-
-
[旧帖]
[求助]ring3下能读出eprocess结构的内容吗?
0.00雪花
-
发表于:
2008-10-14 10:11
4107
-
[旧帖] [求助]ring3下能读出eprocess结构的内容吗?
0.00雪花
网上有人用readvirtualmemory函数,但是觉得不行,这里能有人指点下吗?
下面代码引用于
"自动验证 Windows NT 系统服务描述表的完整性"
获取页表地址的示例代码如下:
const PHYSICAL_ADDRESS TPhysicalMemoryManager::GetPDEAddress(void)
{
HANDLE hProcess = ::OpenProcess(PROCESS_QUERY_INFORMATION, TRUE, ::GetCurrentProcessId());
::THandleTable tblHandles; // 使用 Native API 获取系统句柄表
const TSystemHandle *pHandle = tblHandles.FindHandle(::GetCurrentProcessId(), hProcess);
PVOID pObj = pHandle->Object; //
句柄指向对象地址就是 EPROCESS 结构的地址
PHYSICAL_ADDRESS addr = { 0, 0 };
ReadVirtualMemory((LPCVOID)((DWORD)pObj + 0x18),
&addr.LowPart, sizeof(addr.LowPart));
return addr;
}
如果各位没有心情看上面的代码,那么能不能告诉我如何读出eprocess的内容?我网上查了些,要不就是写驱动,要不就是简单打印出eprocess地址,实在没办法才来求助,希望这里能有希望.
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课