-
-
[求助]请问大侠们一个问题!谢谢!!
-
发表于: 2010-7-9 13:14
-
一、 EPROCESS中:
1、EPROCESS-->ImageFileName(很常用,冰刃获取进程名的地方)
2、 EPROCESS-->SeAuditProcessCreationInfo->ImageFileName(任务管理器获取进程名的地 方,NtQueryInformationProcess就是从这里获取进程名的)
在第一中情况下,我们通过IoGetCurrentProcess获得EPROCESS结构后,可以通过
(*(PULONG)(peProcess + 0x1F4)来获取ImageFileName,如果是第二种呢?第二种应该怎么找ImageFileName?讲解一下,谢谢!!
1、EPROCESS-->ImageFileName(很常用,冰刃获取进程名的地方)
2、 EPROCESS-->SeAuditProcessCreationInfo->ImageFileName(任务管理器获取进程名的地 方,NtQueryInformationProcess就是从这里获取进程名的)
在第一中情况下,我们通过IoGetCurrentProcess获得EPROCESS结构后,可以通过
(*(PULONG)(peProcess + 0x1F4)来获取ImageFileName,如果是第二种呢?第二种应该怎么找ImageFileName?讲解一下,谢谢!!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
谢谢你的解答,我明白了,不过我还有个问题,但如果是这种方法呢//EPROCESS->SectionObject->Segment->ControlArea->FileObject->FileName 代码如下 # tmp=*(PULONG)(pProcess+0x138); # tmp=*(PULONG)(tmp+0x14); # tmp=*(PULONG)tmp; # tmp=*(PULONG)(tmp+0x024); # FindAndChangeUni(tmp+0x030); 为什么要这样写呢?为什么不可以写成 tmp=*(PULONG)(pProcess+0x138+0x14+00x024.....); 请讲解,谢谢! |
|
|
|
|
|
|
