[原创]win32内核程序中进程的pid,handle,eprocess之间相互转换的方法-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]win32内核程序中进程的pid,handle,eprocess之间相互转换的方法

发表于: 2010-8-25 16:34 18556

[原创]win32内核程序中进程的pid,handle,eprocess之间相互转换的方法

落寒

2010-8-25 16:34

18556

在win32内核程序开发中，我们常常需要取得某进程的pid或句柄，或者需要检索进程的eprocess结构，很多API函数需要的参数也不同，所以掌握pid<->handle<->eprocess相互转换的方法会大大提高我们的开发效率。

以下就是我自己在实际开发中总结出来的转换方法，在此记录下来，以供需要的朋友参考。

1、pid->handle

OBJECT_ATTRIBUTES ObjectAttributes;
CLIENT_ID clientid;
InitializeObjectAttributes(&ObjectAttributes, 0 ,OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, 0, 0);
clientid.UniqueProcess = (HANDLE)pid;
clientid.UniqueThread=0;
ZwOpenProcess(&handle, PROCESS_ALL_ACCESS, &ObjectAttributes, &clientid);
handle即为所求。

2、handle->pid

PROCESS_BASIC_INFORMATION pbi;
ns = ZwQueryInformationProcess(ProcessHandle, ProcessBasicInformation, (PVOID)&pbi, sizeof(ProcessBasicInformation), NULL);
pid = pbi.UniqueProcessId;
pid即为所求。

3、pid->eprocess

PEPROCESS pEProc;
PsLookupProcessByProcessId((HANDLE)pid, &pEProc);
ObDereferenceObject(pEProc);
pEProc即为所求eprocess的指针。

4、handle->eprocess

暂未发现直接转换的方法，可由handle->pid->eprocess。

5、eprocess->pid

_EPROCESS.UniqueProcessId即为所求，虽然声明类型为HANDLE，但实际上是pid。

6、eprocess->handle

暂未发现直接转换的方法，可由eprocess->pid->handle。

以上方法在Windows XP SP2中验证通过，欢迎大家补充

[课程]Android-CTF解题方法汇总！

收藏・52

免费・7

支持

最新回复 (20)
寒冰心结雪币： 7992 活跃值： (2566) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 238 粉丝 0 关注私信	寒冰心结 2 楼 4、handle->eprocess 暂未发现直接转换的方法，可由handle->pid->eprocess。这个我来完善吧. st = ObReferenceObjectByHandle (ProcessHandle, PROCESS_TERMINATE, PsProcessType, KeGetPreviousModeByThread(&Self->Tcb), &Process, NULL); 6、eprocess->handle 暂未发现直接转换的方法，可由eprocess->pid->handle。这个也完善下. Status = ObOpenObjectByPointer( Process, Attributes, &AccessState, 0, PsProcessType, PreviousMode, &Handle ); 2010-8-25 17:17 0
splitpants 雪币： 68 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 85 粉丝 0 关注私信	splitpants 3 楼嗯，这个要是能有个系统的总结还是对我等菜鸟比较有帮助的 2010-8-25 17:20 0
stu 雪币： 1259 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 179 粉丝 0 关注私信	stu 4 楼留个记号... 2010-8-25 17:55 0
水晶蜗牛雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 255 粉丝 0 关注私信	水晶蜗牛 5 楼标记，以后学习 2010-8-25 19:02 0
wykkx 雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 87 粉丝 0 关注私信	wykkx 6 楼很好很实用哈哈 2010-8-26 08:46 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 7 楼 lz很体贴啊 2010-8-27 11:00 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 8 楼这个很有用 mark一下 2010-8-27 11:16 0
zzzzzzx 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 59 粉丝 0 关注私信	zzzzzzx 9 楼好东西学习下 2010-8-27 16:28 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 10 楼根据pid可以从pspcidtable中找到eprocess 根据handle可以使用ObReferenceObjectByHandle找到eprocess,或者自己实现ObRef,直接从进程HandleTable里边找到eprocess 2010-8-27 19:14 0
落寒雪币： 156 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 79 粉丝 0 关注私信	落寒 11 楼嗯，感谢楼上几位的补充，我也学习了~ 2010-8-28 22:50 0
jokersky 雪币： 132 活跃值： (30) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 189 粉丝 1 关注私信	jokersky 1 12 楼 OBJECT_ATTRIBUTES 这个结构里成员 PUNICODE_STRING ObjectName 这个ObjectName指的是什么？ xx.exe吗？ 2010-10-26 18:16 0
yinning 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 94 粉丝 0 关注私信	yinning 13 楼记一下。这个是好东西。还是新手 2010-10-27 01:00 0
icqking 雪币： 138 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 93 回帖 149 粉丝 0 关注私信	icqking 14 楼 mark..... 2010-10-30 05:37 0
IaaIe 雪币： 93 活跃值： (340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 57 粉丝 1 关注私信	IaaIe 15 楼我也谈谈我对以上内容的理解。这是句柄、句柄表、对象三者间的关系。 PspCidTable是全局的句柄表，用来存放进程、线程对象体，通过进、线程的pid作为索引可以在PspCidTable句柄表中找到pid所属进、线程的对象体（既EPROCESS或ETHREAD）。其次，在进程内部，以handle作为索引，可以在进程的句柄表（ObjectTable）中找到handle代表的对象头，对象头+0x18就可得到对象体。以上内容全部可以通过在windbg下验证。 2010-10-30 10:24 0
寂寞羽毛雪币： 342 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 36 回帖 80 粉丝 0 关注私信	寂寞羽毛 1 16 楼留下脚印... 2010-10-30 18:12 0
寻梦小子雪币： 81 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 65 粉丝 0 关注私信	寻梦小子 1 17 楼标记，以后来看。。谢谢 2010-10-30 18:15 0
xiongyifly 雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	xiongyifly 18 楼标记，以后用 2010-11-9 14:17 0
anyueyue 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	anyueyue 19 楼不错学习了...... 2010-11-9 20:10 0
jacksona 雪币： 53 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 70 粉丝 0 关注私信	jacksona 20 楼不错。加油。mark 2011-1-12 17:48 0
bycon 雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 21 粉丝 1 关注私信	bycon 1 21 楼 MARK一个呵呵会用得着的。 2011-1-15 00:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

