| [gesichtete Version] | [gesichtete Version] |
Kwastg (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
|||
| (8 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
Da Windows zur Gattung der "Closed-Source"-Software gehört, ist der Prozesskontrollblock unter Windows nicht offiziell veröffentlicht. | Da Windows zur Gattung der "Closed-Source"-Software gehört, ist der Prozesskontrollblock unter Windows nicht offiziell veröffentlicht. | ||
</p> | </p> | ||
<p> | <p> | ||
<loop_index>EPROCESS, Windows | <loop_index id="5fa97871a602d">EPROCESS, Windows</loop_index><loop_index id="5fa97871cc7a3">executive process structure, Windows</loop_index> | ||
<cite>Russinovich+et.al.+ | <cite id="5fa97871a6044">Russinovich+et.al.+2012a</cite> beschreiben, dass jeder unter Windows erzeugter Prozess durch eine Instanz der Datenstruktur EPROCESS (engl.: executive process structure) repräsentiert wird. Sie geben in einer Übersicht auch die wichtigsten Felder dieser Datenstruktur an, ohne jedoch deren komplette Definition offenzulegen. | ||
</p> | </p> | ||
<br /> | |||
<p> | |||
<loop_area type="websource"> | |||
<p> | <p> | ||
Microsoft veröffentlicht nur recht allgemein gehaltene Informationen zu EPROCESS:<br /> | Microsoft veröffentlicht nur recht allgemein gehaltene Informationen zu EPROCESS:<br /> | ||
http://msdn.microsoft.com/en-us/library/windows/hardware/ff544273%28v=vs.85%29.aspx | <small>http://msdn.microsoft.com/en-us/library/windows/hardware/ff544273%28v=vs.85%29.aspx</small> | ||
</p> | |||
</loop_area> | |||
</p> | </p> | ||
| Zeile 16: | Zeile 18: | ||
== Debugging Experiment == | == Debugging Experiment == | ||
<p> | <p> | ||
Interessant ist, dass <cite>Russinovich+et.al.+ | Interessant ist, dass <cite id="5fa97871a6049">Russinovich+et.al.+2012a</cite> als Experiment vorschlagen, die einzelnen Felder der EPROCESS-Datenstruktur mit Hilfe des [http://msdn.microsoft.com/en-us/windows/hardware/hh852365 Windows Kernel Debuggers (WinDbg)] zu identifizieren. | ||
</p> | </p> | ||
<p> | <p> | ||
Diese Arbeit gemacht hat sich nach [http://www.nirsoft.net/kernel_struct/vista/ eigener Dokumentation] der Software Entwickler [http://www.nirsoft.net/about_nirsoft_freeware.html Nir Sofer]. Für Windows Vista hat er | Diese Arbeit gemacht hat sich nach [http://www.nirsoft.net/kernel_struct/vista/ eigener Dokumentation] der Software Entwickler [http://www.nirsoft.net/about_nirsoft_freeware.html Nir Sofer]. Für Windows Vista hat er [http://www.nirsoft.net/kernel_struct/vista/ verschiedene Datenstrukturen] rekonstruiert.<br /> | ||
</p> | |||
<br /> | |||
<p> | |||
<loop_area type="websource"> | |||
<p> | |||
EPROCESS im C/C++-Format:<br /> | |||
http://www.nirsoft.net/kernel_struct/vista/EPROCESS.html | http://www.nirsoft.net/kernel_struct/vista/EPROCESS.html | ||
</p> | |||
</loop_area> | |||
</p> | </p> | ||
Da Windows zur Gattung der "Closed-Source"-Software gehört, ist der Prozesskontrollblock unter Windows nicht offiziell veröffentlicht.
Russinovich et.al. 2012a beschreiben, dass jeder unter Windows erzeugter Prozess durch eine Instanz der Datenstruktur EPROCESS (engl.: executive process structure) repräsentiert wird. Sie geben in einer Übersicht auch die wichtigsten Felder dieser Datenstruktur an, ohne jedoch deren komplette Definition offenzulegen.
Microsoft veröffentlicht nur recht allgemein gehaltene Informationen zu EPROCESS:
http://msdn.microsoft.com/en-us/library/windows/hardware/ff544273%28v=vs.85%29.aspx
Interessant ist, dass Russinovich et.al. 2012a als Experiment vorschlagen, die einzelnen Felder der EPROCESS-Datenstruktur mit Hilfe des Windows Kernel Debuggers (WinDbg) zu identifizieren.
Diese Arbeit gemacht hat sich nach eigener Dokumentation der Software Entwickler Nir Sofer. Für Windows Vista hat er verschiedene Datenstrukturen rekonstruiert.
EPROCESS im C/C++-Format:
http://www.nirsoft.net/kernel_struct/vista/EPROCESS.html
Diese Seite steht unter der Creative Commons Namensnennung 3.0 Unported Lizenz http://i.creativecommons.org/l/by/3.0/80x15.png