枚举进程——暴力搜索内存（Ring0）

上面说过了隐藏进程，这篇博客我们就简单描述一下暴力搜索进程。

一个进程要运行，必然会加载到内存中，断链隐藏进程只是把EPROCESS从链表上摘除了，但它还是驻留在内存中的。这样我们就有了找到它的方法。

在内核中，传入进程ID，通过ZwOpenProcess得到句柄，再传入句柄，通过ObReferenceObjectByHandle，可以获得EPROCESS,既然获得了EPROCESS，问题就迎刃而解了。

既可以选择用加偏移的方法得到进程名，也可以用PsGetProcessFileName来获取进程名。这样就得到了进程的信息。

所以，我们从0枚举到一个很大的数，比如100000（我们所见过的进程ID没有大过100000的），作为进程ID，为了提高效率，可以只把4的倍数作为进程ID（进程ID都是4的倍数），在Ring3层通过OpenProcess打开，如果得到的句柄不为空，在将其ID传入Ring0层，通过上面的方法，就可以搜索出内存中的所有进程。

下面是关键部分源码：

BOOLEAN
GetProcessImageNameByProcessID(/*IN*/ULONG ulProcessID,/*OUT*/char* szProcessImageName,/*OUT*/ULONG* ulProcessNameLen)
{
    CLIENT_ID Cid;
    HANDLE    hProcess;
    NTSTATUS  Status;
    OBJECT_ATTRIBUTES  oa;
    PEPROCESS  EProcess = NULL;

    Cid.UniqueProcess = (HANDLE)ulProcessID;
    Cid.UniqueThread = ;

    InitializeObjectAttributes(&oa,,,,);

    Status = ZwOpenProcess(&hProcess,PROCESS_ALL_ACCESS,&oa,&Cid);   

    if (!NT_SUCCESS(Status))
    {
        return FALSE;
    }

    Status = ObReferenceObjectByHandle(hProcess,FILE_READ_DATA,,
        KernelMode,&EProcess, );

    if (!NT_SUCCESS(Status))
    {

        ZwClose(hProcess);
        return FALSE;
    }

    ObDereferenceObject(EProcess);       //上面用过ObReferenceObjectByHandle，所以这里要解一次引用计数

    *ulProcessNameLen = strlen((const char*)PsGetProcessImageFileName(EProcess));

    memcpy(szProcessImageName,(const char*)PsGetProcessImageFileName(EProcess),*ulProcessNameLen);
        DbgPrint("%s\r\n",szProcessImageName);

    ZwClose(hProcess);
}