首页 > TAG信息列表 > EPROCESS

驱动开发:摘链DKOM进程隐藏

DKOM 即直接内核对象操作,我们所有的操作都会被系统记录在内存中,而驱动进程隐藏就是操作进程的EPROCESS结构与线程的ETHREAD结构、链表,要实现进程的隐藏我们只需要将某个进程中的信息,在系统EPROCESS链表中摘除即可实现进程隐藏。 结构体中包含了系统中的所有进程相关信息,通过WinDB

《软件调试》阅读心得——第二章 进程和线程

1.进程空间 概念:软件“生活”的内存空间,好比人类的住房。 2.EPROCESS 概念:描述进程的"档案",其中有DebugPort、ExceptionPort等信息。 用法:!process 0 0的执行结果中,每个进程有三行信息,第一行信息中,PROCESS后面的地址指向的便是进程的EPROCESS结构。使用dt命令可以观察该结构各个字

windows驱动开发-进程结构体初探

目录内核结构 进程结构体 字段 以及简单的应用一丶进程结构体1.1 简介1.2 KPROCESS 结构体1.3 EPROCESS 内核结构 进程结构体 字段 以及简单的应用 一丶进程结构体 1.1 简介 ​ 我们有进程的概念,也有线程的概念。 而这些其实在操作系统内核中是由记录的。 这里我简单的说下重要字

内核理论基础 || 内核重要数据结构

一、内核对象      在Windows内核中有一种很重要的数据结构管理机制,那就是内核对象。应用层的进程、线程、文件、驱动模块、事件、信号量等对象或者打开的句柄在内核中都有与之对应的内核对象。       如图7.10所示,一个Windows内核对象可以分为对象头和对象体两部分。

Windows本地内核提权——Win32组件空指针漏洞(CVE-2018-8120)

目录 漏洞概述 漏洞原理 漏洞复现 windbg调试本地内核 查看SSDT表和SSDTShadow表 查看窗口站结构体信息 利用Poc验证漏洞 漏洞利用 分配零页内存 构造能够获取SYSTEM进程令牌的shellcode 查找获取HalDispatchTable表地址 利用Bitmap任意内存读写 Exp利用漏洞 参考资料 漏洞

64位内核开发第六讲,Windbg调试ring3跟Ring0.一起调试

目录 驱动第六讲_Windbg连续调试Ring3.与Ring0 一丶Windbg连调试 驱动第六讲_Windbg连续调试Ring3.与Ring0 一丶Windbg连调试 有时候我们调试一个程序.可以使用Windbg.但是如果我们想一个Windbg 调试一个Ring3.并且在调试一个Ring0程序应该怎么做. 第一种方法: 虚拟机安装Wi