LYSHARK

摘要： 内核枚举进程使用`PspCidTable` 这个未公开的函数，它能最大的好处是能得到进程的EPROCESS地址，由于是未公开的函数，所以我们需要变相的调用这个函数，通过`PsLookupProcessByProcessId`函数查到进程的EPROCESS，如果`PsLookupProcessByProcessId`返回失败，则证明此进程不存在，如果返回成功则把EPROCESS、PID、PPID、进程名等通过DbgPrint打印到屏幕上。 阅读全文