内核枚举进程技术：利用PspCidTaeEPROCESS地址.pdfVIP

内核枚举进程使用PspCidTable这个未公开的函数，它最大的好处是能得到进程的EPROCESS地址。由于

是未公开的函数，所以我们需要变相地调用这个函数，通过PsLookupProcessByProce函数查到进

程的EPROCESS。如果PsLookupProcessByProce返回失败，则证明此进程不存在；如果返回成功，

则把EPROCESS、PID、PPID、进程名等通过DbgPrint打印到屏幕上。

内核枚举进程：进程就是活动起来的程序，每个进程在内核里都有一个名为EPROCESS的结构记录它的详

细信息，其中包括进程名、PID、PPID、进程路径等。通常在应用层枚举进程只列出所有进程的编号即可，

但在内核层需要把它的EPROCESS地址列举出来。

内核枚举进程使用PspCidTable这个未公开的函数，它最大的好处是能得到进程的EPROCESS地址。由于

是未公开的函数，所以我们需要变相地调用这个函数，通过PsLookupProcessByProce函数查到进

程的EPROCESS。如果PsLookupProcessByProce返回失败，则证明此进程不存在；如果返回成功，

则把EPROCESS、PID、PPID、进程名等通过DbgPr