-
-
[旧帖]
[求助]ring3下能读出eprocess结构的内容吗?
0.00雪花
-
发表于:
2008-10-14 10:11
4106
-
[旧帖] [求助]ring3下能读出eprocess结构的内容吗?
0.00雪花
网上有人用readvirtualmemory函数,但是觉得不行,这里能有人指点下吗?
下面代码引用于
"自动验证 Windows NT 系统服务描述表的完整性"
获取页表地址的示例代码如下:
const PHYSICAL_ADDRESS TPhysicalMemoryManager::GetPDEAddress(void)
{
HANDLE hProcess = ::OpenProcess(PROCESS_QUERY_INFORMATION, TRUE, ::GetCurrentProcessId());
::THandleTable tblHandles; // 使用 Native API 获取系统句柄表
const TSystemHandle *pHandle = tblHandles.FindHandle(::GetCurrentProcessId(), hProcess);
PVOID pObj = pHandle->Object; //
句柄指向对象地址就是 EPROCESS 结构的地址
PHYSICAL_ADDRESS addr = { 0, 0 };
ReadVirtualMemory((LPCVOID)((DWORD)pObj + 0x18),
&addr.LowPart, sizeof(addr.LowPart));
return addr;
}
如果各位没有心情看上面的代码,那么能不能告诉我如何读出eprocess的内容?我网上查了些,要不就是写驱动,要不就是简单打印出eprocess地址,实在没办法才来求助,希望这里能有希望.
[课程]Android-CTF解题方法汇总!
