首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]切换到Explorer.exe进程空间的相关问题
发表于: 2009-6-17 21:57 4505

[求助]切换到Explorer.exe进程空间的相关问题

cnghost 活跃值
2009-6-17 21:57
4505
想使用HKEY_CURRENT_USER。搜了一下帖了,说切换到Explorer.exe进程空间里,然后用
RtlFormatCurrentUserKeyPath可以得到HKEY_CURRENT_USER的Handle。

我A了段代码,得到了Explorer.exe的EPROCESS,可是在KeAttachProcess是却BSOD。

请问有人有这样的示例代码吗?

KeAttachProcess(&process);
Status = RtlFormatCurrentUserKeyPath(&KeyPath);
KeDetachProcess();

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
免费 0
支持
分享
最新回复 (5)
cnghost
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
各位大牛帮帮忙,有谁有能安全取得HKEY_CURRENT_USER键Handle的代码吗?给我参考一下.谢谢.
2009-6-17 22:35
0
cschenhui
雪    币: 290
活跃值: (20)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
3
晕谁告诉你读写注册表要切换空间
2009-6-18 09:30
0
轩辕小聪
雪    币: 722
活跃值: (123)
能力值: ( LV12,RANK:300 )
在线值:
发帖
回帖
粉丝
私信
4
KeAttachProcess(&process);
process变量是什么类型?如果process已经是PEPROCESS了,那直接KeAttachProcess(process)
2009-6-18 15:46
0
cnghost
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
process是EPROCESS
我不用KeAttachProcess(&process);的话,读取的是system用户的健值。

这个问题,我已经解决了。
原先我是定义一个EPROCESS,在一个函数中调用取得EPROCESS
EPROCESS eprocess;
GetExplorerEprocess(&eprocess);
KeAttachProcess时就蓝屏,现在我把这段调用函数去除,直接把取eprocess的函数的代码放在当前函数里,就成功了。不知道为什么,一直没搞清楚。
2009-6-18 23:01
0
轩辕小聪
雪    币: 722
活跃值: (123)
能力值: ( LV12,RANK:300 )
在线值:
发帖
回帖
粉丝
私信
6
如果你是配合Ring3程序使用的话,不需要Attach到Explorer.exe,Ring3程序加载这个驱动后,用DeviceIoControl,驱动在IRP_MJ_DEVICE_CONTROL响应例程里用RtlFormatCurrentUserKeyPath,这样由于响应例程是处于在相应的进程中,就可以得到Ring3部分相应进程的用户对应的路径了。
2009-6-19 20:12
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//