首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]邪恶的T某P把进程结构数据清空了吗
发表于: 2014-12-30 19:42 4611

[求助]邪恶的T某P把进程结构数据清空了吗

天涯何处 活跃值
2014-12-30 19:42
4611
内核中用PsGetCurrentProcess()+0x174不能返回正确值了还有没有别的办法返回访问当有内核的进程名或PID

[课程]Android-CTF解题方法汇总!

收藏
免费 0
支持
分享
最新回复 (5)
天涯何处
雪    币: 44
活跃值: (186)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
没人顶,,自己给自己顶一下
2014-12-30 19:54
0
惊电
雪    币: 209
活跃值: (778)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
一、EPROCESS中:
    1、EPROCESS-->ImageFileName(冰刃获取进程名的地方,只有16个字节,难怪冰刃的进程总少末尾的字节)
    2、EPROCESS-->SeAuditProcessCreationInfo->ImageFileName(任务管理器获取进程名的地方,NtQueryInformationProcess就是从这里获取进程名的)
    3、EPROCESS->SectionObject->Segment->ControlArea->FileObject->FileName(RKU获取进程名的方法)
    4、VAD(记录用户空间内存分配情况的数据结构,里面当然有进程的exe模块)

二、PEB中:
    1、PEB-->ProcessParameters-->ImagePathName
    2、PEB-->ProcessParameters-->CommandLine
    3、PEB-->ProcessParameters-->WindowTitle(这个地方比较奇怪,如果双击的是exe的快捷方式,则记录的是快捷方式的路径,还是一并改掉的好)
    4、PEB-->LDR-->InLoadOrderModuleList->第一个结构->FullDllName
    5、PEB-->LDR-->InLoadOrderModuleList->第一个结构->BaseDllName
    6、PEB-->LDR-->InMemoryOrderModuleList->第一个结构->FullDllName(此处的BaseDllName貌似为NULL,就不管它了)
2014-12-30 20:51
0
PPTV
雪    币: 9560
活跃值: (2391)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
看看回复
2014-12-30 23:46
0
SHATIAN
雪    币: 112
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
Win7为0x16c
2014-12-31 11:07
0
天涯何处
雪    币: 44
活跃值: (186)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
谢谢楼上列出这么多方法
2014-12-31 19:16
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//