[求助]PsGetProcessImageFileName 在哪个lib里如何定义?-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
bagempty 雪币： 388 活跃值： (147) 能力值： ( LV3，RANK：30 ) 在线值：发帖 18 回帖 335 粉丝 0 关注私信	bagempty 2 楼 UCHAR *PsGetProcessImageFileName(PEPROCESS EProcess); 2012-3-27 07:06 0
bagempty 雪币： 388 活跃值： (147) 能力值： ( LV3，RANK：30 ) 在线值：发帖 18 回帖 335 粉丝 0 关注私信	bagempty 3 楼不用lib,直接声明一下就可以了 2012-3-27 07:07 0
BoyXiao 雪币： 244 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 138 粉丝 0 关注私信	BoyXiao 4 楼该 API 在内核中是导出了的，你只需要声明一下就可以直接调用，在 WRK 中，该 API 的声明位于 ps.h 中，而该 API 的实现在 pshelper.c 中，你要在内核程序中使用此 API ，你只需要做如下声明即可： NTKERNELAPI UCHAR * PsGetProcessImageFileName( __in PEPROCESS Process ); 2012-3-27 09:13 0
Chinghoi 雪币： 350 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	Chinghoi 5 楼 PsGetProcessImageFileName传入一个进程eprocess结构它得到的进程名最多为(15+'\0')个字符,即不完整的! 跟硬编码从此结构中读取的结果一样。。 2013-3-15 03:09 0
Edi神雪币： 9 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 76 粉丝 0 关注私信	Edi神 6 楼大神我照你的方法定义，但是还是出错，请问为什么啊。 NTKERNELAPI UCHAR * PsGetProcessImageFileName(__in PEPROCESS Process); 下面是错误提示： 1>1>hook.obj : error LNK2019: unresolved external symbol "__declspec(dllimport) unsigned char * __stdcall PsGetProcessImageFileName(struct _EPROCESS )" (__imp_?PsGetProcessImageFileName@@YGPAEPAU_EPROCESS@@@Z) referenced in function "long __stdcall FuckSecurityProcedure(void ,enum _SECURITY_OPERATION_CODE,unsigned long ,void ,unsigned long ,void ,enum _POOL_TYPE,struct _GENERIC_MAPPING ,unsigned long)" (?FuckSecurityProcedure@@YGJPAXW4_SECURITY_OPERATION_CODE@@PAK02PAPAXW4_POOL_TYPE@@PAU_GENERIC_MAPPING@@K@Z) 1>1>c:\ddkfile\hook\hook\hook.obj : error LNK2019: unresolved external symbol "__declspec(dllimport) unsigned char * __stdcall PsGetProcessImageFileName(struct _EPROCESS )" (__imp_?PsGetProcessImageFileName@@YGPAEPAU_EPROCESS@@@Z) referenced in function "long __stdcall FuckSecurityProcedure(void ,enum _SECURITY_OPERATION_CODE,unsigned long ,void ,unsigned long ,void ,enum _POOL_TYPE,struct _GENERIC_MAPPING ,unsigned long)" (?FuckSecurityProcedure@@YGJPAXW4_SECURITY_OPERATION_CODE@@PAK02PAPAXW4_POOL_TYPE@@PAU_GENERIC_MAPPING@@K@Z) 1>1>c:\ddkfile\hook\hook\objchk_wxp_x86\i386\Hook.sys : fatal error LNK1120: 1 unresolved externals 1>1>c:\ddkfile\hook\hook\objchk_wxp_x86\i386\hook.sys : error LNK1120: 1 unresolved externals 2013-8-10 23:14 0
小烦雪币： 167 活跃值： (190) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 7 楼 extern "C" { 这里填导出函数声明 } 2013-8-10 23:22 0
文夏之雪币： 24 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 37 粉丝 0 关注私信	文夏之 8 楼有很多出错,就是因为忘了这个 2013-8-11 13:33 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 9 楼 C语言无压力。。 2013-9-20 10:23 1
xtlpl 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	xtlpl 10 楼 UCHAR *PsGetProcessImageFileName(__in PEPROCESS eprocess); PsGetProcessImageFileName(Eprocess); 2014-7-12 00:04 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 11 楼这个在NT内核模块里，是输出表里的函数，你直接声明下原型，就可以直接调用了！！ 2014-7-12 00:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
