PsGetCurrentProcess 得到当前进程结构 返回PEPROCESS数据结构
NtCurrentProcess 得到当前进程句柄
IoGetCurrentProcess 得到当前线程 该函数会得到一个PEPROCESS数据结构 记录进程的信息,其中包括进程名。
线程
PsCreateSystemThread 创建线程
该函数可以创建两种线程,一种是用户线程,一种是系统线程。用户线程是属于当前进程中的线程。当前进程指的是当前I/O操作的发起者。如果IRP_MJ_READ的派遣函数中调用PsCreateSystemThread函数创建用户线程,新线程就属于调用ReadFile的进程。
系统线程不属于当前用户进程,而属于系统进程。系统进程是操作系统中一个特殊的进程。这个进程的ID一般为4.
PsTerminateSystemThread 结束线程(必须使用不然线程无法退出)
堆申请内存
ExAllocatePool
ExAllocatePoolWithTag
ExAllocatePoolWithQuota
ExAllocatePoolWithQuotaTag
ExFreePool 释放内存
ExFreePoolWithTag 释放内存
内存复制比较
RtlCopyMemory 复制内存(不可复制重叠区域)
RtlMoveMemory 复制内存(可复制重叠区域)
RtlFillMemory 填充内存
RtlZeroMemory 内存填充零
RtlEqualMemory 内存比较
内存检测
ProbeForRead 内存是否可读
ProbeForWrite 内存是否可写
