摘要:
继续上一篇(2)未完成的研究,我们接下来学习 KPROCESS这个数据结构。1. 相关阅读材料《深入理解计算机系统(原书第2版)》二. KPROCESSKPROCESS,也叫内核进程块。我们在开始学习它的数据机构之前,首先要思考的一个问题是,它和EPROCESS名字感觉差不多,那它们之间是什么关系呢?它们在内核区域中都位于那一层呢?我们先来看一张图:windows内核中的执行体负责各种与管理和策略相关的的功能(在学习笔记(2)有相关的介绍)。而内核层(或微内核)实现了操作系统的"核心机制"。进程和线程在这"两"层上都有对应的数据结构。甚至EPROCESS 阅读全文
摘要:
在学习笔记(1)中,我们学习了IRP的数据结构的相关知识,接下来我们继续来学习内核中很重要的另一批数据结构: EPROCESS/KPROCESS/PEB。把它们放到一起是因为这三个数据结构及其外延和windows中进程的表示关系密切,我们在做进程隐藏和进程枚举的时候一定会涉及到这3类数据结构,所以这里有必要及时做一下总结,做个学习笔记,理清思路。1. 相关阅读材料《windows 内核原理与实现》 --- 潘爱民《深入解析windows操作系统(第4版,中文版)》 --- 潘爱民《Windows核心编程(第四版)》中文版首先我们来看一张windows的内核分布图,我们之后要讲的执行体和内核层都 阅读全文