我们或Windows如何识别或区分内核进程和用户/应用程序进程。基于进程的元数据、进程表中的标志或其他。
最佳答案
所有驱动程序与内核的其余部分一起在单个内核进程中运行。
进程 id 0 是“空闲进程”,进程 id 4(在 XP 及更高版本上)是内核“进程”。如果您处于内核模式,您可能可以通过查看 KPROCESS 来检测各种类型(跨版本不稳定)。您无法在用户模式下OpenProcess内核进程,因为它不是普通进程。
如果你想检测Pico/Drawbridge process 我见过这样的说法 SYSTEM_PROCESS_INFORMATION::HandleCount其中 0。
我会推荐Windows Internals有关 Windows 内核设计的更多信息的书籍。
关于windows - 如何识别Windows 10中的内核进程(以保护环0运行的进程)?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/70770710/