[求助]win10 1511版本之后，_SECTION_OBJECT结构体哪去了？-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]win10 1511版本之后，_SECTION_OBJECT结构体哪去了？

2021-2-3 11:27 4850

[求助]win10 1511版本之后，_SECTION_OBJECT结构体哪去了？

HJonny

活跃值

2021-2-3 11:27

4850

我想通过SectionObject获取进程执行文件全路径，

以下结构在win10 1511版本之前都可以正常使用，

EPROCESS->SectionObject(_SECTION_OBJECT)->Segment(_SEGMENT)->ControlArea (_CONTROL_AREA)->FilePointer( _FILE_OBJECT)

但是在win10 1511版本之后，
这个 _SECTION_OBJECT就没了

是微软直接去掉他了还是有其它替代结构体？

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

#系统内核 #驱动开发

收藏・1

点赞・0

打赏

分享

最新回复 (1)
闲人_ 雪币： 1036 活跃值： (532) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 31 粉丝 1 关注私信	闲人_ 2021-10-18 13:49 2 楼 0 直接从EPROCESS拿ImageFilePointer
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

返回

HJonny

发帖

回帖

RANK

关注

他的文章

[求助]win10 1511版本之后，_SECTION_OBJECT结构体哪去了？

[求助]关于ACL的问题，保护自身不被OpenProcess,不想上驱动，但是有的系统有效，有的系统无效，还请大佬指点，谢谢

[求助]为什么同一个签名驱动，在有的win7x64位上可以加载，但是有的不行？

[求助]关于Ring0断电关机丢失文件的问题

[讨论]有没有修改汇编指令含义的方法，比如修改0x55(push ebp)的含义为0xCC(int 3)

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区