添加一个Command1.一个List1,代码: Private Type PROCESS_HANDLE_TABLE_ENTRY_INFO HandleValue As Long HandleCount As Long PointerCount As Long GrantedAccess As Long ObjectTypeIndex As Long HandleAttributes As Long Reserved As Long End Type Private Type PROCESS_H…

简述 Ring3用户态下查看进程信息的基本方法 代码样例 #include <cstdio> #include <iostream> #include <cstdlib> #include <tchar.h> #include <Windows.h> #include <TlHelp32.h> //Windows.h头文件必须包含在TlHelp32.h之前 using namespace std; int main(void) { L…

在学习笔记(1)中,我们学习了IRP的数据结构的相关知识,接下来我们继续来学习内核中很重要的另一批数据结构: EPROCESS/KPROCESS/PEB.把它们放到一起是因为这三个数据结构及其外延和windows中进程的表示关系密切,我们在做进程隐藏和进程枚举的时候一定会涉及到这3类数据结构,所以这里有必要及时做一下总结,做个学习笔记,理清思路. 1. 相关阅读材料 <windows 内核原理与实现> --- 潘爱民 <深入解析windows操作系统(第4版,中文版)> --- 潘…

当一个进程被初始化时,系统要为它分配一个句柄表.该句柄表只用于内核对象 ,不用于用户对象或GDI对象. 创建内核对象 当进程初次被初始化时,它的句柄表是空的.然后,当进程中的线程调用创建内核对象的函数时,比如CreateFileMapping,内核就为该对象分配一个内存块,并对它初始化.这时,内核对进程的句柄表进行扫描,找出一个空项.由于表 3 - 1中的句柄表是空的,内核便找到索引1位置上的结构并对它进行初始化.该指针成员将被设置为内核对象的数据结构的内存地址,访问屏蔽设置为全部访问权,同时,…

总结: 1.句柄就是进程句柄表中的索引.2.句柄是对进程范围内一个内核对象地址的引用,一个进程的句柄传给另一个进程是无效的.一个内核对象可用有多个句柄.Windows之所以要设立句柄,根本上源于内存管理机制的问题,即虚拟地址.简而言之数据的地址需要变动,变动以后就需要有人来记录.管理变动,因此系统用句柄来记载数据地址的变更. 当一个进程被初始化时,系统要为它分配一个句柄表.该句柄表只用于内核对象 ,不用于用户对象或 GDI 对象. .第一个句柄索引为4,第二个是8. 创建内核对象 当进程初次被初…

原文发表于百度空间,2009-02-28========================================================================== 句柄是Windows对象管理中引入的一个东西,它的实际意义是对象在句柄表中的索引.Windows2000使用的是固定的三层句柄表,而WindowsXP和Windows2003都是使用的动态可扩展的三层句柄表,这是一种很优秀的结构,易扩展,且查找迅速,值得学习.通常情况下每个进程的句柄表都是一级表,当句柄数超过…

转载:https://blog.csdn.net/u012372584/article/details/78740365 1.   BOOL DuplicateHandle(   HANDLE hSourceProcessHandle,   HANDLE hSourceHandle,   HANDLE hTargetProcessHandle,   LPHANDLE lpTargetHandle,   DWORD dwDesiredAccess,   BOOL bInheritHandle,  …

在上一篇文章<驱动开发:内核枚举DpcTimer定时器>中我们通过枚举特征码的方式找到了DPC定时器基址并输出了内核中存在的定时器列表,本章将学习如何通过特征码定位的方式寻找Windows 10系统下面的PspCidTable内核句柄表地址. 首先引入一段基础概念: 1.在windows下所有的资源都是用对象的方式进行管理的(文件.进程.设备等都是对象),当要访问一个对象时,如打开一个文件,系统就会创建一个对象句柄,通过这个句柄可以对这个文件进行各种操作. 2.句柄和对象的联系是通过句柄表来进…

要编写一个类似于 Windows 任务管理器的软件,首先遇到的问题是如何实现枚举所有进程.暂且不考虑进入核心态去查隐藏进程一类的,下面提供几种方法.请注意每种方法的使用局限,比如使用这些 API 所需要的操作系统是什么(尤其是是否能在 Windows Mobile 下使用). 本文参考用户态枚举进程的几种方法,原文对于每一种方法都给出了完整的代码,被我照抄下来.还有一篇:如何用 Win32 APIs 枚举应用程序窗口和进程.基于我现学现卖的本质,对我演绎的部分请抱着批判的眼光来看,另外代码也没有…

句柄表跟内核对象 一丶什么是句柄表什么是内核对象. 1.句柄表的生成 我们知道.我们使用CreateProcess 的时候会返回一个进程句柄.以及线程句柄. 其实在调用CreateProcess的时候.内核中会新建一个EPROCESS结构来存储我们的进程信息. 例如如下图: 但是有一个问题.怎么给三环使用.难道直接返回EPROCESS? 其实不是这样的. 第一EPROCESS在高两G. 三环程序是不可以访问的.所以返回的地址是高两G所以不能使用. 但是为了解决这一问题. windows创建了一个…

