获得进程的EPROCESSWord格式文档下载.docx
- 文档编号:13954015
- 上传时间:2022-10-15
- 格式:DOCX
- 页数:11
- 大小:15.73KB
获得进程的EPROCESSWord格式文档下载.docx
《获得进程的EPROCESSWord格式文档下载.docx》由会员分享,可在线阅读,更多相关《获得进程的EPROCESSWord格式文档下载.docx(11页珍藏版)》请在冰豆网上搜索。
每个进程都有一个相对应的执行体进程(,也就是)不仅包括了进程的许多属性,还包扩了许多指向其他数据结构的指针,其中包含了大量有用的信息.本文仅讲述如何获得特定进程对应的的作用及数据结构不在本文讨论范围之内.
绿盟高手在他的文章中提到,使用函数获取所有核心句柄表,线性搜索到进程句柄,其指向的内核对象就是。
函数原形如下
(
);
参数意义如下
被查询的系统信息的类型的枚举类型之一
指向一个接受系统信息的缓冲区的指针
缓冲区长度
指向一个接受实际返回字节数的变量,可以为
为了获取,我们使用作为第一参数来调用
的结构如下
{
;
},*;
进程标识符
打开的对象的类型
句柄属性标志
句柄数值,在进程打开的句柄中唯一标识某个句柄
这个就是句柄对应的的地址
句柄对象的访问权限
下面我写了一个小程序来获得()
比较的是程序写好后发现并未如预期般获得,通过调试发现()返回的进程的句柄中并没有进程本身的句柄
怎么会这样?
难道程序写错了?
**
现在只好靠给出答案了唤出,随便选了个进程,让我们来看看的输出
**
?
....
.....................省略
看了一阵,确实没有本身进程的,那么怎么办呢?
想了一会儿...既然子系统是由来管理的,那么用户创建的进程的句柄应该在里面找得到,用验证后发现确实如此
可是这没办法得到指定进程的句柄,和我所需相去甚远,只有另选它路
后来总算想到解决办法,既然没有进程的句柄,那就创建一个吧()这个函数可以打开一个进程的句柄,正合所需.
果然加上这么一句后()获得了
修改好的程序代码如下,获得本身进程的地址,稍作修改可获取任意进程
<
>
*
*'
*(\\\\\\)
()(()()>
)
(())
*************************************************************************
*
*<
<
>
};
(,,,,){()>
();
()>
}
(*)(
,
************************************************************************
**
()
(;
*)
(((,)))
(,"
(,)\"
);
(,,
);
(())
("
()"
);
}**
返回到缓冲区的首先是一个类型的数据,表示有多少数组
();
()(());
)
(([])([]
))([]))
("
\\"
[][]);
(()([]));
[]"
"
;
((()))
(!
((
)(,"
)))
(**)
打开自身句柄,这样才能在列表中找到自己对应为
(());
(()());
:
'
}
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 获得 进程 EPROCESS