Windows _EPROCESS 구조체

Question

_EPROCESS 구조의 각 필드에 대한 세부 정보를 찾을 수있는 소스가 있습니까? 나는 각각의 실행중인 프로세스에 대한 상세한 정보를 얻기 위해 VM 내성 프로젝트를 진행하고있다. 각 입력란의 데이터를 읽을 수는 있지만 그 입력란이 무엇을 나타내는 지 실제로 알지 못합니다. 해당 필드를 설명하는 링크를 찾을 수 없습니다. 아마도 Windows이 폐쇄 소스 인 OS이기 때문일 수 있습니다.

각 필드의 세부 정보를 찾을 수 없을 수도 있지만 적어도 일부 정보를 얻을 수 있다면 정말 도움이 될 것입니다.

Answer 1

EPROCESS는 운영체제 커널 내부의 구조이며 개별 Windos 버전을 상당히 많이 변경합니다. 이것이 문서화되지 않은 또 다른 이유입니다. 관심있는 분야를 적어 두는 것이 더 나을 것입니다. 아마 누군가는 그들의 의미를 알 것입니다. 어떤 경우에는 그 의미에서 그 이름의 의미를 추측 할 수 있습니다.

특정 필드에 대한 액세스가 잠금을 통해 동기화 될 수 있으므로 잠금을 획득하지 않고 읽을 때 일관성없는 데이터가 수신 될 수 있습니다.

특정 커널 API (예 : PSXxx 루틴)를 통해 사용할 수있는 정보에 관심이있는 경우 API를 리버스하여 EPROCESS 및 기타 구조로 참조를 디코딩 할 수 있습니다.