[讨论]PsGetCurrentProcess的问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
十年寒窗雪币： 197 活跃值： (82) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 146 粉丝 2 关注私信	十年寒窗 2 楼我的理解是 HANDLE是用来标识内核对象的，这个R0、R3有区别么 2011-4-21 20:02 0
zycxy 雪币： 387 活跃值： (76) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 107 粉丝 1 关注私信	zycxy 3 楼句柄是针对进程 2011-4-21 20:31 0
fzhaoqiang 雪币： 7 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 124 回帖 373 粉丝 1 关注私信	fzhaoqiang 4 楼我的晕搞越晕了！例如在一个驱动程序中使用了 PsGetCurrentProcess这个函数，难道他返回的是这个驱动的句柄??? 2011-4-21 20:42 0
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 5 楼 R3下GetCurrentProcess得到是永远是-1,是一个伪句柄,这个函数在kernel.dll直接返回不进入内核;R0PsGetCurrentProcess()得到是进程对象的指针,就是指向EPROCESS结构,这个句柄就是EPROCESS的地址 2011-4-21 20:55 0
xyzjanker 雪币： 100 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	xyzjanker 6 楼哎,娃！！！举个例子吧！！！比如你写了个驱动，又写了个应用程序与驱动交互！在应用程序里你调用CreateFile打开驱动！在驱动的IRP_CREATE里你调用PsGetCurrentProcess,那么你获得的就是你写的这个应用程序的PEPROCESS！！！ 2011-4-21 22:47 0
xyzjanker 雪币： 100 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	xyzjanker 7 楼回去睡觉咯，顺便把今天的看火影看咯！！！ 2011-4-21 22:48 0
fzhaoqiang 雪币： 7 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 124 回帖 373 粉丝 1 关注私信	fzhaoqiang 8 楼这样的啊！！我的郁闷呀！开始我想了好久以为是应用层调用然后到内核调用它，这个函数在返回一个当前程序的句柄, 原来是这么个道理呀！！！非常低感谢！！ 2011-4-21 22:58 0
fzhaoqiang 雪币： 7 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 124 回帖 373 粉丝 1 关注私信	fzhaoqiang 9 楼哈哈你也火影迷呀?? 2011-4-21 22:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
十年寒窗雪币： 197 活跃值： (82) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 146 粉丝 2 关注私信	十年寒窗 2 楼我的理解是 HANDLE是用来标识内核对象的，这个R0、R3有区别么 2011-4-21 20:02 0
zycxy 雪币： 387 活跃值： (76) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 107 粉丝 1 关注私信	zycxy 3 楼句柄是针对进程 2011-4-21 20:31 0
fzhaoqiang 雪币： 7 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 124 回帖 373 粉丝 1 关注私信	fzhaoqiang 4 楼我的晕搞越晕了！例如在一个驱动程序中使用了 PsGetCurrentProcess这个函数，难道他返回的是这个驱动的句柄??? 2011-4-21 20:42 0
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 5 楼 R3下GetCurrentProcess得到是永远是-1,是一个伪句柄,这个函数在kernel.dll直接返回不进入内核;R0PsGetCurrentProcess()得到是进程对象的指针,就是指向EPROCESS结构,这个句柄就是EPROCESS的地址 2011-4-21 20:55 0
xyzjanker 雪币： 100 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	xyzjanker 6 楼哎,娃！！！举个例子吧！！！比如你写了个驱动，又写了个应用程序与驱动交互！在应用程序里你调用CreateFile打开驱动！在驱动的IRP_CREATE里你调用PsGetCurrentProcess,那么你获得的就是你写的这个应用程序的PEPROCESS！！！ 2011-4-21 22:47 0
xyzjanker 雪币： 100 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	xyzjanker 7 楼回去睡觉咯，顺便把今天的看火影看咯！！！ 2011-4-21 22:48 0
fzhaoqiang 雪币： 7 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 124 回帖 373 粉丝 1 关注私信	fzhaoqiang 8 楼这样的啊！！我的郁闷呀！开始我想了好久以为是应用层调用然后到内核调用它，这个函数在返回一个当前程序的句柄, 原来是这么个道理呀！！！非常低感谢！！ 2011-4-21 22:58 0
fzhaoqiang 雪币： 7 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 124 回帖 373 粉丝 1 关注私信	fzhaoqiang 9 楼哈哈你也火影迷呀?? 2011-4-21 22:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复