原来在Win7下Visual Studio跑的好好的程序,现在在Win8下编译报“无法注册程序集***dll- 拒绝访问.请确保您正在以管理员身份运行应用程序.对注册表项”***“的访问被拒绝.”的错误.报错信息明面上看是让你用管理员身份运行Visual Studio,然后打开工程编译就好了.但总觉得这种方法不如直接双击“sln”文件来的舒服. 话说这就引来win8的脑残管理员权限问题,因为win8的这个毛病,不止VS会报各种错,连安装程序等一系列的事情,系统都会各种要管理员权限才能执行,实在太…

在windows系统下如果想要枚举指定进程的窗体,我们可以通过EnumWindows加上自己实现的回调函数进行实现,那么在linux下该如何做呢? 其实也很简单,在linux下,我们可以通过xlib中提供的API进行实现,关于xlib后面会专门写一篇文章讲解. 一.实现思路 从root窗体开始逐层遍历每一个窗体,将这些窗体所属进程与给定进程比较从而进行筛选. 二.实现代码 #include <X11/Xlib.h> #include <X11/Xatom.h> #include &…

原文发表于百度空间,2009-03-30========================================================================== 阅读提示:由于继续使用了chichou同学的CodeHighlighter来修饰代码,造成文章字数过多,故分成三篇,且后两篇内容的顺序稍有调整,阅读时请根据大标题的顺序来~ 前置知识:Windows句柄表的基本结构本文以WRK1.2的代码为参考,主要分析Windows句柄表的分配算法,其实只要了解了句柄表的结…

原文发表于百度空间,2009-03-31========================================================================== 理论结合实践,这是我一贯的学习方法~~实验目的:以实验的方式观察PspCidTable的变化,从中了解Windows句柄表的分配过程.实验器材:Windbg,RunIt(一个可控的不断创建线程的程序),DebugView知识回顾: 如图所示,句柄表的结构根据TableLevel来确定:TableLevel为0…

写在前面   此系列是本人一个字一个字码出来的,包括示例和实验截图.由于系统内核的复杂性,故可能有错误或者不全面的地方,如有错误,欢迎批评指正,本教程将会长期更新. 如有好的建议,欢迎反馈.码字不易,如果本篇文章有帮助你的,如有闲钱,可以打赏支持我的创作.如想转载,请把我的转载信息附在文章后面,并声明我的个人信息和本人博客地址即可,但必须事先通知我. 你如果是从中间插过来看的,请仔细阅读 羽夏看Win系统内核--简述 ,方便学习本教程.   看此教程之前,问几个问题,基础知识储备好了吗?保护模式…

前言   这篇安装教程的素材在国庆就准备好了,但那时学习任务比较重,没有时间发帖,一直拖到现在.趁这个周末有空,赶紧写完它,希望能帮助一些景友. 论坛已经有不少安装教程,如果对这篇安装教程有疑问可以去看看他们的,他们写得很不错.看到此贴有错误的地方,欢迎纠正. 在教程开始前,首先声明以下机油不适合安装黑苹果: 1,AMD的处理器 [内核原生不支持],如果非要安装请参考集合帖AMD相关教程 2,带intel 核显/集显的笔记本电脑,但不是HD3000或者HD4000. 3,显卡为A卡3系列及以下的…

C#依据进程名称获取进程的句柄或C#怎样获取其它进程的句柄? 有时候标题名是动态变化的,所以不使用FindWindow方法! [StructLayout(LayoutKind.Sequential)]     public struct ProcessEntry32     {       public uint dwSize;       public uint cntUsage;       public uint th32ProcessID;       public IntPtr th3…

解决chrome浏览器在win8下没有注册类的问题 新建一个txt,里面存放代码 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ChromeHTML\shell\open\command] @="\"C:\\Program Files (x86)\\Google\\Chrome\\Application\\chrome.exe\" -- \"%1\"&qu…

C#根据进程名称获取进程的句柄或C#如何获取其他进程的句柄? 有时候标题名是动态变化的,所以不使用FindWindow方法! [StructLayout(LayoutKind.Sequential)]     public struct ProcessEntry32     {       public uint dwSize;       public uint cntUsage;       public uint th32ProcessID;       public IntPtr th3…

PspCidTable存放着系统中所有的进程和线程对象,其索引也就是进程ID(PID)或线程ID(TID).先通过它来看看windbg里的HANDLE_TABLE结构: 可以看到地址 0x83f41bc4中存放的内容是 0x 8da010a8,这是系统的_HANDLE_TABLE的结构. 好了,现在windbg是得到HANDLE_TABLE结构了,还是要代码实现的.这里只简单用一下加偏移: //system进程的eprocess地址 PEPROCESS EProcess = (PEPROCESS…

