-
-
[求助]关于获取线程用户空间路径的疑问
-
发表于:
2011-4-8 17:22
4017
-
举个例子,
打开C:\下的一个powerpnt.exe快捷方式,
分别拖拽E:\1.ppt和F:\2.ppt进入该进程空间(EXE中),
在RING0中如何获得这两个PPT文件的路径~
之前有在EPROCESS->PEB->RTL_USER_PROCESS_PARAMETERS->CurrentDirectory->DosPath中获得进程的用户空间路径,但是像这个例子来说,路径只是C:\
用WinDbg看了很多进程,线程的数据结构,也没有找到合适的判断点。
想过钩挂RING3层的DragQueryFile()函数,然后调用IOCTL送RING3到RING0,但是这方法是不是有点绕。。。
所以请教有没有在EPROCESS中或ETHREAD中有没有可获得类似E:\1.ppt和F:\2.ppt路径的地方。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
