Windows过程的描述

Question

有一个Flink和眨眼(前向链接和后向链接)，为一个双人联名单的进程。有一个过程的标识符。所有这一切都是装在一个结构所引用为PEPROCESS或_KPROCESS.但是那些是什么其他的要素，在这种结构？

或者，如果答案是不短的，也不是简单的，在那里可以找到引用，如果不在文件或头文件?(这是我的地方我看起来可能忽略的东西。)

Answer 1

EPROCESS参考

  

在EPROCESS结构是不透明   结构，其用作处理   为对象的处理。

     

一些例程，如   PsGetProcessCreateTimeQuadPart，使用   EPROCESS识别过程   操作。司机可以使用   PsGetCurrentProcess程序获得   一个指针的过程对象   当前进程，并可以使用   ObReferenceObjectByHandle函数例程   获得的指针处理对象   与该指定的相关联的   处理。该PsInitialSystemProcess   全局变量指向进程   对象系统进程。

     

请注意，一个处理对象是   对象管理对象。司机应   使用对象管理器例程，如   ObReferenceObject和   ObDereferenceObject函数保持   对象的引用计数。

这意味着，你不应该在乎什么流程结构的成员。然而有源，其详细的处理结构的布局。

此书具有更详细的说明原来的独立成员。

Answer 2

在EPROCESS结构记录在Windows调试符号。

当连接到使用WinDbg内核，假设你已经正确安装调试符号，发出命令“DT！NT _EPROCESS”应该给你具体到您连接到内核版本的EPROCESS结构布局

Answer 3

该EPROCESS结构尤其不透明的，并只能找到的每个建设，通过检查的数据类型的出口建立调试的符号。

所以你能做到以下几点：

1. 下载 volatility 在这里，
2. 运行 volatility 在他们的一个试样存储器转储或你自己的转储如果你想要的。

3. 使用volshell.py 插在运行

   dt('_EPROCESS')

这将产生一个输出的结构EPROCESS和各种其他结构在窗户内核

或者你只能看见的结构的内容 在这里，

此 还可能会证明是有用的