首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]求一段代码,获取EPROCESS的创建时间,R0层
发表于: 2014-1-27 15:28 4448

[求助]求一段代码,获取EPROCESS的创建时间,R0层

cjbclown 活跃值
2014-1-27 15:28
4448
LARGE_INTEGER a,b;
       DWORD *aa;
     TIME_FIELDS tmt;
      DbgPrint("EP地址:%X\n",process);//地址是对的
     a = (LARGE_INTEGER*)process+0x78;//获取退出时间
     ExSystemTimeToLocalTime(&a,&b);
    RtlTimeToTimeFields(&a,&tmt);
    DbgPrint("%d\n%d\n%d\n%d\n%d\n%d\n%d\n%d\n", tmt.Year,tmt.Month,tmt.Day,tmt.Hour,tmt.Minute,tmt.Second,tmt.Milliseconds,tmt.Weekday);//打印出来的时间不对,
我想问一下这里该怎么显示时间呢?谢谢哥们
       
        //LONGLONG tim=PsGetProcessCreateTimeQuadPart(process);
        上次有人说这个API获取创建时间,但返回的是LONGLONG的类型,我不太清楚在R0层怎么显示时间

        DbgPrint("%ld\n",PsGetProcessCreateTimeQuadPart(process));
        //a=PsGetProcessExitTime();

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (2)
cjbclown
雪    币: 29
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
自己顶一下@!!!
2014-1-27 18:49
0
iceway
雪    币: 19
活跃值: (1086)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
VOID a()
{
        CHAR szTime[128];
        LARGE_INTEGER systemTime, localTime;
        LARGE_INTEGER processTime;
        processTime.QuadPart = PsGetProcessCreateTimeQuadPart((PEPROCESS)0x86098da0);//0x86098da0 explorer.exe

        TIME_FIELDS timeField;

        ExSystemTimeToLocalTime(&processTime, &localTime);

        RtlTimeToTimeFields(&localTime, &timeField);

        KdPrint(("%d-%02d-%02d %02d:%02d:%02d:%03d",
                timeField.Year,
                timeField.Month,
                timeField.Day,
                timeField.Hour,
                timeField.Minute,
                timeField.Second,
                timeField.Milliseconds));
}
2014-1-27 21:17
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//