我们或 Windows 如何识别或区分内核进程和用户/应用程序进程。基于进程的元数据,进程表中的标志或其他。
问问题
38 次
1 回答
0
所有驱动程序与内核的其余部分一起在单个内核进程中运行。
进程 id 0 是“空闲进程”,进程 id 4(在 XP 及更高版本上)是内核“进程”。KPROCESS如果您处于内核模式,您可能可以通过查看(跨版本不稳定)来检测各种类型。您不能OpenProcess在用户模式下运行内核进程,因为它不是正常进程。
如果您想检测Pico /Drawbridge 进程,我已经看到其中的声明SYSTEM_PROCESS_INFORMATION::HandleCount为 0。
我会推荐Windows Internals书籍以获取有关 Windows 内核设计的更多信息。
于 2022-01-19T14:17:18.473 回答