-
通过对peb进行操作 我们可以获取到当前进程的完整路径的punicode类型的字符串processname,但是当我们有时候需要分析该字符串时候,比如 sccstr(...,processname->Buffer,l"\\c:good")会蓝屏,dbg跟...全文
◆
◆
-
znsoft:你应该明白 cstr,wstr和unicode_string的不同,前两个是以\0结尾,最后一个是以长度标识的 你的用法,早晚要死机......(2007-06-29 19:20)
-
sunway_yin:楼上的说的是对的 那一行的确是错了但只是我的笔误. 事实上就算改过了还是一样会出错, 这样做的话 只要打开word就会死掉. 但是其他程序不会存在这样的问题. 所以提出来给大家 希望大家能多多指点谢谢(2007-06-29 16:31)
-
qiangguo64:根据你的代码分析,你是先取得PEB的指针,然后取得PEB里的指向_RTL_USER_PROCESS_PARAMETERS的ProcessParameters,然后取ImagePathName 但是你的代码里 PEPROCESS Curr...(2007-06-29 13:17)
-
sunway_yin:近日在通过peb获取到进程的完整路径然后需要对他进行分析的时候就出错了。代码如下 : 获取当前进程的完整路径的代码: PEPROCESS CurrentProcess = NULL; PUNICODE_STRING ...(2007-06-29 10:00)
-
liyunch:wcsstr是以short 0为结尾来查找字串,如果buffer边界恰好不是short 0 .....(2007-06-28 15:24)
-
devia:你是直接用PEB中的成员BUFFER还是自己额外申请的BUFFER?(2007-06-27 15:41)
-
sunway_yin:当 利用peb获取到了当前进程的完整路径pname后,如果想进行下面的操作 比如:想比较该路径是否含有特定字符用:if((wcsstr(name->Buffer,L"\\C:"))) ...(2007-06-27 15:18)
