-
-
[求助]如何在程序运行之前通过驱动修改地址空间内容?
-
发表于:
2016-7-29 15:45
5934
-
[求助]如何在程序运行之前通过驱动修改地址空间内容?
大家好,
我在驱动层通过基于进程的ID加以下两个函数实现了对应用层进程的修改,但是我想在进程启动但未开始执行代码时,就通过驱动修改应用层进程地址空间的内容。
PsLookupProcessByProcessId((HANDLE)PID, &pEProcess);
//附加到要读写的进程
KeStackAttachProcess((PRKPROCESS)pEProcess, &KAPC);
我起初通过程序创建了目标进程后并调用 ResumeThread 函数让进程暂停,但是这样到驱动层就无法通过KeStackAttachProcess 附加进程了,也就无法通过驱动来修改应用层空间内容了。
请问大家有什么办法可以让目标进程暂停, 并通过驱动完成修改呢?
谢谢~
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
