标签 ‘PID’ 下的日志

深入分析进程PID相同的奥秘

文章作者:sunwear [E.S.T] [email protected]
信息来源:邪恶八进制安全小组

不同的进程真的不能够拥有相同的PID么?我相信大部分人都会说,这是不可能的,因为PID是在操作系统中表示进程的唯一性标示,因此不可能出现不同的进程拥有相同的PID,否则在系统调度的时候就会出现混乱。可是真的是这样么?有这样一个程序xxxx,当我们用xxx工具来观察系统中的pid。我们发现,在这个程序运行时,系统中竟然出现了不同的进程拥有了相同的pid。这是为什么?我们的理解与我们看到的现象竟然出现了矛盾。
首先让我们来了解一下EPROCESS结构。每个Windows 2000进程都由一个执行程序进程(EPROCESS)块表示,也就是说在内核中,进程是靠EPROCESS来识别的.下面是EPROCESS的结构定义
typedef struct _EPROCESS {
阅读全文 »

Tags: