是否有任何来源可以找到_EPROCESS结构中每个字段的详细信息?我正在进行VM内省项目,在那里我尝试获取每个运行过程的详细信息。我可以读取每个字段的数据,但我真的不知道这些字段代表什么。我找不到任何解释这些字段的链接,可能是因为Windows是一个封闭的来源OS。
我知道我可能无法找到每个字段的详细信息,但如果我至少可以获得其中一些字段,那将对我有所帮助。
答案 0 :(得分:1)
EPROCESS是一个非常内置于操作系统内核的结构,并且在各个Windos版本中发生了很大的变化。这是为什么没有记录的另一个原因。如果你写下你感兴趣的领域可能会更好。也许,有人会知道它们的含义。在某些情况下,可以从他们的名字中猜出其含义。
请记住,可以通过锁同步访问某些字段,这样您在读取它们时可能会收到不一致的数据而不获取锁定。
如果您对通过某些内核API(例如<li><a href="/panel">Home</a></li>
{% for path in breadcrumbs['path'] %}
<li><a href="/panel/{{ breadcrumbs.directory[loop.index0] }}">{{ path }}</a></li>
{% endfor %}
</li>
例程)提供的信息感兴趣,您可以反转API并将其引用解码为EPROCESS和其他结构。