[求助]请教：驱动中实现NtCurrentPeb()-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]请教：驱动中实现NtCurrentPeb()

发表于: 2010-11-15 09:06 6411

[求助]请教：驱动中实现NtCurrentPeb()

tangwenbin 活跃值

2010-11-15 09:06

6411

我在某个驱动程序中需要用到NtCurrentPeb（），经过上网查资料，找到其中的一个实现方案。
static __inline NtCurrentPeb() {mov eax,fs:0x30}
使用中发现，eax的值为0xffffffff，地址不正确。再次上网寻找错误原因，发现有人说这是ring3下的实现方式。请问哪位大牛能够告知ring0下如何实现NtCurrentPeb()函数？

[课程]Android-CTF解题方法汇总！

收藏・1

免费・0

支持

最新回复 (2)
inception 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 15 粉丝 0 关注私信	inception 2 楼可以通过PsGetCurrentProcess获取_EPROCESS,再从_EPROCESS+0x1b0得到PEB,不同系统的EPROCESS结构有差异,自己windbg看... 2010-11-15 10:54 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 3 楼抄抄wrk啊 2010-11-15 13:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

tangwenbin

发帖

回帖

RANK

关注

私信

他的文章

[求助]如何查看Windows User Object 4711
山寨U盘加解密 5799

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
inception 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 15 粉丝 0 关注私信	inception 2 楼可以通过PsGetCurrentProcess获取_EPROCESS,再从_EPROCESS+0x1b0得到PEB,不同系统的EPROCESS结构有差异,自己windbg看... 2010-11-15 10:54 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 3 楼抄抄wrk啊 2010-11-15 13:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复