[求助]如何在RING0中根据指定进程的PID获取进程的全路径-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 2 楼 2k下zwqueryvirutualmemory，失败的话走 peb 其他系统zwqueryinformationprocess 2009-6-18 17:34 0
dayang 雪币： 220 活跃值： (711) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 3 楼多谢LS的回复，看来这个问题有点棘手呀 2009-6-18 20:14 0
neverqq 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 48 粉丝 0 关注私信	neverqq 4 楼全路径好像必须从PEB里面捞， Handle: ObReferenceObjectByHandle－>ZwQueryInformationProcess->PROCESS_BASIC_INFORMATION->PEB PID: PsLookupProcessByProcessId-> EPROCESS ->PEB 2009-6-19 23:17 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 5 楼有了进程句柄后，ZwQueryInformationProcess(ProcessInformationClass指定为ProcessImageFileName)就可以得到进程全路径名的，这也算棘手？Google一下代码就全都有了。对楼主说“查了N多资料”这一点表示怀疑。 2009-6-20 00:06 0
火翼[CCG] 雪币： 435 活跃值： (172) 能力值： ( LV13，RANK：280 ) 在线值：发帖 26 回帖 252 粉丝 4 关注私信	火翼[CCG] 6 6 楼这个答案绝对够用了 2009-6-20 00:39 0
dayang 雪币： 220 活跃值： (711) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 7 楼 2k下zwqueryvirutualmemory，失败的话走 peb 不同系统的PEB，不一样吧？ 2009-6-20 09:30 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 8 楼 zwqueryinformationprocess->processbasicinformation->pebbaseaddress 可在不同系统得到PEB 2009-6-20 15:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 2 楼 2k下zwqueryvirutualmemory，失败的话走 peb 其他系统zwqueryinformationprocess 2009-6-18 17:34 0
dayang 雪币： 220 活跃值： (711) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 3 楼多谢LS的回复，看来这个问题有点棘手呀 2009-6-18 20:14 0
neverqq 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 48 粉丝 0 关注私信	neverqq 4 楼全路径好像必须从PEB里面捞， Handle: ObReferenceObjectByHandle－>ZwQueryInformationProcess->PROCESS_BASIC_INFORMATION->PEB PID: PsLookupProcessByProcessId-> EPROCESS ->PEB 2009-6-19 23:17 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 5 楼有了进程句柄后，ZwQueryInformationProcess(ProcessInformationClass指定为ProcessImageFileName)就可以得到进程全路径名的，这也算棘手？Google一下代码就全都有了。对楼主说“查了N多资料”这一点表示怀疑。 2009-6-20 00:06 0
火翼[CCG] 雪币： 435 活跃值： (172) 能力值： ( LV13，RANK：280 ) 在线值：发帖 26 回帖 252 粉丝 4 关注私信	火翼[CCG] 6 6 楼这个答案绝对够用了 2009-6-20 00:39 0
dayang 雪币： 220 活跃值： (711) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 7 楼 2k下zwqueryvirutualmemory，失败的话走 peb 不同系统的PEB，不一样吧？ 2009-6-20 09:30 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 8 楼 zwqueryinformationprocess->processbasicinformation->pebbaseaddress 可在不同系统得到PEB 2009-6-20 15:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复