-
-
[已解决] 遇到一个关于获取进程名的诡异问题
-
发表于: 2013-12-5 15:58
-
在驱动中调用 PsGetCurrentProcess 获得 _EPROCESS 通过:
1. _EPROCESS -> ImageFileName
2. _EPROCESS -> Peb ->ProcessParameters -> ImagePathName
3._EPROCESS -> SectionObject -> Segment -> ControlArea -> FilePointer -> FileName
4 _EPROCESS -> SeAuditProcessCreationInfo -> ImageFileName -> Name
均能打印出来
但是不知为何 一复制就出现内存越界。
没人回复 还是靠自己解决了。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
