文件名称:CsrssWalker
- 所属分类:
- 系统编程
- 资源属性:
- [Windows] [Visual C] [源码]
- 上传时间:
- 2012-11-26
- 文件大小:
- 36kb
- 下载次数:
- 0次
- 提 供 者:
- Charl******
- 相关连接:
- 无
- 下载说明:
- 别用迅雷下载,失败请重下,重下不扣分!
介绍说明--下载内容均来自于网络,请自行研究使用
在Csrss.exe中,保存着所有Win32子系统进程的进程信息,这些信息以链表的形式保存。
正常情况下,每一个新创建的进程都会通知Csrss.exe,Csrss.exe接收这些信息然后保存起来,所以遍历这个链表就可以得到所有Win32子系统进程的信息。首先就是找链表头了,链表头为CsrssRootProcess,在CSRSRV.DLL导出的函数中有对CsrssRootProcess的操作,因此可以通过CSRSRV.DLL的导出函数找到CsrssRootProcess。
通过遍历这个链表就能取得进程信息-using csrss as rootkit detector, full source code included
正常情况下,每一个新创建的进程都会通知Csrss.exe,Csrss.exe接收这些信息然后保存起来,所以遍历这个链表就可以得到所有Win32子系统进程的信息。首先就是找链表头了,链表头为CsrssRootProcess,在CSRSRV.DLL导出的函数中有对CsrssRootProcess的操作,因此可以通过CSRSRV.DLL的导出函数找到CsrssRootProcess。
通过遍历这个链表就能取得进程信息-using csrss as rootkit detector, full source code included
(系统自动生成,下载前可以参看下载内容)
下载文件列表
CsrssWalker
...........\CsrssStruct.h
...........\CsrssWalker.cpp
...........\CsrssWalker.dsp
...........\CsrssWalker.dsw
...........\CsrssWalker.ncb
...........\CsrssWalker.opt
...........\CsrssWalker.plg
...........\PSAPI.H
...........\PSAPI.LIB
...........\ReadMe.txt
...........\Release
...........\.......\CsrssWalker.exe
...........\StdAfx.cpp
...........\StdAfx.h
...........\CsrssStruct.h
...........\CsrssWalker.cpp
...........\CsrssWalker.dsp
...........\CsrssWalker.dsw
...........\CsrssWalker.ncb
...........\CsrssWalker.opt
...........\CsrssWalker.plg
...........\PSAPI.H
...........\PSAPI.LIB
...........\ReadMe.txt
...........\Release
...........\.......\CsrssWalker.exe
...........\StdAfx.cpp
...........\StdAfx.h