| [gesichtete Version] | [gesichtete Version] |
| Zeile 8: | Zeile 8: | ||
<cite>Russinovich+et.al.+2012+(P1)</cite> beschreiben, dass jeder unter Windows erzeugter Prozess durch eine Instanz der Datenstruktur EPROCESS (engl.: executive process structure) repräsentiert wird. Sie geben in einer Übersicht auch die wichtigsten Felder dieser Datenstruktur an, ohne jedoch deren komplette Definition offenzulegen. | <cite>Russinovich+et.al.+2012+(P1)</cite> beschreiben, dass jeder unter Windows erzeugter Prozess durch eine Instanz der Datenstruktur EPROCESS (engl.: executive process structure) repräsentiert wird. Sie geben in einer Übersicht auch die wichtigsten Felder dieser Datenstruktur an, ohne jedoch deren komplette Definition offenzulegen. | ||
</p> | </p> | ||
<br /> | |||
<p> | |||
<loop_area type="websource"> | |||
<p> | <p> | ||
Microsoft veröffentlicht nur recht allgemein gehaltene Informationen zu EPROCESS:<br /> | Microsoft veröffentlicht nur recht allgemein gehaltene Informationen zu EPROCESS:<br /> | ||
http://msdn.microsoft.com/en-us/library/windows/hardware/ff544273%28v=vs.85%29.aspx | http://msdn.microsoft.com/en-us/library/windows/hardware/ff544273%28v=vs.85%29.aspx | ||
</p> | |||
</loop_area> | |||
</p> | </p> | ||
| Zeile 26: | Zeile 31: | ||
<loop_area type="websource"> | <loop_area type="websource"> | ||
<p> | <p> | ||
EPROCESS im C/C++-Format: | EPROCESS im C/C++-Format:<br /> | ||
</ | |||
http://www.nirsoft.net/kernel_struct/vista/EPROCESS.html | http://www.nirsoft.net/kernel_struct/vista/EPROCESS.html | ||
</p> | </p> | ||
Da Windows zur Gattung der "Closed-Source"-Software gehört, ist der Prozesskontrollblock unter Windows nicht offiziell veröffentlicht.
beschreiben, dass jeder unter Windows erzeugter Prozess durch eine Instanz der Datenstruktur EPROCESS (engl.: executive process structure) repräsentiert wird. Sie geben in einer Übersicht auch die wichtigsten Felder dieser Datenstruktur an, ohne jedoch deren komplette Definition offenzulegen.
Microsoft veröffentlicht nur recht allgemein gehaltene Informationen zu EPROCESS:
http://msdn.microsoft.com/en-us/library/windows/hardware/ff544273%28v=vs.85%29.aspx
Interessant ist, dass als Experiment vorschlagen, die einzelnen Felder der EPROCESS-Datenstruktur mit Hilfe des Windows Kernel Debuggers (WinDbg) zu identifizieren.
Diese Arbeit gemacht hat sich nach eigener Dokumentation der Software Entwickler Nir Sofer. Für Windows Vista hat er (verschiedene) Datenstrukturen rekonstruiert.
EPROCESS im C/C++-Format:
http://www.nirsoft.net/kernel_struct/vista/EPROCESS.html
Diese Seite steht unter der Creative Commons Namensnennung 3.0 Unported Lizenz http://i.creativecommons.org/l/by/3.0/80x15.png