2022年2022年观察进程线程的相关数据结构 .pdf

《2022年2022年观察进程线程的相关数据结构 .pdf》由会员分享，可在线阅读，更多相关《2022年2022年观察进程线程的相关数据结构 .pdf（4页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、目录：一、 查看执行体进程块 (EPROCESS) 二、查看内核进程块 (KPROCESS)三、查看系统中的正在运行的进程四、查看进程的相关信息五、查看线程的相关信息六、查看某个未知的对象一、 查看执行体进程块 (EPROCESS)Windows 进程线程的相关数据结构如下图所示：每个 Windows 进程都有一个执行体进程块(EPROCESS)，它位于系统空间中，记录着与进程相关的很多信息。实验步骤：1) 启动 WinDbg 到内核调试模式。2) 在调试器命令窗口 (Debugger Command window)底行命令输入行 (以“kd”为前缀 ,下面简称“底行命令行” )键入命令“ d

2、t _eprocess ”或“dt _EPROCESS”（命令 dt _eprocess 功能是显示 _eprocess 结构的详细信息，详细用法参见WinDbg 帮助文档），输出如下 (由于EPROCESS 结构中包含的内容过多，在此仅列出一小部分)：我们可以观察到在显示的信息中，最左边一列是十六进制数，表示 EPROCESS 结构中的变量（结构体，指针等）相对与起始地址的偏移量，中间一列为 EPROCESS 结构中的变量名，最右边为变量的类型。例如：第一行中的+0 x000 表示Pcb，即EPROCESS 结构的起始地址， _KPROCESS 为Pcb 的类型。 +0 x094 处的Uni

3、queProcessId 就是平时我们说的 PID，它为一个 32 位系统指针。关于EPROCESS 结构的详细定义可在源文件“.ps.h ”中找到。二、 查看内核进程块 (KPROCESS)在查看执行体进程块 (EPROCESS)时我们看到其中的第一个变量是Pcb，其类型为 _KPROCESS。我们可以通过 dt 命令查看 KPROCESS 实验内容：观察进程线程的相关数据结构华南师范大学计算机学院尹传勇整理2012年8月23日19:13分区 观察进程线程的相关数据结构的第 1 页名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - -

4、 名师精心整理 - - - - - - - 第 1 页，共 4 页 - - - - - - - - - 在查看执行体进程块 (EPROCESS)时我们看到其中的第一个变量是Pcb，其类型为 _KPROCESS。我们可以通过 dt 命令查看 KPROCESS 中的内容。实验步骤：在底行命令行键入命令“ dt _kprocess ”或“dt _KPROCESS”，输出如下（未列出全部内容）：关于 KPROCESS 结构的详细定义可在源文件“.ke.h ”中找到。通过查看源文件我们可以看出，KPROCESS 的结构跟上图中我们利用 WinDbg 查看到的结果是一致的。三、 查看系统中的正在运行的进程

5、实验步骤：1）在底行命令行键入命令“!process 0 0”，可以显示出当前系统中所有进程的基本信息。如下图：Cid 在内核中是 Client id 的意思，其实就是进程的 Pid 号，这里 Cid 号是以十六进制来表示的。以上图最后一个进程(Image:explorer.exe)为例，我们可以用命令“ .formats ”将它转换为十进制，在底行命令行键入命令“ .formats 0 x0464 ”,显示结果如下：2）在底行命令行键入命令“g”，或者点击菜单“ Debug- Go ”，使虚拟机恢复运行，打开虚拟机中windows 系统任务管理器查看进程的信息，如下图：分区 观察进程线程的相

6、关数据结构的第 2 页名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 4 页 - - - - - - - - - 从任务管理器中可以看到，进程(Image Name: explorer.exe)的PID 值为1124（十进制），正好对应了从WinDbg 中看到的Cid：0464（十六进制）。3）点击WinDbg 菜单“Debug - Break”使虚拟机暂停执行。四、 查看进程的相关信息我们仍以进程 (Image: explorer.exe)为例来观察。实验步骤：1）在底

7、行命令行键入命令“!process 813b6770 1”(813b6770 是被观察进程的地址，不同的机器中这一地址会不同，也可以将进程地址换为进程的 PID，即“!process 0464 1”，命令中最后的 1 表示显示信息的详细程度，可以取值07)，显示信息如下图(未列出全部信息 )：上图中标记的是当前进程的内存使用量，可以看出和任务管理器中看到的结果一致。3）用命令“ dt _eprocess 813b6770”查看EPROCESS 结构中的详细信息，如下：4）用命令“ dt _kprocess 813b6770“进一步查看 Pcb 中的内容（图略）。可以看出此时显示的是具体数据结构

8、的值而不是其定义(区别于命令“ dt _EPROCESS”和“dt _KPROCESS”)五、 查看线程的相关信息实验步骤：1）键入命令“ !process 0 0 ”，显示出系统中所有进程信息。2）选取一个进程 (Image: explorer.exe”，在底行命令行输入命令“!process 0464 2”(0464 为进程PID，不同的机器会有所分区 观察进程线程的相关数据结构的第 3 页名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 4 页 - - - - - -

9、 - - - 2）选取一个进程 (Image: explorer.exe”，在底行命令行输入命令“!process 0464 2”(0464 为进程PID，不同的机器会有所不同)，显示信息如下：4）随便选取其中的一个线程，这里选择了最后一个，先后键入命令“!thread 81221db 0”和“!thread 81221db0 6”（81221db0 为选取的线程地址），显示该线程的信息，可以看出显示的详细程度不同。5）在底行命令行输入命令“ dt _ethread 81221db0 ”查看该线程 ETHREAD 详细内容 (图略)。6）输入命令“ dt _kthread 81221db0”查

10、看Tcb（KTHREAD）中的内容， (图略)。六、 查看某个未知的对象如果不知道某个对象或者变量是什么，可以用“!Object address”来查看此地址的对象信息。例如下图：红线之上是用命令“ !process 0 0 ” 获得的一个进程信息，红线之下是用“ !object 813c5c50 ”来查看它的信息，可知它是一个进程。当然，在使用这个命令有时候会出现如下图所示的错误，这个说明输入的地址不是一个对象(因为你输入的地址可以是任意的 )。请大家结合wrk 的相关代码和windows 操作系统的原理等内容进行慢慢的体会！分区 观察进程线程的相关数据结构的第 4 页名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 4 页 - - - - - - - - -