了当前的EPROCESS。然后遍历整个链表。。。---->>大致流程:PsGetCurrentProcess()函数---->_PsGetCurrentProcess()宏----->KeGetCurrentThread()函数---->>具体细节:...

1、当您付费下载文档后,您只拥有了使用权限,并不意味着购买了版权,文档只能用于自身使用,不得用于其他商业用途(如 [转卖]进行直接盈利或[编辑后售卖]进行间接盈利)。
2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。
3、如文档内容存在违规,或者侵犯商业秘密、侵犯著作权等,请点击“违规举报”。

碎片内容

Windows深入解析Processes,Threads,Jobs

确认删除?
VIP
微信客服
  • 扫码咨询
会员Q群
  • 会员专属群点击这里加入QQ群
客服邮箱
回到顶部