[求助]通过EPROCESS 获得进程的全路径偶尔会蓝屏，求高手指点-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]通过EPROCESS 获得进程的全路径偶尔会蓝屏，求高手指点

发表于: 2011-6-2 17:11 5627

[求助]通过EPROCESS 获得进程的全路径偶尔会蓝屏，求高手指点

magicknife 活跃值

2011-6-2 17:11

5627

BOOLEAN GetProcessPathAndID( PEPROCESS p , ProcessInfo* pPI )
{
ULONG peb;
ULONG procparam;
PUNICODE_STRING pPath;
PULONG tmp = NULL;
BOOLEAN bRet = FALSE;
if ( p == NULL || pPI == NULL )
return bRet;
tmp = (PULONG)( (ULONG)p + XP3_EPROCESS_PEB_OFFSET );
if ( tmp == NULL )
return bRet;
peb = *tmp;
KeAttachProcess(p);

tmp = (PULONG)( peb + XP3_PEB_PROCESSPARAM_OFFSET );
if (tmp == NULL )
goto Out;

#if 0
procparam = *tmp;

pPath = (PUNICODE_STRING)( procparam + XP3_PROCESSPARAM_IMAGEPATH_OFFSET );

if ( pPath->Buffer != NULL && pPath->Length != 0 && pPath->Length < MAX_PATH*2 )
memcpy( pPI->szPath , pPath->Buffer , pPath->Length );

pPI->lEPAddr = (ULONG)p;
pPI->lPID = *(PULONG)((ULONG)p + XP3_EPROCESS_PID_OFFSET);
bRet = TRUE;
#endif

Out:
KeDetachProcess();
return bRet;
}

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费・0

支持

最新回复 (3)
magicknife 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 94 粉丝 0 关注私信	magicknife 2 楼那个 #if 0 #endif 里的代码用了就蓝屏 2011-6-2 17:25 0
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 6 关注私信	KiDebug 4 3 楼 http://www.debugman.com/discussion/5314/ 2011-6-2 17:47 0
magicknife 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 94 粉丝 0 关注私信	magicknife 4 楼不行呀，还是蓝屏 2011-6-3 09:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

magicknife

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
magicknife 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 94 粉丝 0 关注私信	magicknife 2 楼那个 #if 0 #endif 里的代码用了就蓝屏 2011-6-2 17:25 0
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 6 关注私信	KiDebug 4 3 楼 http://www.debugman.com/discussion/5314/ 2011-6-2 17:47 0
magicknife 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 94 粉丝 0 关注私信	magicknife 4 楼不行呀，还是蓝屏 2011-6-3 09:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复