[求助]在内核中,如何判断一个指定名称的进程是否存在呢??-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
mtvwr 雪币： 225 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 160 粉丝 0 关注私信	mtvwr 2 楼自己顶一下..... 2009-12-13 16:53 0
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 3 楼 eprocess里面有.... 2009-12-13 18:01 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 4 楼 EPROCESS ----》 ActiveProcessLinks 2009-12-13 18:20 0
inhell 雪币： 245 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 23 回帖 77 粉丝 0 关注私信	inhell 5 楼 #include "Driver.h" char* GetAllProcessListName(ULONG); #pragma INITCODE VOID getProccess() { ULONG Address; ULONG oldAddress; Address = (ULONG)PsGetCurrentProcess(); Address += 0x88; oldAddress = Address; char processName; LIST_ENTRY listEntry; do { processName = GetAllProcessListName(Address); if(!strcmp(processName, "XXXXXXXX")) //you processname { KdPrint(("this is my process :%s exis!\n",processName)); } Address = (ULONG)Address; }while(oldAddress != Address); } char* GetAllProcessListName(ULONG Address) { Address -= 0x88; ULONG PID; char processName; PID = (int)(Address + 0x84); processName = (char)(Address + 0x174); return processName; } 2009-12-13 22:28 0
野仔与狗雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 53 粉丝 0 关注私信	野仔与狗 6 楼 EPROCESS读偏移不好,长度有限,而且相当不可靠,硬要用这个方法至少应该取要找的目标进程的固定特征来对比,论坛里有动态监视进程创建的,建议参考! 2009-12-14 02:49 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 7 楼好像在哪听过: 获取当前eprocess, 然后从eprocess地址开始搜索进程名,就算出偏移了. 2009-12-14 13:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
mtvwr 雪币： 225 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 160 粉丝 0 关注私信	mtvwr 2 楼自己顶一下..... 2009-12-13 16:53 0
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 3 楼 eprocess里面有.... 2009-12-13 18:01 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 4 楼 EPROCESS ----》 ActiveProcessLinks 2009-12-13 18:20 0
inhell 雪币： 245 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 23 回帖 77 粉丝 0 关注私信	inhell 5 楼 #include "Driver.h" char* GetAllProcessListName(ULONG); #pragma INITCODE VOID getProccess() { ULONG Address; ULONG oldAddress; Address = (ULONG)PsGetCurrentProcess(); Address += 0x88; oldAddress = Address; char processName; LIST_ENTRY listEntry; do { processName = GetAllProcessListName(Address); if(!strcmp(processName, "XXXXXXXX")) //you processname { KdPrint(("this is my process :%s exis!\n",processName)); } Address = (ULONG)Address; }while(oldAddress != Address); } char* GetAllProcessListName(ULONG Address) { Address -= 0x88; ULONG PID; char processName; PID = (int)(Address + 0x84); processName = (char)(Address + 0x174); return processName; } 2009-12-13 22:28 0
野仔与狗雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 53 粉丝 0 关注私信	野仔与狗 6 楼 EPROCESS读偏移不好,长度有限,而且相当不可靠,硬要用这个方法至少应该取要找的目标进程的固定特征来对比,论坛里有动态监视进程创建的,建议参考! 2009-12-14 02:49 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 7 楼好像在哪听过: 获取当前eprocess, 然后从eprocess地址开始搜索进程名,就算出偏移了. 2009-12-14 13:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复