[求助]驱动中如何调用NtQueryInformationProcess-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
syzhaoyu 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 31 粉丝 0 关注私信	syzhaoyu 2 楼高手们帮帮忙啊 2008-4-27 00:49 0
syzhaoyu 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 31 粉丝 0 关注私信	syzhaoyu 3 楼自己再顶，高手们来看看啊 2008-4-28 22:31 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 4 楼 NtQueryInformationProcess的实质是读EPROCESS 如果只是要获得PEB的话，只需要PsGetCurrentProcess得到本进程EPROCESS结构指针，然后EPROCESS结构的偏移0x1B0处（XP和2k貌似都是这个偏移）保存的PVOID值就是PebBaseAddress，或者有个未文档的内核函数PsGetProcessPeb（唯一的参数就是这个EPROCESS指针），返回值也就是PebBaseAddress（操作实质是一样的）至于你这样NtQueryInformationProcess，试了一下真的蓝了，不清楚原因…… 2008-4-28 22:50 0
syzhaoyu 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 31 粉丝 0 关注私信	syzhaoyu 5 楼我的倒是没蓝屏，但是读不到数据 2008-4-29 21:41 0
Aegisys 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	Aegisys 6 楼驱动中使用Nt*的一些函数需要system thread的上下文 2008-6-19 22:01 0
codez 雪币： 239 活跃值： (40) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 26 粉丝 0 关注私信	codez 3 7 楼楼上正解。需要 RequestorMode == KernelMode 2008-6-19 22:50 0
cxhcxh 雪币： 287 活跃值： (102) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 245 粉丝 0 关注私信	cxhcxh 3 8 楼用Zw*不是很好吗 2008-6-19 23:02 0
ainwx 雪币： 93 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 0 关注私信	ainwx 9 楼蓝屏是因为这句 KdPrint(("%ws\n",ProcessBasicInfo.PebBaseAddress->ProcessParameters->ImagePathName.Buffer)); 因为进程"system" 的peb的值总为0，引用一个值为0的指针导致BSOD 2008-10-9 21:30 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 10 楼 use ZwQueryInformationProcess instead 2008-10-10 20:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
syzhaoyu 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 31 粉丝 0 关注私信	syzhaoyu 2 楼高手们帮帮忙啊 2008-4-27 00:49 0
syzhaoyu 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 31 粉丝 0 关注私信	syzhaoyu 3 楼自己再顶，高手们来看看啊 2008-4-28 22:31 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 4 楼 NtQueryInformationProcess的实质是读EPROCESS 如果只是要获得PEB的话，只需要PsGetCurrentProcess得到本进程EPROCESS结构指针，然后EPROCESS结构的偏移0x1B0处（XP和2k貌似都是这个偏移）保存的PVOID值就是PebBaseAddress，或者有个未文档的内核函数PsGetProcessPeb（唯一的参数就是这个EPROCESS指针），返回值也就是PebBaseAddress（操作实质是一样的）至于你这样NtQueryInformationProcess，试了一下真的蓝了，不清楚原因…… 2008-4-28 22:50 0
syzhaoyu 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 31 粉丝 0 关注私信	syzhaoyu 5 楼我的倒是没蓝屏，但是读不到数据 2008-4-29 21:41 0
Aegisys 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	Aegisys 6 楼驱动中使用Nt*的一些函数需要system thread的上下文 2008-6-19 22:01 0
codez 雪币： 239 活跃值： (40) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 26 粉丝 0 关注私信	codez 3 7 楼楼上正解。需要 RequestorMode == KernelMode 2008-6-19 22:50 0
cxhcxh 雪币： 287 活跃值： (102) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 245 粉丝 0 关注私信	cxhcxh 3 8 楼用Zw*不是很好吗 2008-6-19 23:02 0
ainwx 雪币： 93 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 0 关注私信	ainwx 9 楼蓝屏是因为这句 KdPrint(("%ws\n",ProcessBasicInfo.PebBaseAddress->ProcessParameters->ImagePathName.Buffer)); 因为进程"system" 的peb的值总为0，引用一个值为0的指针导致BSOD 2008-10-9 21:30 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 10 楼 use ZwQueryInformationProcess instead 2008-10-10 20:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复