落寒

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
寒冰心结雪币： 7992 活跃值： (2566) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 238 粉丝 0 关注私信	寒冰心结 2 楼 4、handle->eprocess 暂未发现直接转换的方法，可由handle->pid->eprocess。这个我来完善吧. st = ObReferenceObjectByHandle (ProcessHandle, PROCESS_TERMINATE, PsProcessType, KeGetPreviousModeByThread(&Self->Tcb), &Process, NULL); 6、eprocess->handle 暂未发现直接转换的方法，可由eprocess->pid->handle。这个也完善下. Status = ObOpenObjectByPointer( Process, Attributes, &AccessState, 0, PsProcessType, PreviousMode, &Handle ); 2010-8-25 17:17 0
splitpants 雪币： 68 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 85 粉丝 0 关注私信	splitpants 3 楼嗯，这个要是能有个系统的总结还是对我等菜鸟比较有帮助的 2010-8-25 17:20 0
stu 雪币： 1259 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 179 粉丝 0 关注私信	stu 4 楼留个记号... 2010-8-25 17:55 0
水晶蜗牛雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 255 粉丝 0 关注私信	水晶蜗牛 5 楼标记，以后学习 2010-8-25 19:02 0
wykkx 雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 87 粉丝 0 关注私信	wykkx 6 楼很好很实用哈哈 2010-8-26 08:46 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 7 楼 lz很体贴啊 2010-8-27 11:00 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 8 楼这个很有用 mark一下 2010-8-27 11:16 0
zzzzzzx 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 59 粉丝 0 关注私信	zzzzzzx 9 楼好东西学习下 2010-8-27 16:28 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 10 楼根据pid可以从pspcidtable中找到eprocess 根据handle可以使用ObReferenceObjectByHandle找到eprocess,或者自己实现ObRef,直接从进程HandleTable里边找到eprocess 2010-8-27 19:14 0
落寒雪币： 156 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 79 粉丝 0 关注私信	落寒 11 楼嗯，感谢楼上几位的补充，我也学习了~ 2010-8-28 22:50 0
jokersky 雪币： 132 活跃值： (30) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 189 粉丝 1 关注私信	jokersky 1 12 楼 OBJECT_ATTRIBUTES 这个结构里成员 PUNICODE_STRING ObjectName 这个ObjectName指的是什么？ xx.exe吗？ 2010-10-26 18:16 0
yinning 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 94 粉丝 0 关注私信	yinning 13 楼记一下。这个是好东西。还是新手 2010-10-27 01:00 0
icqking 雪币： 138 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 93 回帖 149 粉丝 0 关注私信	icqking 14 楼 mark..... 2010-10-30 05:37 0
IaaIe 雪币： 93 活跃值： (340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 57 粉丝 1 关注私信	IaaIe 15 楼我也谈谈我对以上内容的理解。这是句柄、句柄表、对象三者间的关系。 PspCidTable是全局的句柄表，用来存放进程、线程对象体，通过进、线程的pid作为索引可以在PspCidTable句柄表中找到pid所属进、线程的对象体（既EPROCESS或ETHREAD）。其次，在进程内部，以handle作为索引，可以在进程的句柄表（ObjectTable）中找到handle代表的对象头，对象头+0x18就可得到对象体。以上内容全部可以通过在windbg下验证。 2010-10-30 10:24 0
寂寞羽毛雪币： 342 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 36 回帖 80 粉丝 0 关注私信	寂寞羽毛 1 16 楼留下脚印... 2010-10-30 18:12 0
寻梦小子雪币： 81 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 65 粉丝 0 关注私信	寻梦小子 1 17 楼标记，以后来看。。谢谢 2010-10-30 18:15 0
xiongyifly 雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	xiongyifly 18 楼标记，以后用 2010-11-9 14:17 0
anyueyue 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	anyueyue 19 楼不错学习了...... 2010-11-9 20:10 0
jacksona 雪币： 53 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 70 粉丝 0 关注私信	jacksona 20 楼不错。加油。mark 2011-1-12 17:48 0
bycon 雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 21 粉丝 1 关注私信	bycon 1 21 楼 MARK一个呵呵会用得着的。 2011-1-15 00:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复