Имеется скрытый процесс (простым изменением NextEntryDelta в SYSTEM_PROCESS). Можно ли получить структуру SYSTEM_PROCESS этого самого процесса? ЗЫ: имеется PID и Handle этого процесса. Будет офигенно если ещё с примерами. заранее благодарен
Что-то не догнал я. Может EPROCESS? Код (Text): ObReferenceObjectByHandle(hProc,0,0,KernelMode,&eprocess,NULL);
Не именно SYSTEM_PROCESS, тот что через ZwQuerySystemInformation(5, ....); KernelMode - что это за параметр, и дайте посмотреть на EPROCESS. Может и она сгодиться. ObReferenceObjectByHandle - и её прототип, чё-то не нахожу у себя. Наверное плохо ищу.
EPROCESS, как ты знаешь, разный для 2000, ХР и 2003. Все есть в KmdKit. Вот для ХР: Код (Text): EPROCESS STRUCT ; sizeof = 258h Pcb KPROCESS <> ; 0000h ProcessLock EX_PUSH_LOCK <> ; 006ch CreateTime LARGE_INTEGER <> ; 0070h ExitTime LARGE_INTEGER <> ; 0078h RundownProtect EX_RUNDOWN_REF <> ; 0080h UniqueProcessId DWORD ? ; 0084h ActiveProcessLinks LIST_ENTRY <> ; 0088h QuotaUsage DWORD 3 dup(?) ; 0090h QuotaPeak DWORD 3 dup(?) ; 009ch CommitCharge DWORD ? ; 00a8h PeakVirtualSize DWORD ? ; 00ach VirtualSize DWORD ? ; 00b0h SessionProcessLinks LIST_ENTRY <> ; 00b4h DebugPort PVOID ? ; 00bch ExceptionPort PVOID ? ; 00c0h ObjectTable PVOID ? ; 00c4h PTR HANDLE_TABLE Token EX_FAST_REF <> ; 00c8h WorkingSetLock FAST_MUTEX <> ; 00cch WorkingSetPage DWORD ? ; 00ech AddressCreationLock FAST_MUTEX <> ; 00f0h HyperSpaceLock DWORD ? ; 0110h ForkInProgress PVOID ? ; 0114h PTR ETHREAD HardwareTrigger DWORD ? ; 0118h VadRoot PVOID ? ; 011ch VadHint PVOID ? ; 0120h CloneRoot PVOID ? ; 0124h NumberOfPrivatePages DWORD ? ; 0128h NumberOfLockedPages DWORD ? ; 012ch Win32Process PVOID ? ; 0130h Job PVOID ? ; 0134h PTR EJOB SectionObject PVOID ? ; 0138h SectionBaseAddress PVOID ? ; 013ch QuotaBlock PVOID ? ; 0140h PTR EPROCESS_QUOTA_BLOCK WorkingSetWatch PVOID ? ; 0144h PTR PAGEFAULT_HISTORY Win32WindowStation PVOID ? ; 0148h InheritedFromUniqueProcessId PVOID ? ; 014ch LdtInformation PVOID ? ; 0150h VadFreeHint PVOID ? ; 0154h VdmObjects PVOID ? ; 0158h DeviceMap PVOID ? ; 015ch PhysicalVadList LIST_ENTRY <> ; 0160h union PageDirectoryPte HARDWARE_PTE <> ; 0168h Filler QWORD ? ; 0168h ends Session PVOID ? ; 0170h ImageFileName BYTE 16 dup(?) ; 0174h JobLinks LIST_ENTRY <> ; 0184h LockedPagesList PVOID ? ; 018ch ThreadListHead LIST_ENTRY <> ; 0190h SecurityPort PVOID ? ; 0198h PaeTop PVOID ? ; 019ch ActiveThreads DWORD ? ; 01a0h GrantedAccess DWORD ? ; 01a4h DefaultHardErrorProcessing DWORD ? ; 01a8h LastThreadExitStatus SDWORD ? ; 01ach Peb PVOID ? ; 01b0h PTR PEB PrefetchTrace EX_FAST_REF <> ; 01b4h ReadOperationCount LARGE_INTEGER <> ; 01b8h WriteOperationCount LARGE_INTEGER <> ; 01c0h OtherOperationCount LARGE_INTEGER <> ; 01c8h ReadTransferCount LARGE_INTEGER <> ; 01d0h WriteTransferCount LARGE_INTEGER <> ; 01d8h OtherTransferCount LARGE_INTEGER <> ; 01e0h CommitChargeLimit DWORD ? ; 01e8h CommitChargePeak DWORD ? ; 01ech AweInfo PVOID ? ; 01f0h SeAuditProcessCreationInfo SE_AUDIT_PROCESS_CREATION_INFO <> ; 01f4h Vm MMSUPPORT <> ; 01f8h LastFaultCount DWORD ? ; 0238h ModifiedPageCount DWORD ? ; 023ch NumberOfVads DWORD ? ; 0240h JobStatus DWORD ? ; 0244h union Flags DWORD ? ; 0248h comment ^ recFlags RECORD \ Unused:11, ; bits 21-31 InjectInpageErrors:1, ; bits 20 LaunchPrefetched:1, ; bits 19 HasAddressSpace:1, ; bits 18 OverrideAddressSpace:1, ; bits 17 ProcessInSession:1, ; bits 16 WriteWatch:1, ; bits 15 SessionCreationUnderway:1, ; bits 14 BreakOnTermination:1, ; bits 13 SetTimerResolution:1, ; bits 12 AddressSpaceInitialized:2, ; bits 10-11 HasPhysicalVad:1, ; bits 9 ForkFailed:1, ; bits 8 Outswapped:1, ; bits 7 OutswapEnabled:1, ; bits 6 VmDeleted:1, ; bits 5 Wow64SplitPages:1, ; bits 4 ProcessDelete:1, ; bits 3 ProcessExiting:1, ; bits 2 NoDebugInherit:1, ; bits 1 CreateReported:1 ; bits 0 ^ ends ExitStatus SDWORD ? ; 024ch NextPageColor WORD ? ; 0250h SubSystemMinorVersion BYTE ? ; 0252h SubSystemMajorVersion BYTE ? ; 0253h SubSystemVersion WORD ? ; 0252h PriorityClass BYTE ? ; 0254h WorkingSetAcquiredUnsafe BYTE ? ; 0255h EPROCESS ENDS