前言 该文转载自远景论坛,发布时间2012年,仅供学习参考 这篇安装教程的素材在国庆就准备好了,但那时学习任务比较重,没有时间发帖,一直拖到现在.趁这个周末有空,赶紧写完它,希望能帮助一些景友. 论坛已经有不少安装教程,如果对这篇安装教程有疑问可以去看看他们的,他们写得很不错.看到此贴有错误的地方,欢迎纠正. 在教程开始前,首先声明以下机油不适合安装黑苹果: 1,AMD的处理器 [内核原生不支持],如果非要安装请参考集合帖AMD相关教程2,带intel 核显/集显的笔记本电脑,但不是HD3000…

.Net下你不得不看的分表分库解决方案-多字段分片 介绍 本期主角:ShardingCore 一款ef-core下高性能.轻量级针对分表分库读写分离的解决方案,具有零依赖.零学习成本.零业务代码入侵 dotnet下唯一一款全自动分表,多字段分表框架,拥有高性能,零依赖.零学习成本.零业务代码入侵,并且支持读写分离动态分表分库,同一种路由可以完全自定义的新星组件,通过本框架你不但可以学到很多分片的思想和技巧,并且更能学到Expression的奇思妙用 你的star和点赞是我坚持下去的最大动力,一起…

1.应用场景 在Windows或者linux操作系统中,我们在启动一个tomcat服务器时,经常会发现8080端口已经被占用的错误,而我们又不知道如何停止这个tomcat服务器. 2.window环境下杀死进程 1.首先查找到占用8080端口的进程号PID是多少(tomcat默认是8080端口,假如你修改了tomcat的监听端口,请输入你的tomcat端口号) netstat -ano | findstr 8080 这个命令输出的最后一列表示占用8080端口的进程号是多少,假设为9572 2.k…

一,关于win8下安装Oracle 11gR2 1.我下载的是Oracle_11gR2_win64.其中有两个包: 注意:在解压了之后将:win64_11gR2_database_2of2\database\stage\Compenets\*  即,将第二个下的\database\stage\Components\*所有内容拷贝到win64_11gR2_database_1of2对应的目录下 2.我的系统是win8.1:先前试过Oracle10,安装过程很麻烦,出现了很多问题,所以用了11g 3…

在win8下安装matlab7.0会出现一些兼容性的问题,需要设置系统环境变量,修改方式如下. 1.设置环境变量,方法:在你的安装目录的\MATLAB7\bin\win32有一个叫做atlas_Athlon.dll的文件,复制它的地址(如:E:\MATLAB7\bin\win32\atlas_Athlon.dll),我的电脑上右击点"属性",再在"高级"中点"环境变量",在"系统变量"中点击"新建" ,输入…

像装软件一样装系统 Win8下怎么装Win7 首先,你需要一个Windows7的ISO镜像文件,非ghost版本 一般选中ISO文件,点反键在弹出菜单中以“装载”或“window资源管理器”方式打开 在重启过程中,曾出现“无法验证文件数字签名解决办法” 按F1进入BIOS, 选择Security-->UEFI/Legacy Boot按 Enter 选择 "Both" ,F10保存…

终于成功在win8下安装成功ubuntu13.10, 安装方法来源于http://forum.ubuntu.org.cn/viewtopic.php?t=446557 下面的文件是该楼主的将安装ubuntu的方法整理好的pdf. 链接: http://pan.baidu.com/s/1pJLMLpL 密码: okks 另外参考http://wenku.baidu.com/link?url=tjIqZtQ07nI4gy_zI1nQ1sKk81IUYn01xtRFjLw3_bXs7z4-O1t0Yj…

今天在写代码的时候,心血来潮对原来的字符串保存状态位的方式很不满意,对于代码里出现了 state == "1" 这样的状态判断很是不爽.那么理想中的判断是怎样的呢?很简单如你所想枚举类型. public enum FormSate { View, Modify } State == FormSate.View; 和"1"这样的硬代码比较起来,上面的代码看起来可读性很强. .NET 枚举的应用分析 接下来,自然而然的会出现在ORM操作中,对于一个数据Model,我们需…

原文:Win8下在Vmware11中安装使用苹果系统OS X 10.10   近来因为需要做 iOS 的项目,所以需要多花一些时间看看敲敲代码.因为自己手头上并没有 Mac(过年为了闲的时候能玩玩游戏买了联想,唉),想想不能只靠每天在公司的时间练 demo 吧,那样学的太慢了,所以就想着在 Win8 下装个 Mac 试试.装 Mac 有两个选择,一个是双系统,这个我查了查,发现我的型号的笔记本驱动问题太多,再加上我已经装了 Ubuntu 双系统,怕自己搞出大问题来,所以放弃.如果你想装双系统的话…

如何修改Window系统下PATH路径   //其实这个都是临时性的, 退出dos窗口就没有用了,只是做个笔记罢了   C:\Users\Administrator>    set path=E:\JBuilder2005\jdk1.4\bin;%path%    命令行输入 cd c:\ 回车然后 cd C:\DRIVERS\WINAIA 回车基本的DOS命令,看能不能帮到你.   win8下masm32V11,我的系统是win8  64位的,但是根本运行不了16位的汇编程序,必须换个环境,听…