据微软公开文献解释到

这种结构包含了特定于 Windows 子系统（Csrss）的进程信息。也就是说，只有 Windows 应用程序才有与之关联的结构（例如，会话管理器进程 Smss 就没有这样的结构）。
此外，由于每个会话都有其独立的 Windows 子系统实例，这些结构是由每个单独会话内的 Csrss 进程来维护的。
这个结构体在多个版本Windows更新中依旧很稳定

既然微软提供了文献,那我们就可以利用其遍历进程
第一步 我们要了解_CSR_PROCESS结构从哪里得到?
根据资料中提到,其位于 CSRSRV.dll下的全局参数 "CsrRootProcess"

那么这个CsrRootProcess里面第一个值就是CSRSS进程的_CSR_PROCESS结构体,由此我们可以先附加上CSRSS进程,然后找出CSRSRV.dll模块,然后找到CsrRootProcess即可得到结构体

结构体内容如下:

通过获取特定结构体，我们可以访问所需的信息。例如，对于存储在每个进程中的链表，其位置处于每个 _CSR_PROCESS 结构体的 0x10 偏移处。每个 CSRSS 实例内部都维护着这样一个结构体链表。因此，要获取这些信息，您需要遍历所有 CSRSS 实例中的结构体链表。如果有多个 CSRSS.exe 进程，则对每个进程重复这一操作流程。整个过程相对直接。

_CSR_PROCESS结构体用于存储特定于Windows应用程序的进程信息，包括客户端ID、线程列表、关联的NT会话结构指针等重要成员。该结构体位于CSRSRV.dll模块下的全局参数CsrRootProcess中，其中第一个值即为CSRSS进程的_CSR_PROCESS结构体。
通过附加到CSRSS进程，并定位CSRSRV.dll模块中的CsrRootProcess，即可获取到_CSR_PROCESS结构体，从而开始遍历与之相关的进程信息。
_CSR_NT_SESSION结构体则包含了关于NT会话的信息，如会话ID、引用计数以及根目录信息等。此结构体与_CSR_PROCESS结构体相关联，共同维护了Windows子系统的会话管理信息。
遍历所有由Csrss实例维护的进程链表时，需注意对于每个Csrss.exe实例重复这一过程，特别是当存在多个这样的实例时。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课