Получение подлинного Windows Subsystem(csrss.exe) процесса

[qmax]

И вот это всё — чтобы НАЙТИ ПРОЦЕСС!?

[KeMmIo]

К сожелению, да.
Как уже упоминалось, простого нахождения процесса с именем «csrss.exe» не достаточно, т.к можно легко и просто создать процесс с тем же именем и поставить его в начала списка(как уже упоминалось, используя DKOM).

[KeMmIo]

Видимо, вы удивились размерам статьи, на самом деле, статья получилась немного большой потому, что пришлось обьяснять некоторые детали(как, например, отступление к Object Manager-у), чтобы расширить круг читателей.

[atd]

Насколько я понял, это всё нужно, чтобы достоверно найти процесс в условиях глубоко поражённой вирусами и руткитами системе.

[KeMmIo]

Да, но это не единственный сценарий, где это может пригодиться. Данная задача довольно востребована в некоторых кругах, например, прочитайте вот эту статьюCsrWalker — processes detection from User Mode

[dimakovalenko]

Спасибо, очень интересная статья. Побольше бы статей про отладку, системное программирование и прочие интересные вещи на Хабре.

[denis_g]

Мда, это вам не Гаити procfs…

[KeMmIo]

Ах, только бы не начался холивар =)

[denis_g]

Ой! Кажется, я наделал чего-то плохого…

[toxicdream]

Ядро винды полностью POSIX, и даже NTFS задумывался как POSIX. Но в случае с последним это пехерено на уровне драйвера.
А где теряется POSIX в первом случае точно не скажу. При желании можно нагуглить. Да и на хабре вроде это освещали в паре постов.

[KeMmIo]

«Ядро винды полностью POSIX»
смею не согласиться, например, стандарт POSIX включает в себя имена функций(fork read etc.) и даже не уточняет параметры и возвращаемые значения функций, поэтому сомневаюсь что ядро windows имеет что-то общее с POSIX.

[Shc]

спасибо, интересно, но ссылка на готовую программу сделала бы статью еще интереснее ;)
(или я что-то прозевал?)