PsLookupProcessByProcessId的执行流程

最新推荐文章于 2025-12-24 02:23:30 发布
转载 最新推荐文章于 2025-12-24 02:23:30 发布 · 2.9k 阅读 · 2
标签
#table #hook #object #null #工作
本文详细介绍了PsLookupProcessByProcessId函数的工作原理及其在内核线程调度中的作用。通过对函数调用流程的剖析,揭示了如何通过进程ID获取对应进程的EPROCESS结构。
本来偶在学习内核线程调度的东西,发现里面有关于HANDLE_TABLE的知识.于是参照WRK把附带的一些东西深入学习了一下子--关于PsLookupProcessByProcessId的执行流程[写点心得存档,供以后学习的同学参考.老鸟飘过~]

本来偶在学习内核线程调度的东西,发现里面有关于HANDLE_TABLE的知识.于是参照WRK把附带的一些东西深入学习了一下子--关于PsLookupProcessByProcessId的执行流程[写点心得存档,供以后学习的同学参考.老鸟飘过~]

NtOpenProcess->

PsLookupProcessByProcessId->

ExMapHandleToPointer->

ExpLookupHandleTableEntry

关于RKARK,大概都很关注PsLookupProcessByProcessId吧.无论是HOOK还是DKOM,还是其他的,都先得把函数在底层的实现细节完全搞明白才行. so,the following may be helpful for you and me:

---->
进入PsLookupProcessByProcessId内,它有2个参数
__in HANDLE ProcessId, // 传进来进程ID
__deref_out PEPROCESS *Process // 传出去进程的EPROCESS

首先使当前线程的内核APC无效,然后调用 ExMapHandleToPointer 函数.它有2个参数
__in PHANDLE_TABLE HandleTable,
__in HANDLE Handle

第1个参数传进来是全局变量 PspCidTable (它包含了系统所有进程的线程对象的指针);

第2个参数传进来进程ID (它被赋予给 EXHANDLE 结构体中的 GenericHandleOverlay 变量)
---->
进入此函数后,将进程ID加入到 EXHANDLE 结构体中,进行必要的检查,确保ID的有效性:



EXHANDLE 是一个union, 其中的 Index 即是 GenericHandleOverlay 的低30位.

这个检查是确保 2~109位存在,即3层表的0级的索引存在.

然后该函数调用 ExpLookupHandleTableEntry 函数,同样为此函数传递上面的2个参数,不过此时的第2个参数已经转换成另一种形式----EXHANDLE结构了.此函数做的工作才是重点,它负责通过索引在这个句柄3层表中寻找到指定的进程对象
[关于它的内部实现细节及注释过程, 句柄3层表,一些结构体。见附件]
最终它返回一个 HANDLE_TABLE_ENTRY 的地址,里面的前4字节包含了指定进程的对象地址.
---->
返回到 ExMapHandleToPointer 函数中后,此函数获得控制权,便接着往下执行.

它会调用ExpLockHandleTableEntry 来锁定当前的 handle table entry (InterlockedCompareExchangePointer ---->InterlockedCompareExchange)

.如果不成功或者ExpLookupHandleTableEntry返回结果为0,则可能是进程句柄处于被调试状态, 通过 HANDLE_TABLE 结构中的 DebugInfo 来判断当前句柄是否处于被调试状态.
若是,则调用 ExpUpdateDebugInfo 函数填充 HANDLE_TRACE_DEBUG_INFO 结构体以保存当前的调试信息;

否则返回NULL,调用失败.


当函数调用成功时,便返回从ExpLookupHandleTableEntry得到的HANDLE_TABLE_ENTRY 的地址.
---->
这样就回到了PsLookupProcessByProcessId函数中,它将 HANDLE_TABLE_ENTRY 中的Object转化为EPROCESS类型,确保这个对象是ProcessObject且有继承权限,将此对象的计数+1:



然后将此EPROCESS装入到参数2中, 解锁当前的handle table entry,恢复当前线程的内核APC,成功返回.


