内核中PID_HANDLE_OBJECT等互相转换

阅读目录

• 1.进程pid 转化为 HANDLE
• 2.Handle --------> 转化为 PID
• 3.Pid ------> Object(EPROCESS)
• 4. HANDLE -------------> EPROCESS
• 5.EPROCESS ---------> pid
• 6.EPROCESS --------->HANDLE

目录

• 一丶简介
  • • 1.进程pid 转化为 HANDLE
    • 2.Handle --------> 转化为 PID
    • 3.Pid ------> Object(EPROCESS)
    • 4. HANDLE -------------> EPROCESS
    • 5.EPROCESS ---------> pid
    • 6.EPROCESS --------->HANDLE

一丶简介

在内核中我们一般会使用各种 HANDLE Object 以及 ID等等.
那么有时候就需要互相转换.这里记录一下.

下面以进程为例进行说明.

回到顶部

1.进程pid 转化为 HANDLE

原理就是 跟ring3一样. 使用打开进程的函数来获取HANDLE

核心原理就是在内核中使用 ZwOpenProcess 传入PID 传出一个HANDLE.

代码如下:

    ULONG pid;
	HANDLE hProcessHandle;
	OBJECT_ATTRIBUTES obj;
	CLIENT_ID clientid;
	//必须初始化
	pid = 2378;
	clientid.UniqueProcess = (HANDLE)pid;
	clientid.UniqueThread = 0;
	InitializeObjectAttributes(&obj, 0, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, 0, 0);
	ZwOpenProcess(&hProcessHandle, PROCESS_ALL_ACCESS, &obj, &clientid);
		

此时ProcessHandle就是我们所要的Handle
关于文件你就可以使用 ZwOpenFile or ZwCreateFile 注册表类似.

回到顶部

2.Handle --------> 转化为 PID

Handle转化为PID就要使用跟进程相关的特有API.

如进程则使用 ** ZwQueryInformationProcess ** 遍历进程的基础信息即可得到PID

但是注意,此函数在内核中不能直接使用.因为是未公开的函数.所以我们必须进行声明.并且使用 内核API来动态获取此函数的地址才可以

代码如下:
声明与定义:

typedef NTSTATUS(*PfnZwQueryInformationProcess) (
	__in HANDLE ProcessHandle,
	__in PROCESSINFOCLASS ProcessInformationClass,
	__out_bcount(ProcessInformationLength) PVOID ProcessInformation,
	__in ULONG ProcessInformationLength,
	__out_opt PULONG ReturnLength
	);
 
PfnZwQueryInformationProcess ZwQueryInformationProcess;
 

核心实现,ProcessHandle就是你所获得的句柄.

 
PROCESS_BASIC_INFORMATION ProcessBasicInfor;
	//动态获取.
	UNICODE_STRING UtrZwQueryInformationProcessName =
		RTL_CONSTANT_STRING(L"ZwQueryInformationProcess");
	ZwQueryInformationProcess = 
		(PfnZwQueryInformationProcess)MmGetSystemRoutineAddress(&UtrZwQueryInformationProcessName);
	//check...
	//核心代码
	/*
	1.利用PID
	*/
	PROCESS_BASIC_INFORMATION ProcessBasicInfor;
	ZwQueryInformationProcess(
		ProcessHndle, 
		ProcessBasicInformation,
		(PVOID)&ProcessBasicInfor,
		sizeof(ProcessBasicInfor),
		NULL);
	/*
	ProcessBasicInfor.UniqueProcessId; 则为你所求
	*/

回到顶部

3.Pid ------> Object(EPROCESS)

pid转化为EPROCESS说下原理.

原理就是通过 PsLookUpProcessByProcessId 传入PID.传出EPROCESS.

但是内核中你使用了这个函数. 那么获得的EPROCESS就会引用计数+1根据内核面向对象的设计.你要进行解引用.所以还需要一个API 进行解引用

核心代码如下:

PEPROCESS pEpro;
PsLookUpProcessByProcessId((HANDLE)pid,&pEpro);
ObDereferenceObject(pEpro);
PEpro即为你所求.

回到顶部

4. HANDLE -------------> EPROCESS

这个也是很常用的.在内核编程中.当你获得一个HANDLE 首先就要把其转化为对应的OBJECT对象.

而内核函数也为我们提供了.

如下:

ObReferenceObjectByHandle(ProcessHandle, GENERIC_ALL,*PsProcessType,KernelMode,&pEprocess,NULL);
 

回到顶部

5.EPROCESS ---------> pid

在EPROCESS中本身就记录着PID. 直接获取PID即可.
EPROCESS.UniqueProcessId;

回到顶部

6.EPROCESS --------->HANDLE

这个倒是没有常用.但是内核也提供了API给我们使用

ObOpenObjectByPoint(Process,attributes,&AccessState,0,*PsProcessType,PreviousMode,&Handle);
例子：
HANDLE hProcessHandle = (HANDLE)-1;
	Status = ObOpenObjectByPointer(
		pEprocess,
		OBJ_KERNEL_HANDLE,
		0,
		0,
		*PsProcessType,
		KernelMode,
		&hProcessHandle
	);
	if (!NT_SUCCESS(Status))
	{
		Status = STATUS_UNSUCCESSFUL;
		goto RELEASE;
	}