[分享]遍历进程链表得到进程名和进程上下文-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
风尘sus 雪币： 200 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	风尘sus 2 楼谢谢楼主的共享，好像又点复杂 2008-1-16 04:05 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 3 楼 //EPROCESS偏移0x174为ImageFileName(进程名) PsGetProcessImageFileName 2008-1-17 15:38 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 4 楼来个判断操作系统,再得到相应的偏移呀, 硬编码。。。或者动态获取这些变量的偏移地址也不错呀. eg: PsLookupProcessByProcessId--> 4[XP], 8 [WIN2K] --> "System" --> ImageFileName offset... 其他的也可以动态获取嘛~ 炉子帖的那个API也不错~ 写的很好哦.分享学习心得就要顶~~ 2008-1-18 07:40 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 5 楼，写得不错。顶 2008-1-18 08:49 0
Maggle 雪币： 187 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 45 粉丝 1 关注私信	Maggle 1 6 楼 Because I don't know what's WDM two months ago... 2008-1-18 09:42 0
qlwang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 3 粉丝 0 关注私信	qlwang 7 楼我也顶顶顶..................... 2008-1-18 16:20 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 8 楼 [quote=sudami;407270]来个判断操作系统,再得到相应的偏移呀, 硬编码。。。或者动态获取这些变量的偏移地址也不错呀. eg: PsLookupProcessByProcessId--> 4[XP], 8 [WIN2K] --> "System" --> ImageFileN...[/quote] in DriverEntry call PsGetCurrentProcess Get offset of "System" 2008-1-18 17:04 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 9 楼嗯，在3PAGE_SIZE范围内搜索当前EPROCESS,得到System的Offset. 呵呵.这个也不错~~ 00000: ULONG GetProcessNameOffset ( void ) 00001: { 00002: PEPROCESS curproc; 00003: int i = 0; 00004: 00005: curproc = PsGetCurrentProcess(); 00006: for ( i = 0; i < 3 PAGE_SIZE; i++ ) { 00007: if( !strncmp( "System", (PCHAR)curproc + i, strlen("System") )) { 00008: return i; 00009: } 00010: } 00011: 00012: return 0; 00013: } 2008-1-18 17:50 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 10 楼 in DriverEntry->PsGetCurrentProcess PsInitialSystemProcess 2008-1-18 18:20 0
学edit 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	学edit 11 楼学习..... 2008-1-20 19:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
风尘sus 雪币： 200 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	风尘sus 2 楼谢谢楼主的共享，好像又点复杂 2008-1-16 04:05 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 3 楼 //EPROCESS偏移0x174为ImageFileName(进程名) PsGetProcessImageFileName 2008-1-17 15:38 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 4 楼来个判断操作系统,再得到相应的偏移呀, 硬编码。。。或者动态获取这些变量的偏移地址也不错呀. eg: PsLookupProcessByProcessId--> 4[XP], 8 [WIN2K] --> "System" --> ImageFileName offset... 其他的也可以动态获取嘛~ 炉子帖的那个API也不错~ 写的很好哦.分享学习心得就要顶~~ 2008-1-18 07:40 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 5 楼，写得不错。顶 2008-1-18 08:49 0
Maggle 雪币： 187 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 45 粉丝 1 关注私信	Maggle 1 6 楼 Because I don't know what's WDM two months ago... 2008-1-18 09:42 0
qlwang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 3 粉丝 0 关注私信	qlwang 7 楼我也顶顶顶..................... 2008-1-18 16:20 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 8 楼 [quote=sudami;407270]来个判断操作系统,再得到相应的偏移呀, 硬编码。。。或者动态获取这些变量的偏移地址也不错呀. eg: PsLookupProcessByProcessId--> 4[XP], 8 [WIN2K] --> "System" --> ImageFileN...[/quote] in DriverEntry call PsGetCurrentProcess Get offset of "System" 2008-1-18 17:04 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 9 楼嗯，在3PAGE_SIZE范围内搜索当前EPROCESS,得到System的Offset. 呵呵.这个也不错~~ 00000: ULONG GetProcessNameOffset ( void ) 00001: { 00002: PEPROCESS curproc; 00003: int i = 0; 00004: 00005: curproc = PsGetCurrentProcess(); 00006: for ( i = 0; i < 3 PAGE_SIZE; i++ ) { 00007: if( !strncmp( "System", (PCHAR)curproc + i, strlen("System") )) { 00008: return i; 00009: } 00010: } 00011: 00012: return 0; 00013: } 2008-1-18 17:50 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 10 楼 in DriverEntry->PsGetCurrentProcess PsInitialSystemProcess 2008-1-18 18:20 0
学edit 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	学edit 11 楼学习..... 2008-1-20 19:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复