这个是用相机扫的图,用软件处理了下,懒得画了~~

-------------------------------------------------------------------------------------

这只是茫茫内核函数中的一个,相关联的还有比如很重要的PspTerminateThreadByPointer,大家可以参照WRK、reactOS学习,对理解RK运用DKOM这些手段会有更进一步的印象了~

yaneng
关注
内核枚举进程总结
zhuhuibeishadiao
05-02 3761
我知道的有三种方法 这里的第三种和第二种是一样的 隐藏进程也可以在这么做手脚 但需要注意多线程,在操作前,理应加锁 可以参考这篇文章 http://blog.csdn.net/zfdyq0/article/details/41813747 1.暴力枚举进程 通过PsLookupProcessByProcessId获得EPROCESS 第一个参数我们使用循环 填入0~6553
通过暴力搜索PID遍历进程并获取进程信息
墨鱼菜鸡
06-23 566
背景 通常我们在内核中使用 ZwQuerySystemInformation 函数来遍历进程模块并获取进程信息,这种是通过正常的进程遍历方式,所以,有很多 Rootkit 程序会 HOOK 这个 ZwQuerySyste...
驱动 -- 强制结束进程 -- 整理
FadeTrack
06-22 2541
有一阵子没 写博客,正好这几天 写了个内核级强制结束进程 的小例子。写这个例子之前都没去查什么资料,主要是想试试自己能不能写出来吧。写完后才发现 看雪论坛 曾经发表过一篇很相似的文章,实现的细节可能有点不一样,不过原理基本是相同的了。 都是通过 这个 PspTerminateThreadByPointer 函数,我是通过查ReactOs 来理解的 NtTeriminateProc
PsLookupProcessByProcessId分析
weixin_30892037的博客
03-13 1644
本文是在讨论枚举进程的时候产生的,枚举进程有很多方法,Ring3就是ZwQuerySystemInformation(),传入SysProcessesAndThreadsInformation这个宏,或者用CreateToolhelp32Snapshot系统快照的方式枚举进程,还用就是用WTSOpenServer这个第三方库的函数,Ring0就是进程活动链表,系统句柄表中枚举。然后就是Ps...
PsLookupProcessByProcessId执行流程
zacklin的专栏
06-13 2691
本来偶在学习内核线程调度的东西,发现里面有关于HANDLE_TABLE的知识.于是参照WRK把附带的一些东西深入学习了一下子--关于PsLookupProcessByProcessId执行流程[写点心得存档,供以后学习的同学参考.老鸟飘过~] NtOpenProcess->PsLookupProcessByProcessId->ExMapHandleToPointer->ExpLookup
pslookupprocessbyprocessid
Sunny_wwc的专栏
10-12 6084
PsLookupProcessByProcessId执行流程学习笔记本帖被 xIkUg 执行取消置顶操作(2008-01-14) 本来偶在学习内核线程调度的东西,发现里面有关于HANDLE_TABLE的知识.于是参照WRK把附带的一些东西深入学习了一下子--关于PsLookupProcessByProcessId执行流程[写点心得存档,供以后学习的同学参考.老鸟飘过~]NtOpenProcess->PsLookupProcessByProcessId->ExMapHandleToPointer->ExpL
PsLookupProcessByProcessId 深度解析:Windows内核中的进程猎手
fearhacker的专栏
09-24 547
摘要:本文深入解析Windows内核函数PsLookupProcessByProcessId,该函数通过进程ID获取EPROCESS结构体指针。详细介绍了函数原型、参数、返回值、使用场景(如进程信息查询、遍历监控等)及注意事项(引用计数管理、IRQL限制等)。文章包含实战代码示例,并探讨了进阶技巧(如反调试、进程隐藏)和调试方法,同时强调内核编程需谨慎处理权限边界和系统稳定性。警告:本技术仅限合法学习使用,禁止用于非法目的。
17.过保护读内存(通过内核(驱动)apc的方式附加应用程序)-Windows驱动
最新发布
计算机王的博客
12-24 1032
驱动 内核 过保护 游戏逆向 游戏安全 游戏攻防 c++ 反游戏外挂 保姆级攻略 Windows 汇编 x64游戏
通过GetProcessNameByProcessId得到进程路径
kernweak的博客
07-19 4211
写主防时,为了拿到进程路径,所以查询发现一种发现一种方式是通过PID,调用PsLookupProcessByProcessId(ProcessId, &ProcessObj)拿到进程的EPROCESS,然后PsGetProcessImageFileName(ProcessObj)拿到进程进程路径。 现在看下PsLookupProcessByProcessId资料 kd> u P...
ExpLookupHandleTableEntry
求索
04-18 1950
ExpLookupHandleTableEntry
