[求助]64位Win7下HANDLE_TABLE_ENTRY关于PEPROCESS或PETHREAD的转换公式-求助问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 2 楼我猜你说的是pspcidtable 如果是，那么请看这个 https://github.com/AzureGreen/ArkToolDrv/blob/8f60fde19a9686cf79ee8842f228182d1ae91a26/Source/SysThread.c 2018-12-14 21:02 0
hhkqqs 雪币： 11963 活跃值： (5544) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 40 关注私信	hhkqqs 1 3 楼多谢指教，看来确实如我所设想的，把TableEntry前8字节取出来，低3位清零得到PEPROCESS。顺便请教一下64位Win8.1的RefCnt、ObjectPointerBits分别是多少位呢，谢谢！ 2018-12-14 21:25 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 4 楼 https://github.com/processhacker/processhacker/blob/2bb718f36a702fde6cb346e9179696bb8c758d1f/KProcessHacker/include/ntfill.h#L148 自己看 2018-12-15 11:21 0
hhkqqs 雪币： 11963 活跃值： (5544) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 40 关注私信	hhkqqs 1 5 楼这个头文件我之前看过，只有win7的结构体，没有win8之后带objectpointerbits的value，补充一下，我想单独实现 EnumHandleTable，兼容win7到win10，所以想了解一下每个版本的objectpointerbits 最后于 2018-12-15 21:40 被hhkqqs编辑，原因： 2018-12-15 21:33 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 6 楼 hhkqqs 这个头文件我之前看过，只有win7的结构体，没有win8之后带objectpointerbits的value，补充一下，我想单独实现 EnumHandleTable，兼容win7到win10，所 ... win8以后解码方式都一样的，自己找个有符号的ntosIDA一下 2018-12-18 14:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 2 楼我猜你说的是pspcidtable 如果是，那么请看这个 https://github.com/AzureGreen/ArkToolDrv/blob/8f60fde19a9686cf79ee8842f228182d1ae91a26/Source/SysThread.c 2018-12-14 21:02 0
hhkqqs 雪币： 11963 活跃值： (5544) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 40 关注私信	hhkqqs 1 3 楼多谢指教，看来确实如我所设想的，把TableEntry前8字节取出来，低3位清零得到PEPROCESS。顺便请教一下64位Win8.1的RefCnt、ObjectPointerBits分别是多少位呢，谢谢！ 2018-12-14 21:25 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 4 楼 https://github.com/processhacker/processhacker/blob/2bb718f36a702fde6cb346e9179696bb8c758d1f/KProcessHacker/include/ntfill.h#L148 自己看 2018-12-15 11:21 0
hhkqqs 雪币： 11963 活跃值： (5544) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 40 关注私信	hhkqqs 1 5 楼这个头文件我之前看过，只有win7的结构体，没有win8之后带objectpointerbits的value，补充一下，我想单独实现 EnumHandleTable，兼容win7到win10，所以想了解一下每个版本的objectpointerbits 最后于 2018-12-15 21:40 被hhkqqs编辑，原因： 2018-12-15 21:33 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 6 楼 hhkqqs 这个头文件我之前看过，只有win7的结构体，没有win8之后带objectpointerbits的value，补充一下，我想单独实现 EnumHandleTable，兼容win7到win10，所 ... win8以后解码方式都一样的，自己找个有符号的ntosIDA一下 2018-12-18 14:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

未解决 [求助]64位Win7下HANDLE_TABLE_ENTRY关于PEPROCESS或PETHREAD的转换公式