Location:
Search - csrsswalker
Search list
Description: 在Csrss.exe中,保存着所有Win32子系统进程的进程信息,这些信息以链表的形式保存。
正常情况下,每一个新创建的进程都会通知Csrss.exe,Csrss.exe接收这些信息然后保存起来,所以遍历这个链表就可以得到所有Win32子系统进程的信息。首先就是找链表头了,链表头为CsrssRootProcess,在CSRSRV.DLL导出的函数中有对CsrssRootProcess的操作,因此可以通过CSRSRV.DLL的导出函数找到CsrssRootProcess。
通过遍历这个链表就能取得进程信息-using csrss as rootkit detector, full source code included
Platform: |
Size: 36864 |
Author: Charles Lee |
Hits:
Description: 基于csrss进程信息的内核结构体的进程查看软件不同于一般方法-CsrssWalker
Platform: |
Size: 2022400 |
Author: 李伟 |
Hits: