0

是否有任何来源可以找到_EPROCESS结构中每个字段的详细信息?我正在做一个VM内省项目,我试图获取每个正在运行的进程的详细信息。我可以读取每个字段的数据,但我真的不知道这些字段代表什么。我找不到任何解释这些字段的链接,可能是因为Windows是封闭源OS

我知道我可能无法找到每个字段的详细信息,但如果我能至少获得其中的一些,这对我真的很有帮助。

4

1 回答 1

1

EPROCESS 是操作系统内核内部的一个结构,并且在各个 Windows 版本中发生了很大变化。这是没有记录的另一个原因。如果你把你感兴趣的领域写下来可能会更好。也许有人会知道它们的含义。在某些情况下,可以从他们的名字中猜出含义。

还要记住,对某些字段的访问可能会通过锁同步,因此您在读取它们时可能会收到不一致的数据而没有获取锁。

如果您对通过某些内核 API(例如例程)可用的信息感兴趣PSXxx,您可以反转 API 并将它们的引用解码为 EPROCESS 和其他结构。

于 2016-09-08T20:30:46.300 回答