[求助]请教各位驱动前辈，在驱动里怎么获取进程的命令行参数-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 2 楼 1、反汇编GetCommandLineA(W)就知道了，我的机器(XP sp3)GetCommandLineA的反汇编是： ::7C812FAD:: A1 F455887C MOV EAX,[7C8855F4] ::7C812FB2:: C3 RETN 驱动附加到某个进程里，读取7C8855F4的值就是命令行指针了。 2、读PEB，PEB->ProcessParameters->CommandLine就是了，获取PEB可以使用NtQueryInformationProcess(PROCESSINFOCLASS使用ProcessBasicInformation)，PROCESS_BASIC_INFORMATION.PebBaseAddress就是PEB地址了。 2010-12-27 20:48 0
leitianjun 雪币： 284 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 80 粉丝 0 关注私信	leitianjun 3 楼我是来打哪个什么油的！！ 2010-12-27 20:57 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 4 楼读PEB就行~~ 2010-12-27 21:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 2 楼 1、反汇编GetCommandLineA(W)就知道了，我的机器(XP sp3)GetCommandLineA的反汇编是： ::7C812FAD:: A1 F455887C MOV EAX,[7C8855F4] ::7C812FB2:: C3 RETN 驱动附加到某个进程里，读取7C8855F4的值就是命令行指针了。 2、读PEB，PEB->ProcessParameters->CommandLine就是了，获取PEB可以使用NtQueryInformationProcess(PROCESSINFOCLASS使用ProcessBasicInformation)，PROCESS_BASIC_INFORMATION.PebBaseAddress就是PEB地址了。 2010-12-27 20:48 0
leitianjun 雪币： 284 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 80 粉丝 0 关注私信	leitianjun 3 楼我是来打哪个什么油的！！ 2010-12-27 20:57 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 4 楼读PEB就行~~ 2010-12-27 21:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复