[求助]知道PID 驱动中如何判断进程已经被关闭了呢？-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 2 楼 PsGetProcessExitStatus 2009-3-29 17:52 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 3 楼够冷够强悍!这个API,好象不支持2000,PsGetProcessExitTime又不够精确 2009-3-29 18:02 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 4 楼判断ObjectTable是否为0 2009-3-29 18:12 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 5 楼每个系统的结构又不同算了自己写吧看来没好的通用的了 2009-3-29 18:18 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 6 楼 NotifyRoutine 2009-3-29 18:25 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 7 楼 PULONG PsGetProcessObjectTable(ULONG mPEPROCESS) { ULONG result; if (yourWinVer==WINDOWS_VERSION_2K) { memmove(&result,(PULONG)(mPEPROCESS+0x128),4); } else { if ((yourWinVer==WINDOWS_VERSION_XP)\|\|(yourWinVer==WINDOWS_VERSION_2K3)) { memmove(&result,(PULONG)(mPEPROCESS+0x0c4),4); } else { if (yourWinVer==WINDOWS_VERSION_2K3_SP1_SP2) { memmove(&result,(PULONG)(mPEPROCESS+0x0d4),4); } else { if (yourWinVer==WINDOWS_VERSION_VISTA) { memmove(&result,(PULONG)(mPEPROCESS+0x0dc),4); } else { result=0; } } } } return (PULONG)result; } 2009-3-29 18:37 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 8 楼 ZwQueryInformationProcess ProcessBasicInformation->ExitStatus 标准做法 2009-3-29 21:48 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 9 楼如果该进程ID又被新的进程占用了呢 2009-3-29 22:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 2 楼 PsGetProcessExitStatus 2009-3-29 17:52 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 3 楼够冷够强悍!这个API,好象不支持2000,PsGetProcessExitTime又不够精确 2009-3-29 18:02 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 4 楼判断ObjectTable是否为0 2009-3-29 18:12 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 5 楼每个系统的结构又不同算了自己写吧看来没好的通用的了 2009-3-29 18:18 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 6 楼 NotifyRoutine 2009-3-29 18:25 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 7 楼 PULONG PsGetProcessObjectTable(ULONG mPEPROCESS) { ULONG result; if (yourWinVer==WINDOWS_VERSION_2K) { memmove(&result,(PULONG)(mPEPROCESS+0x128),4); } else { if ((yourWinVer==WINDOWS_VERSION_XP)\|\|(yourWinVer==WINDOWS_VERSION_2K3)) { memmove(&result,(PULONG)(mPEPROCESS+0x0c4),4); } else { if (yourWinVer==WINDOWS_VERSION_2K3_SP1_SP2) { memmove(&result,(PULONG)(mPEPROCESS+0x0d4),4); } else { if (yourWinVer==WINDOWS_VERSION_VISTA) { memmove(&result,(PULONG)(mPEPROCESS+0x0dc),4); } else { result=0; } } } } return (PULONG)result; } 2009-3-29 18:37 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 8 楼 ZwQueryInformationProcess ProcessBasicInformation->ExitStatus 标准做法 2009-3-29 21:48 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 9 楼如果该进程ID又被新的进程占用了呢 2009-3-29 22:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复