R3 ZwQuerySystemInformation、快照进程、ZwQueryInformationProcess都是从哪里获取的进程名和路径??-求助问答-看雪-安全社区|安全招聘|kanxue.com

未解决 R3 ZwQuerySystemInformation、快照进程、ZwQueryInformationProcess都是从哪里获取的进程名和路径??

大佬求关照

2020-12-1 11:03

2306

请问各位大佬快照进程、ZwQuerySystemInformation 、ZwQueryInformationProcess, 这些函数在R0都是从哪里获取的进程名???

参考论坛的文章和查百度说是 _eprocess->SeAuditProcessCreationInfo 但是这个在WIN10有效果，WIN7 X64一直都是 NULL

_eprocess->FileName也是“” 毫无头绪，只能来请教下各位大佬。。。

最后于 2020-12-1 11:06 被大佬求关照编辑，原因：

收藏・0

免费・0

支持

最新回复 (2)
hhkqqs 雪币： 12078 活跃值： (5639) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 41 关注私信	hhkqqs 1 2 楼 NTSTATUS SeLocateProcessImageName(PEPROCESS Process, PUNICODE_STRING *pImageFileName) 兼容Vista~Win10 2020-12-1 15:30 0
大佬求关照雪币： 6 活跃值： (546) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 39 粉丝 0 关注私信	大佬求关照 3 楼 hhkqqs NTSTATUS SeLocateProcessImageName(PEPROCESS Process, PUNICODE_STRING *pImageFileName) 兼容Vista~Win10 大佬怎么修改掉这个值？ 2020-12-1 16:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

大佬求关照

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区