首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助](已解决)如何获得ImageFileName的偏移量? 0.00雪花
发表于: 2009-9-9 16:07 3853

[旧帖] [求助](已解决)如何获得ImageFileName的偏移量? 0.00雪花

这真不行 活跃值
2009-9-9 16:07
3853
网上搜了一下,大部分都是使用下面这个方法来获得ImageFileName在EPROCESS中的偏移量
ULONG GetImageNameOffset(PEPROCESS pCurrentProcess)
{
    ULONG nNameOffset;
    for(nNameOffset = 0; nNameOffset < PAGE_SIZE; nNameOffset ++)
    {
        if( !strncmp( "System",(PCHAR)pCurrentProcess + nNameOffset,strlen("System")) )
        {
            KdPrint((" NAMEOFFSET is 0x%X",nNameOffset));
            return nNameOffset;
        }
    }
    return 0;
}

可是我用这个方法根本得不到想要的结果
另外我认为 if( !strncmp( "System",(PCHAR)pCurrentProcess + nNameOffset,strlen("System")) )存在问题的,因为ImageFileName中存放的是当前进程名称,怎么会与System相等呢?

期待牛人解答!

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (3)
b23526
雪    币: 4560
活跃值: (1002)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
2
GetImageNameOffset这个函数是要在驱动入口调用的,因为加载驱动的进程名是"System"所以可以以此类推其他的进程进程名也是在这个偏移量的位置存放的
2009-9-9 16:11
0
Akihyou
雪    币: 460
活跃值: (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
在DriverEntry调用时就是System了
2009-9-9 16:12
0
这真不行
雪    币: 77
活跃值: (17)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
4
哦哦
原来是这个样子滴
看来是我把正确的方法用在了错误的地方导致不正确的结果啊
长知识了,谢谢LS两位
2009-9-9 16:22
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//