在自己开发的驱动中进行进程遍历
在windows每个进程都有一个EPROCESS结构体,出了Idle空闲进程和system进程之外,其余的进程都在磁盘上有自己的可执行文件,而Idle进程和system进程的EPROCESS是由系统伪造的,结构体中对应的ImageFileName也不实际存在于磁盘上。
本次我们通过内核中的EPROCESS结构体来遍历进程,需要先了解EPROCESS结构体。
0:000> dt _EPROCESS
ntdll!_EPROCESS
+0x000 Pcb : _KPROCESS
+0x0c8 ProcessLock : _EX_PUSH_LOCK
+0x0d0 CreateTime : _LARGE_INTEGER
+0x0d8 ExitTime : _LARGE_INTEGER
+0x0e0 RundownProtect : _EX_RUNDOWN_REF
+0x0e4 UniqueProcessId : Ptr32 Void
+0x0e8 ActiveProcessLinks : _LIST_ENTRY
这是
标签:遍历,Windows,system,LARGE,EX,进程,驱动,EPROCESS From: https://www.cnblogs.com/ps12345678/p/16753853.html