bagempty 雪币： 388 活跃值： (147) 能力值： ( LV3，RANK：30 ) 在线值：发帖 18 回帖 335 粉丝 0 关注私信	bagempty 2 楼 UCHAR *PsGetProcessImageFileName(PEPROCESS EProcess); 2012-3-27 07:06 0
bagempty 雪币： 388 活跃值： (147) 能力值： ( LV3，RANK：30 ) 在线值：发帖 18 回帖 335 粉丝 0 关注私信	bagempty 3 楼不用lib,直接声明一下就可以了 2012-3-27 07:07 0
BoyXiao 雪币： 244 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 138 粉丝 0 关注私信	BoyXiao 4 楼该 API 在内核中是导出了的，你只需要声明一下就可以直接调用，在 WRK 中，该 API 的声明位于 ps.h 中，而该 API 的实现在 pshelper.c 中，你要在内核程序中使用此 API ，你只需要做如下声明即可： NTKERNELAPI UCHAR * PsGetProcessImageFileName( __in PEPROCESS Process ); 2012-3-27 09:13 0
Chinghoi 雪币： 350 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	Chinghoi 5 楼 PsGetProcessImageFileName传入一个进程eprocess结构它得到的进程名最多为(15+'\0')个字符,即不完整的! 跟硬编码从此结构中读取的结果一样。。 2013-3-15 03:09 0
Edi神雪币： 9 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 76 粉丝 0 关注私信	Edi神 6 楼大神我照你的方法定义，但是还是出错，请问为什么啊。 NTKERNELAPI UCHAR * PsGetProcessImageFileName(__in PEPROCESS Process); 下面是错误提示： 1>1>hook.obj : error LNK2019: unresolved external symbol "__declspec(dllimport) unsigned char * __stdcall PsGetProcessImageFileName(struct _EPROCESS )" (__imp_?PsGetProcessImageFileName@@YGPAEPAU_EPROCESS@@@Z) referenced in function "long __stdcall FuckSecurityProcedure(void ,enum _SECURITY_OPERATION_CODE,unsigned long ,void ,unsigned long ,void ,enum _POOL_TYPE,struct _GENERIC_MAPPING ,unsigned long)" (?FuckSecurityProcedure@@YGJPAXW4_SECURITY_OPERATION_CODE@@PAK02PAPAXW4_POOL_TYPE@@PAU_GENERIC_MAPPING@@K@Z) 1>1>c:\ddkfile\hook\hook\hook.obj : error LNK2019: unresolved external symbol "__declspec(dllimport) unsigned char * __stdcall PsGetProcessImageFileName(struct _EPROCESS )" (__imp_?PsGetProcessImageFileName@@YGPAEPAU_EPROCESS@@@Z) referenced in function "long __stdcall FuckSecurityProcedure(void ,enum _SECURITY_OPERATION_CODE,unsigned long ,void ,unsigned long ,void ,enum _POOL_TYPE,struct _GENERIC_MAPPING ,unsigned long)" (?FuckSecurityProcedure@@YGJPAXW4_SECURITY_OPERATION_CODE@@PAK02PAPAXW4_POOL_TYPE@@PAU_GENERIC_MAPPING@@K@Z) 1>1>c:\ddkfile\hook\hook\objchk_wxp_x86\i386\Hook.sys : fatal error LNK1120: 1 unresolved externals 1>1>c:\ddkfile\hook\hook\objchk_wxp_x86\i386\hook.sys : error LNK1120: 1 unresolved externals 2013-8-10 23:14 0
小烦雪币： 167 活跃值： (190) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 7 楼 extern "C" { 这里填导出函数声明 } 2013-8-10 23:22 0
文夏之雪币： 24 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 37 粉丝 0 关注私信	文夏之 8 楼有很多出错,就是因为忘了这个 2013-8-11 13:33 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 9 楼 C语言无压力。。 2013-9-20 10:23 1
xtlpl 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	xtlpl 10 楼 UCHAR *PsGetProcessImageFileName(__in PEPROCESS eprocess); PsGetProcessImageFileName(Eprocess); 2014-7-12 00:04 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 11 楼这个在NT内核模块里，是输出表里的函数，你直接声明下原型，就可以直接调用了！！ 2014-7-12 00:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复