Windows 10 X64 内核对象句柄表解析
vs2008ASPNET的专栏
05-24 2002
fweWindows 很多API函数都会创建和使用句柄(传入参数),句柄代表一个内核对象的内存地址,每个进程都有一个句柄表,它保存着进程拥有的句柄,内核也有一个句柄表 PspCidTable,它保存着整个系统的句柄。0xffff8d85`570ff000 notepad.exe句柄表地址,低两位为0 表示是1级表。(句柄项>>0x10)&0xfffffffffffffff0 = 对象地址(低位)句柄表地址+(进程ID>>0xa*8)-1。从内核句柄项中解析出内核对象地址。由上内核函数逆向可知。
3.5 Windows驱动开发:应用层与内核层内存映射
热门推荐
LYSHARK
11-16 1万+
在上一篇博文中我们通过使用附加进程的方式得到了该进程的PEB结构信息,本篇文章同样需要使用进程附加功能,但这次我们将实现一个更加有趣的功能,在某些情况下应用层与内核层需要共享一片内存区域通过这片区域可打通内核与应用层的隔离,此类功能的实现依附于MDL内存映射机制实现。
驱动开发:内核枚举PspCidTable句柄表
LYSHARK
10-16 1万+
在上一篇文章中我们通过枚举特征码的方式找到了DPC定时器基址并输出了内核中存在的定时器列表,本章将学习如何通过特征码定位的方式寻找Windows 10系统下面的内核句柄表地址。首先引入一段基础概念;windowsPspCidTable 就是这样的一种表(内核句柄表),表的内部存放的是进程EPROCESS和线程ETHREAD的内核对象,并通过进程PID和线程TID进行索引,ID号以4递增,内核句柄表不属于任何进程,也不连接在系统的句柄表上,通过它可以返回系统的任何对象。
6.5 Windows驱动开发:内核枚举PspCidTable句柄表
LYSHARK
12-01 5362
在 Windows 操作系统内核中,PspCidTable 通常是与进程(Process)管理相关的数据结构之一。它与进程的标识和管理有关,每个进程都有一个唯一的标识符,称为进程 ID(PID)。与之相关的是客户端 ID,它是一个结构,其中包含唯一标识进程的信息。这样的标识符在进程管理、线程管理和内核对象的创建等方面都起到关键作用。
Windows内核“执法官”:利用内核驱动与ZwTerminateProcess实现进程强制终止
专注于网络安全攻防技术与安全运营(SecOps)实践。
10-24 1052
本文深入Windows内核模式(Ring 0),详细探讨了驱动程序如何通过IOCTL从用户态接收指令,使用**PsLookupProcessByProcessId安全地定位目标进程的内核对象(EPROCESS),并最终调用ZwTerminateProcess(或其内部等效机制)以最高权限执行终止操作。此外,文章还着重强调了内核级操作固有的稳定性风险(BSOD)、PID复用问题、驱动签名要求以及安全考量**,旨在为构建健壮、有效的终端安全产品提供核心技术细节。
驱动开发笔记
qq_25953059的博客
06-24 187
WIndows驱动开发通过全局句柄表遍历进程 PspCidTable全局变量 //枚举进程 NTSTATUS EnumProcess() { ULONG i=0; PEPROCESS process; NTSTATUS status=0; for (i=0;i<60000;i+=4) { //进程ID 进程的EPROCESS status=PsLookupProcessByProcessI...
驱动开发:内核强制结束进程运行
LYSHARK
10-29 1万+
内核态,但有时我们不得不想办法结束掉这些特殊的进程,当然某些正常进程在特殊状态下也会无法被正常结束,此时使用驱动前行在内核态将其结束掉就变得很有用了,驱动结束进程有多种方法。存在时则可以看到结束效果,当然这种方式只是在内核层面调用了结束进程函数,其本质上还是正常结束,只是这种方式权限要大一些仅此而已。没有被导出,所以我们需要动态的这个内存地址,然后动态调用即可,这个寻找方法可以总结为以下步骤。第二种方法,其原理就是将进程内的线程全部结束掉从而让进程自动结束,由于。首先是第一种方法结束进程,封装实现。
驱动学习笔记
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-15 527
InitializeListHead InsertHeadList RemoveTailList InitializeListHead KeInitializeSpinLock ExInterlockedInsertHeadList ExInterlockedRemoveHeadList KeInitializeSpinLock KeAcquireSpinLoc
Win10遍历句柄表+修改权限过Callback保护
xlaomlng的博客
05-26 4139
本帖转载于http://www.m5home.com/bbs/thread-8847-1-1.html 本想发到看雪,但自己太菜,看雪“牛人”又太多,想想还是发到紫水晶吧。 感谢 TA 的 WIN64 教程带我走上驱动之路,想想除了个 VIP 账号就没教过学费,以后多在论坛发帖来回报一下吧。 正篇: XP 和 Win7 上关于句柄表的文章不少,一点不懂的朋友请自行百度谷歌搜索,方法没变,依旧使用 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值