[求助]Ring0列举每个进程路径-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
jinjing 雪币： 182 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 34 回帖 103 粉丝 0 关注私信	jinjing 2 楼 help me!HELP! 2008-11-18 18:56 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 3 楼从system的EPROCESS开始遍历ActiveProcessLink就可以了嘛，进程路径可以从PEB里取，完整代码没时间写… 2008-11-18 19:07 0
jinjing 雪币： 182 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 34 回帖 103 粉丝 0 关注私信	jinjing 4 楼我自己写了一下代码，怕蓝屏！！请大侠们帮忙检查！！！！！ #include<ntddk.h> PCWSTR GetCurrentProcessFileName(DWORD dwAddress) { if(dwAddress == 0 \|\| dwAddress == 0xFFFFFFFF) return NULL; dwAddress += 0x1B0; if((dwAddress = (DWORD)dwAddress) == 0) return 0; dwAddress += 0x10; if((dwAddress = (DWORD)dwAddress) == 0) return 0; dwAddress += 0x3C; if((dwAddress = (DWORD)dwAddress) == 0) return 0; KdPrint((“Current Process Full Path Name: %ws\n”, (PCWSTR)dwAddress)); return (PCWSTR)dwAddress; } VOID CheckProcess() { DWORD eprocess; DWORD activeprocesslink; DWORD nextlink; DWORD nexteprocess; eprocess=(DWORD)PsGetCurrentProcess(); activeprocesslink=eprocess+0x088; nextlink=(DWORD)activeprocesslink; if(!nextlink) { return; } while(nextlink!=activeprocesslink) { nexteprocess=nextlink-0x088; GetCurrentProcessFileName(nexteprocess); nextlink=(DWORD)nextlink; } } VOID DDKUnload( IN PDRIVER_OBJECT DriverObject ) { DbgPrint("UNloading....."); } NTSTATUS DriverEntry( IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath ) { DbgPrint("registrypath is: %S",RegistryPath->Buffer); DriverObject->DriverUnload =DDKUnload; CheckProcess(); return STATUS_SUCCESS; } 2008-11-18 19:24 0
qdk 雪币： 231 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 423 粉丝 0 关注私信	qdk 5 楼怕蓝屏就弄虚拟机。不过有一回调试一个驱动，连虚拟机都挂了 2008-11-18 19:36 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 6 楼你怕蓝屏？这理由…那个别人就不怕了？写驱动就不要怕蓝 2008-11-18 21:01 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 7 楼驱动是蓝出来的 2009-4-5 15:41 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 8 楼光看你的代码，应该回蓝屏 ,你可以试试 2009-4-5 16:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
jinjing 雪币： 182 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 34 回帖 103 粉丝 0 关注私信	jinjing 2 楼 help me!HELP! 2008-11-18 18:56 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 3 楼从system的EPROCESS开始遍历ActiveProcessLink就可以了嘛，进程路径可以从PEB里取，完整代码没时间写… 2008-11-18 19:07 0
jinjing 雪币： 182 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 34 回帖 103 粉丝 0 关注私信	jinjing 4 楼我自己写了一下代码，怕蓝屏！！请大侠们帮忙检查！！！！！ #include<ntddk.h> PCWSTR GetCurrentProcessFileName(DWORD dwAddress) { if(dwAddress == 0 \|\| dwAddress == 0xFFFFFFFF) return NULL; dwAddress += 0x1B0; if((dwAddress = (DWORD)dwAddress) == 0) return 0; dwAddress += 0x10; if((dwAddress = (DWORD)dwAddress) == 0) return 0; dwAddress += 0x3C; if((dwAddress = (DWORD)dwAddress) == 0) return 0; KdPrint((“Current Process Full Path Name: %ws\n”, (PCWSTR)dwAddress)); return (PCWSTR)dwAddress; } VOID CheckProcess() { DWORD eprocess; DWORD activeprocesslink; DWORD nextlink; DWORD nexteprocess; eprocess=(DWORD)PsGetCurrentProcess(); activeprocesslink=eprocess+0x088; nextlink=(DWORD)activeprocesslink; if(!nextlink) { return; } while(nextlink!=activeprocesslink) { nexteprocess=nextlink-0x088; GetCurrentProcessFileName(nexteprocess); nextlink=(DWORD)nextlink; } } VOID DDKUnload( IN PDRIVER_OBJECT DriverObject ) { DbgPrint("UNloading....."); } NTSTATUS DriverEntry( IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath ) { DbgPrint("registrypath is: %S",RegistryPath->Buffer); DriverObject->DriverUnload =DDKUnload; CheckProcess(); return STATUS_SUCCESS; } 2008-11-18 19:24 0
qdk 雪币： 231 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 423 粉丝 0 关注私信	qdk 5 楼怕蓝屏就弄虚拟机。不过有一回调试一个驱动，连虚拟机都挂了 2008-11-18 19:36 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 6 楼你怕蓝屏？这理由…那个别人就不怕了？写驱动就不要怕蓝 2008-11-18 21:01 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 7 楼驱动是蓝出来的 2009-4-5 15:41 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 8 楼光看你的代码，应该回蓝屏 ,你可以试试 2009-4-5 16:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复