一丶简介

在内核中我们一般会使用各种 HANDLE Object 以及 ID等等.

那么有时候就需要互相转换.这里记录一下.

下面以进程为例进行说明.

1.进程pid 转化为 HANDLE

原理就是 跟ring3一样. 使用打开进程的函数来获取HANDLE

核心原理就是在内核中使用 ZwOpenProcess 传入PID 传出一个HANDLE.

代码如下:

    ULONG pid;

	HANDLE hProcessHandle;

	OBJECT_ATTRIBUTES obj;

	CLIENT_ID clientid;

	//必须初始化

	pid = 2378;

	clientid.UniqueProcess = (HANDLE)pid;

	clientid.UniqueThread = 0;

	InitializeObjectAttributes(&obj, 0, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, 0, 0);

	ZwOpenProcess(&hProcessHandle, PROCESS_ALL_ACCESS, &obj, &clientid);

此时ProcessHandle就是我们所要的Handle

关于文件你就可以使用 ZwOpenFile or ZwCreateFile 注册表类似.

2.Handle --------> 转化为 PID

Handle转化为PID就要使用跟进程相关的特有API.

如进程则使用 ** ZwQueryInformationProcess ** 遍历进程的基础信息即可得到PID

但是注意,此函数在内核中不能直接使用.因为是未公开的函数.所以我们必须进行声明.并且使用 内核API来动态获取此函数的地址才可以

代码如下:

声明与定义:

typedef NTSTATUS(*PfnZwQueryInformationProcess) (

	__in HANDLE ProcessHandle,

	__in PROCESSINFOCLASS ProcessInformationClass,

	__out_bcount(ProcessInformationLength) PVOID ProcessInformation,

	__in ULONG ProcessInformationLength,

	__out_opt PULONG ReturnLength

	);

PfnZwQueryInformationProcess ZwQueryInformationProcess;

核心实现,ProcessHandle就是你所获得的句柄.



PROCESS_BASIC_INFORMATION ProcessBasicInfor;

	//动态获取.

	UNICODE_STRING UtrZwQueryInformationProcessName =

		RTL_CONSTANT_STRING(L"ZwQueryInformationProcess");

	ZwQueryInformationProcess =

		(PfnZwQueryInformationProcess)MmGetSystemRoutineAddress(&UtrZwQueryInformationProcessName);

	//check...

	//核心代码

	/*

	1.利用PID

	*/

	PROCESS_BASIC_INFORMATION ProcessBasicInfor;

	ZwQueryInformationProcess(

		ProcessHndle,

		ProcessBasicInformation,

		(PVOID)&ProcessBasicInfor,

		sizeof(ProcessBasicInfor),

		NULL);

	/*

	ProcessBasicInfor.UniqueProcessId; 则为你所求

	*/

3.Pid ------> Object(EPROCESS)

pid转化为EPROCESS说下原理.

原理就是通过 PsLookUpProcessByProcessId 传入PID.传出EPROCESS.

但是内核中你使用了这个函数. 那么获得的EPROCESS就会引用计数+1根据内核面向对象的设计.你要进行解引用.所以还需要一个API 进行解引用

核心代码如下:

PEPROCESS pEpro;

PsLookUpProcessByProcessId((HANDLE)pid,&pEpro);

ObDereferenceObject(pEpro);

PEpro即为你所求.

4. HANDLE -------------> EPROCESS

这个也是很常用的.在内核编程中.当你获得一个HANDLE 首先就要把其转化为对应的OBJECT对象.

而内核函数也为我们提供了.

如下:

ObReferenceObjectByHandle(ProcessHandle, GENERIC_ALL,*PsProcessType,KernelMode,&pEprocess,NULL);

5.EPROCESS ---------> pid

在EPROCESS中本身就记录着PID. 直接获取PID即可.

EPROCESS.UniqueProcessId;

6.EPROCESS --------->HANDLE

这个倒是没有常用.但是内核也提供了API给我们使用

ObOpenObjectByPoint(Process,attributes,&AccessState,0,*PsProcessType,PreviousMode,&Handle);

最新文章

  1. modelsim(3) - tips(zt)
  2. ubuntu12.04网络配置
  3. git/ssh捋不清的几个问题
  4. Instuments工具
  5. Ubuntu Server安装图形界面全过程
  6. BCP 命令
  7. Redis主从同步介绍
  8. UI5_UINavigation传值
  9. (转)RabbitMQ消息队列(七):适用于云计算集群的远程调用(RPC)
  10. Sass中的Map 详解
  11. MyEclipse8.6安装svn(非link方式)
  12. Java 图片切圆角,消除锯齿
  13. iOS 在特定页面 界面旋转
  14. python新手之一环境安装
  15. java窗口按钮位置设置
  16. EF CodeFirst方式 Fluent Api配置
  17. 还原真实,javascript之预编译 / 预解析
  18. Oracle创建表sql语句
  19. 用Fiddler可以设置浏览器的UA 和 手动 --Chrome模拟手机浏览器(iOS/Android)的三种方法,亲测无误!
  20. 第六章 函数、谓词、CASE表达式 6-2 谓词

热门文章

  1. 【转载】C#中List集合使用Reverse方法对集合中的元素进行倒序反转
  2. linux时间格式
  3. viewer与 iview Carousel(走马灯) 结合使用,图片无法显示
  4. python(数据精度处理)
  5. ViewBag---MVC3中 ViewBag、ViewData和TempData的使用和差别-------与ViewBag+Hashtable应用例子
  6. 计算机网络原理,TCP&UDP
  7. CentOS7- ABRT has detected 1 problem(s). For more info run: abrt-cli list --since 1548988705
  8. 基于ATtiny85微控制器制作一款四通道温度计
  9. 201671030116 宋菲菲 实验十四 团队项目评审&课程学习总结
  10. 接口测试工具soapUI