[分享]一个小小的内核遍历程序-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
小W 雪币： 49 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 105 粉丝 0 关注私信	小W 2 楼虽然论坛8年前都有了，但是还是感谢楼主开源啊，楼主继续放宝码。。。。。。 2014-2-17 15:00 0
JoySauce 雪币： 341 活跃值： (85) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 185 粉丝 0 关注私信	JoySauce 1 3 楼枚举进程 = = 2014-2-17 15:15 0
hnllhuihui 雪币： 67 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 127 粉丝 0 关注私信	hnllhuihui 4 楼命令行编译： BUILD: Computing Include file dependencies: BUILD: Examining d:\zzz directory for files to compile. oacr invalidate root:x86chk /autocleanqueue warnings in directory d:\zzz process.c does not exist 1>Compiling and Linking d:\zzz ************* 1>'nmake.exe /nologo BUILDMSG=Stop. -i BUILD_PASS=PASS2 LINKONLY=1 NOPASS0=1 MAKEDIR_RELATIVE_TO_BASEDIR=' 1>d:\zzz: TARGETPATH is . 1>BUILDMSG: _NT_TARGET_VERSION SET TO WS03 1>NMAKE : fatal error U1073: don't know how to make 'd:\zzz\objchk_wnet_x86\i386\process.obj' 1>errors in directory d:\zzz 1>NMAKE : fatal error U1073: don't know how to make 'd:\zzz\objchk_wnet_x86\i386\process.obj' 1>Stop. 1>nmake.exe /nologo BUILDMSG=Stop. -i BUILD_PASS=PASS2 LINKONLY=1 NOPASS0=1 MAKEDIR_RELATIVE_TO_BASEDIR= failed - rc = 2 2014-2-17 16:12 0
chinadaily 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 40 粉丝 0 关注私信	chinadaily 5 楼我的目的是让更多的人喜欢上驱动编程哈，体会到编程的乐趣。其实我只是菜鸟哈。我上传了附件，给菜鸟们一个玩驱动的小例子。 2014-2-17 16:55 0
惊电雪币： 209 活跃值： (808) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 212 粉丝 1 关注私信	惊电 6 楼好像有Bug： Win2003下永无止境的打印... 2014-2-17 17:48 0
chinadaily 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 40 粉丝 0 关注私信	chinadaily 7 楼楼上可以加一句 if(pFirstEprocess==pEprocess\|\|（(LONG )((LONG)pEprocess + 0x84)）<0) { break; } 我在xp下列举的话还是可以的。我加了这句反而枚举不全了。 while ( pEprocess != NULL ) { ulProcessName = (ULONG)pEprocess + 0x174; ulProcessId = (ULONG )((ULONG)pEprocess + 0x84); KdPrint(("ProcessName = %s, ProcessId = %d \r\n", ulProcessName, ulProcessId)); pEprocess = (PEPROCESS)((ULONG )((ULONG)pEprocess + 0x88) - 0x88); if(pFirstEprocess==pEprocess\|\|（(LONG )((LONG)pEprocess + 0x84)）<0) { break; } } 楼上还可以使用livekd ！process 0 0手动遍历一下你的系统下的进程，就应该了解了。因为我的系统xp的最后一个进程后的进程名就是？？？了你的系统的进程链表如果是无限循环的话，有可能最后一个进程又指向第一个进程了。你可以吧print出来的东西生成一个txt看看是不是这样。 2014-2-17 20:25 0
惊电雪币： 209 活跃值： (808) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 212 粉丝 1 关注私信	惊电 8 楼可以了！上传的附件： Snap1.jpg （72.62kb，37次下载） 2014-2-18 00:34 0
惊电雪币： 209 活跃值： (808) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 212 粉丝 1 关注私信	惊电 9 楼上传的附件： Snap1.jpg （124.47kb，9次下载） 2014-2-18 00:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
小W 雪币： 49 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 105 粉丝 0 关注私信	小W 2 楼虽然论坛8年前都有了，但是还是感谢楼主开源啊，楼主继续放宝码。。。。。。 2014-2-17 15:00 0
JoySauce 雪币： 341 活跃值： (85) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 185 粉丝 0 关注私信	JoySauce 1 3 楼枚举进程 = = 2014-2-17 15:15 0
hnllhuihui 雪币： 67 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 127 粉丝 0 关注私信	hnllhuihui 4 楼命令行编译： BUILD: Computing Include file dependencies: BUILD: Examining d:\zzz directory for files to compile. oacr invalidate root:x86chk /autocleanqueue warnings in directory d:\zzz process.c does not exist 1>Compiling and Linking d:\zzz ************* 1>'nmake.exe /nologo BUILDMSG=Stop. -i BUILD_PASS=PASS2 LINKONLY=1 NOPASS0=1 MAKEDIR_RELATIVE_TO_BASEDIR=' 1>d:\zzz: TARGETPATH is . 1>BUILDMSG: _NT_TARGET_VERSION SET TO WS03 1>NMAKE : fatal error U1073: don't know how to make 'd:\zzz\objchk_wnet_x86\i386\process.obj' 1>errors in directory d:\zzz 1>NMAKE : fatal error U1073: don't know how to make 'd:\zzz\objchk_wnet_x86\i386\process.obj' 1>Stop. 1>nmake.exe /nologo BUILDMSG=Stop. -i BUILD_PASS=PASS2 LINKONLY=1 NOPASS0=1 MAKEDIR_RELATIVE_TO_BASEDIR= failed - rc = 2 2014-2-17 16:12 0
chinadaily 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 40 粉丝 0 关注私信	chinadaily 5 楼我的目的是让更多的人喜欢上驱动编程哈，体会到编程的乐趣。其实我只是菜鸟哈。我上传了附件，给菜鸟们一个玩驱动的小例子。 2014-2-17 16:55 0
惊电雪币： 209 活跃值： (808) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 212 粉丝 1 关注私信	惊电 6 楼好像有Bug： Win2003下永无止境的打印... 2014-2-17 17:48 0
chinadaily 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 40 粉丝 0 关注私信	chinadaily 7 楼楼上可以加一句 if(pFirstEprocess==pEprocess\|\|（(LONG )((LONG)pEprocess + 0x84)）<0) { break; } 我在xp下列举的话还是可以的。我加了这句反而枚举不全了。 while ( pEprocess != NULL ) { ulProcessName = (ULONG)pEprocess + 0x174; ulProcessId = (ULONG )((ULONG)pEprocess + 0x84); KdPrint(("ProcessName = %s, ProcessId = %d \r\n", ulProcessName, ulProcessId)); pEprocess = (PEPROCESS)((ULONG )((ULONG)pEprocess + 0x88) - 0x88); if(pFirstEprocess==pEprocess\|\|（(LONG )((LONG)pEprocess + 0x84)）<0) { break; } } 楼上还可以使用livekd ！process 0 0手动遍历一下你的系统下的进程，就应该了解了。因为我的系统xp的最后一个进程后的进程名就是？？？了你的系统的进程链表如果是无限循环的话，有可能最后一个进程又指向第一个进程了。你可以吧print出来的东西生成一个txt看看是不是这样。 2014-2-17 20:25 0
惊电雪币： 209 活跃值： (808) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 212 粉丝 1 关注私信	惊电 8 楼可以了！上传的附件： Snap1.jpg （72.62kb，37次下载） 2014-2-18 00:34 0
惊电雪币： 209 活跃值： (808) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 212 粉丝 1 关注私信	惊电 9 楼上传的附件： Snap1.jpg （124.47kb，9次下载） 2014-2-18 00:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复