能力值:
( LV2,RANK:10 )
|
-
-
2 楼
沙发,等会测试一下
|
能力值:
( LV3,RANK:20 )
|
-
-
3 楼
获取完整进程名的方法是:在_EPROCESS中查找。你在widbg中输入 dt -r2 _EPROCESS 内存地址 ,应该就可以看到进程完整名称了。
|
能力值:
( LV9,RANK:610 )
|
-
-
4 楼
我比楼上直接点,楼主直接看EPROCESS.SeAuditProcessCreationInfo.ImageFileName.Name就可以了
|
能力值:
(RANK:50 )
|
-
-
5 楼
为啥不能直接用psgetprocessimagefilename()
|
能力值:
( LV9,RANK:610 )
|
-
-
6 楼
因为PsGetProcessImageFileName这个函数取的就是EPROCESS中的那16个字节。。。
|
能力值:
(RANK:50 )
|
-
-
7 楼
额,俺的意思是LZ为啥不用PsGetProcessImageFileName而是手动找ImageFileName的偏移。。
好多童鞋似乎都不喜欢用现成的函数而是要……
|
能力值:
( LV3,RANK:30 )
|
-
-
8 楼
额。。。因为原来俺不知道有这个函数。。。
|
能力值:
( LV3,RANK:30 )
|
-
-
9 楼
谢啦,又掌握个技巧
|
能力值:
( LV3,RANK:30 )
|
-
-
10 楼
thanks
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
不错,进军X64
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
该域永远靠谱么?如果靠谱的话,imagefilename 弱爆了
|
能力值:
( LV4,RANK:50 )
|
-
-
13 楼
64位系统下是可以用Callbacks来保护进程
|
能力值:
( LV9,RANK:260 )
|
-
-
14 楼
非常靠谱,不过硬编码始终不太好,最好是 ObOpenObjectByPointer 得到 handle 然后 ZwQueryInformationProcess(xxx, ProcessImageFileName, xxx) 查询。(ZwQueryInformationProcess原理上实际就是取的EPROCESS.SeAuditProcessCreationInfo.ImageFileName.Name)
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
mark,感谢分享
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
方法不错和回调一样很简单。
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
前来受教了,谢谢提供。
|
能力值:
( LV3,RANK:30 )
|
-
-
18 楼
多谢楼上的方法,收下了
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
留名,马克!
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
mark一下
|
能力值:
( LV2,RANK:10 )
|
-
-
21 楼
mark
|
能力值:
( LV2,RANK:10 )
|
-
-
22 楼
好文,学习了
|
能力值:
( LV13,RANK:1760 )
|
-
-
23 楼
mark,以后用的上
|
能力值:
( LV2,RANK:10 )
|
-
-
24 楼
mark, 还没懂怎么用。。
|
能力值:
( LV2,RANK:10 )
|
-
-
25 楼
mark
|
|
|