摘要:
http://bbs.pediy.com/showthread.php?t=150284这几天想了解下神秘的进程csrss,在学习和了解的过程中就写下了自己对csrss进程的理解。 Csrss(客户端/服务器运行时子系统)是Win32子系统的用户模式部分,在桌面管理、终端登录、控制台管理、错误报告报告和DOS虚拟机等方面起着重要作用,另外还监控着系统内所有Win32子系统进程和线程的运行,进程的创建与退出,都需要通知Csrss。图1是用内核工具xuetr观察Csrss进程加载的模块。(以下的分析环境为xpsp232位)图1 由图1中我们可以知道Csrss进程除了加载诸如Kernel32,n.. 阅读全文
摘要:
http://hi.baidu.com/_achillis/item/98003737be6760f2a9842817 今天写程序,用ZwQuerySystemInformation枚举系统中的文件句柄时出了问题,死活一个都找不到,可是这明显不可能啊?于是用Process Explorer随便找了个文件句柄对象,然后看了它的OBJECT_TYPE,才发现文件句柄的类型索引应为28,而我用的是炉子给的那个SYSTEM_HANDLE_TYPE表,里面给的值却是26!怪不得一个也找不到呢。于是,就花了点时间把这个类型索引给修正了一下,并且把几个UNKNOW的给补充了出来,以后用起来就方便了嘛~所谓. 阅读全文
摘要:
typedef struct _SYSTEM_HANDLE_INFORMATION{ ULONG ProcessId; UCHAR ObjectTypeNumber; UCHAR Flags; USHORT Handle; PVOID Object; ACCESS_MASK GrantedAccess;} SYSTEM_HANDLE_INFORMATION>请问ObjectTypeNumber这个值的定义,如0x1c代表什么,0x05又代表什么? 打开的对象的类型,0x05是偏移5 #define OB_TYPE_INDEX_TYPE 1 // [ObjT]... 阅读全文