如何识别 Windows 10 中的内核进程(使用保护环 0 运行的进程)?

【问题标题】:How to indentify kernel processes (processes running with protection ring 0) in Windows 10?如何识别 Windows 10 中的内核进程(使用保护环 0 运行的进程)?
【发布时间】:2022-01-19 12:37:44
【问题描述】:

我们或 Windows 如何识别或区分内核进程和用户/应用程序进程。基于进程的元数据、进程表中的标志或其他。

【问题讨论】:

    标签: windows security operating-system kernel-module cybersource


    【解决方案1】:

    所有驱动程序与内核的其余部分一起在单个内核进程中运行。

    进程 id 0 是“空闲进程”,进程 id 4(在 XP 和更高版本上)是内核“进程”。如果您处于内核模式,您可能可以通过查看KPROCESS 来检测各种类型(跨版本不稳定)。您不能在用户模式下OpenProcess 内核进程,因为它不是正常进程。

    如果您想检测Pico/Drawbridge 进程,我已经看到声称SYSTEM_PROCESS_INFORMATION::HandleCount 在其中为0。

    我会推荐 Windows Internals 书籍以获取有关 Windows 内核设计的更多信息。

    【讨论】:

      猜你喜欢
      • 2014-06-20
      • 1970-01-01
      • 2021-11-28
      • 1970-01-01
      • 1970-01-01
      • 2017-08-07
      • 2015-01-27
      • 2013-02-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode