能力值:
( LV12,RANK:420 )
|
-
-
2 楼
直接取得eprocess
eprocess->section object->segment object ->fileobject->filename
|
能力值:
( LV5,RANK:60 )
|
-
-
3 楼
看看
http://bbs.driverdevelop.com/htm_data/16/0807/112468.html
http://www.debugman.com/read.php?tid=1601&fpage=0&toread=&page=1
|
能力值:
( LV13,RANK:1050 )
|
-
-
4 楼
EPROCESS->PEB->ProcessParameters->ImagePathName
|
能力值:
( LV9,RANK:610 )
|
-
-
5 楼
2楼的好一些,PEB未必可靠
|
能力值:
( LV4,RANK:50 )
|
-
-
6 楼
2个地方都可以抹掉,真要隐藏的话,嘿嘿......
|
能力值:
( LV8,RANK:130 )
|
-
-
7 楼
eprocess->vadroot->RightChild->ControlArea->FileObject
当初用这个可以获取phide_ex的路径。
peb的话还有注意是不是在当前进程的空间里
|
能力值:
( LV3,RANK:20 )
|
-
-
8 楼
先谢谢大家!!!
万像客户端 好像是 ring3 的吧, 虽然也有一个驱动勾了几个注册表相关的 API....
ring3 下是不是没办法了?
|
能力值:
( LV12,RANK:420 )
|
-
-
9 楼
ring3下可以从csrss.exe里duplicate一下进程句柄再用
|
能力值:
( LV12,RANK:450 )
|
-
-
10 楼
呵呵,我那个工具里的MyOpenProcess就是抄炉子的这种方法~~
|
能力值:
( LV3,RANK:20 )
|
-
-
11 楼
谢谢
OpenProcess 无效, 如何从csrss.exe里duplicate一下进程句柄再用?
|
能力值:
( LV8,RANK:130 )
|
-
-
12 楼
参考炉子的代码哈~
|
能力值:
( LV3,RANK:20 )
|
-
-
13 楼
在这里找了几天, 找不到啊(ring3下)..........
也找了"炉子"的, 全都是驱动....
|
能力值:
( LV12,RANK:450 )
|
-
-
14 楼
我那个ksbinsword就抄了炉子的那段代码,你可以从那看到r3下的~~
|
能力值:
( LV3,RANK:20 )
|
-
-
15 楼
谢谢, 找到了..........
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
EPROCESS->PEB->ProcessParameters->ImagePathName
为什么我的PEB指向的内容都不能读,用WINDBG跟过去发现显示的都为"??????"
|
能力值:
(RANK:10 )
|
-
-
17 楼
注意进程空间啊
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
直接动eprocess要想些办法确定偏移,eprocess结构太不稳定了。
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
weolar 的也不行,RING0都查看不了,必须根据模块查看路径
|
能力值:
(RANK:510 )
|
-
-
20 楼
不错的文章!值得学习。
|
|
|