[求助]冰刃查看进程路径的原理-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (19)
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 2 楼直接取得eprocess eprocess->section object->segment object ->fileobject->filename 2008-12-18 01:16 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 3 楼看看 http://bbs.driverdevelop.com/htm_data/16/0807/112468.html http://www.debugman.com/read.php?tid=1601&fpage=0&toread=&page=1 2008-12-18 01:30 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 4 楼 EPROCESS->PEB->ProcessParameters->ImagePathName 2008-12-18 01:32 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 5 楼 2楼的好一些，PEB未必可靠 2008-12-18 01:54 0
wowocock 雪币： 405 活跃值： (2150) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 19 关注私信	wowocock 1 6 楼 2个地方都可以抹掉,真要隐藏的话,嘿嘿...... 2008-12-18 10:28 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 7 楼 eprocess->vadroot->RightChild->ControlArea->FileObject 当初用这个可以获取phide_ex的路径。 peb的话还有注意是不是在当前进程的空间里 2008-12-18 12:58 0
kagayaki 雪币： 189 活跃值： (4810) 能力值： ( LV3，RANK：20 ) 在线值：发帖 172 回帖 1232 粉丝 24 关注私信	kagayaki 8 楼先谢谢大家!!! 万像客户端好像是 ring3 的吧, 虽然也有一个驱动勾了几个注册表相关的 API.... ring3 下是不是没办法了? 2008-12-18 15:48 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 9 楼 ring3下可以从csrss.exe里duplicate一下进程句柄再用 2008-12-18 16:06 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 10 楼呵呵，我那个工具里的MyOpenProcess就是抄炉子的这种方法~~ 2008-12-18 17:30 0
kagayaki 雪币： 189 活跃值： (4810) 能力值： ( LV3，RANK：20 ) 在线值：发帖 172 回帖 1232 粉丝 24 关注私信	kagayaki 11 楼谢谢 OpenProcess 无效, 如何从csrss.exe里duplicate一下进程句柄再用? 2008-12-19 16:10 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 12 楼参考炉子的代码哈~ 2008-12-19 21:37 0
kagayaki 雪币： 189 活跃值： (4810) 能力值： ( LV3，RANK：20 ) 在线值：发帖 172 回帖 1232 粉丝 24 关注私信	kagayaki 13 楼在这里找了几天, 找不到啊(ring3下).......... 也找了"炉子"的, 全都是驱动.... 2008-12-22 17:18 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 14 楼我那个ksbinsword就抄了炉子的那段代码，你可以从那看到r3下的~~ 2008-12-22 19:02 0
kagayaki 雪币： 189 活跃值： (4810) 能力值： ( LV3，RANK：20 ) 在线值：发帖 172 回帖 1232 粉丝 24 关注私信	kagayaki 15 楼谢谢, 找到了.......... 2008-12-23 02:49 0
sding 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	sding 16 楼 EPROCESS->PEB->ProcessParameters->ImagePathName 为什么我的PEB指向的内容都不能读，用WINDBG跟过去发现显示的都为"??????" 2008-12-23 12:41 0
zhangjunyu 雪币： 102 能力值： (RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 0 关注私信	zhangjunyu 17 楼注意进程空间啊 2008-12-23 13:04 0
heretic 雪币： 217 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 93 粉丝 0 关注私信	heretic 18 楼直接动eprocess要想些办法确定偏移，eprocess结构太不稳定了。 2008-12-23 19:53 0
escript 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 115 粉丝 0 关注私信	escript 19 楼 weolar 的也不行，RING0都查看不了，必须根据模块查看路径 2008-12-25 21:53 0
加百力雪币： 2604 活跃值： (64) 能力值： (RANK：510 ) 在线值：发帖 86 回帖 896 粉丝 4 关注私信	加百力 12 20 楼不错的文章！值得学习。 2008-12-27 08:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (19)
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 2 楼直接取得eprocess eprocess->section object->segment object ->fileobject->filename 2008-12-18 01:16 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 3 楼看看 http://bbs.driverdevelop.com/htm_data/16/0807/112468.html http://www.debugman.com/read.php?tid=1601&fpage=0&toread=&page=1 2008-12-18 01:30 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 4 楼 EPROCESS->PEB->ProcessParameters->ImagePathName 2008-12-18 01:32 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 5 楼 2楼的好一些，PEB未必可靠 2008-12-18 01:54 0
wowocock 雪币： 405 活跃值： (2150) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 19 关注私信	wowocock 1 6 楼 2个地方都可以抹掉,真要隐藏的话,嘿嘿...... 2008-12-18 10:28 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 7 楼 eprocess->vadroot->RightChild->ControlArea->FileObject 当初用这个可以获取phide_ex的路径。 peb的话还有注意是不是在当前进程的空间里 2008-12-18 12:58 0
kagayaki 雪币： 189 活跃值： (4810) 能力值： ( LV3，RANK：20 ) 在线值：发帖 172 回帖 1232 粉丝 24 关注私信	kagayaki 8 楼先谢谢大家!!! 万像客户端好像是 ring3 的吧, 虽然也有一个驱动勾了几个注册表相关的 API.... ring3 下是不是没办法了? 2008-12-18 15:48 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 9 楼 ring3下可以从csrss.exe里duplicate一下进程句柄再用 2008-12-18 16:06 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 10 楼呵呵，我那个工具里的MyOpenProcess就是抄炉子的这种方法~~ 2008-12-18 17:30 0
kagayaki 雪币： 189 活跃值： (4810) 能力值： ( LV3，RANK：20 ) 在线值：发帖 172 回帖 1232 粉丝 24 关注私信	kagayaki 11 楼谢谢 OpenProcess 无效, 如何从csrss.exe里duplicate一下进程句柄再用? 2008-12-19 16:10 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 12 楼参考炉子的代码哈~ 2008-12-19 21:37 0
kagayaki 雪币： 189 活跃值： (4810) 能力值： ( LV3，RANK：20 ) 在线值：发帖 172 回帖 1232 粉丝 24 关注私信	kagayaki 13 楼在这里找了几天, 找不到啊(ring3下).......... 也找了"炉子"的, 全都是驱动.... 2008-12-22 17:18 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 14 楼我那个ksbinsword就抄了炉子的那段代码，你可以从那看到r3下的~~ 2008-12-22 19:02 0
kagayaki 雪币： 189 活跃值： (4810) 能力值： ( LV3，RANK：20 ) 在线值：发帖 172 回帖 1232 粉丝 24 关注私信	kagayaki 15 楼谢谢, 找到了.......... 2008-12-23 02:49 0
sding 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	sding 16 楼 EPROCESS->PEB->ProcessParameters->ImagePathName 为什么我的PEB指向的内容都不能读，用WINDBG跟过去发现显示的都为"??????" 2008-12-23 12:41 0
zhangjunyu 雪币： 102 能力值： (RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 0 关注私信	zhangjunyu 17 楼注意进程空间啊 2008-12-23 13:04 0
heretic 雪币： 217 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 93 粉丝 0 关注私信	heretic 18 楼直接动eprocess要想些办法确定偏移，eprocess结构太不稳定了。 2008-12-23 19:53 0
escript 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 115 粉丝 0 关注私信	escript 19 楼 weolar 的也不行，RING0都查看不了，必须根据模块查看路径 2008-12-25 21:53 0
加百力雪币： 2604 活跃值： (64) 能力值： (RANK：510 ) 在线值：发帖 86 回帖 896 粉丝 4 关注私信	加百力 12 20 楼不错的文章！值得学习。 2008-12-27 08:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复