[求助]内核模式下fs寄存器里的值到底是多少？-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
鹿剑雪币： 284 活跃值： (106) 能力值： ( LV9，RANK：160 ) 在线值：发帖 24 回帖 187 粉丝 1 关注私信	鹿剑 3 2 楼内核态下是 KPCR，用户态下是PEB…… 2010-9-6 15:02 0
magicknife 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 94 粉丝 0 关注私信	magicknife 3 楼 KPCR 如何获得当前进程的路径呀 2010-9-6 15:26 0
寒冰心结雪币： 7992 活跃值： (2566) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 238 粉丝 0 关注私信	寒冰心结 4 楼从fs:[0x124]取当前线程EHREAD. 然后调用IoThreadToProcess取得当前此线程所属进程的EPROCESS(就是你所谓的当前进程). 从EPROCESS取得进程路径的办法网上文章貌似不少.. 大致方法有[详情百度] 1.调用NtQueryInfomationProcess.取得 2.通过EPROCESS--->PEB 取得. 3.通过SectionPointer取得.. 2010-9-6 15:46 0
magicknife 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 94 粉丝 0 关注私信	magicknife 5 楼谢谢楼上的回复，但是ring3级下面我可以直接通过fs获得，而不需要再调用函数，ring0下不行吗？ 2010-9-6 16:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
鹿剑雪币： 284 活跃值： (106) 能力值： ( LV9，RANK：160 ) 在线值：发帖 24 回帖 187 粉丝 1 关注私信	鹿剑 3 2 楼内核态下是 KPCR，用户态下是PEB…… 2010-9-6 15:02 0
magicknife 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 94 粉丝 0 关注私信	magicknife 3 楼 KPCR 如何获得当前进程的路径呀 2010-9-6 15:26 0
寒冰心结雪币： 7992 活跃值： (2566) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 238 粉丝 0 关注私信	寒冰心结 4 楼从fs:[0x124]取当前线程EHREAD. 然后调用IoThreadToProcess取得当前此线程所属进程的EPROCESS(就是你所谓的当前进程). 从EPROCESS取得进程路径的办法网上文章貌似不少.. 大致方法有[详情百度] 1.调用NtQueryInfomationProcess.取得 2.通过EPROCESS--->PEB 取得. 3.通过SectionPointer取得.. 2010-9-6 15:46 0
magicknife 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 94 粉丝 0 关注私信	magicknife 5 楼谢谢楼上的回复，但是ring3级下面我可以直接通过fs获得，而不需要再调用函数，ring0下不行吗？ 2010-9-6 16:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复