版块
论坛
喜欢
话题
应用
搜索
登录
注册
bizhan123的个人空间
访问量
0
新鲜事
帖子
资料
http://bbs3.driverdevelop.com/index.php?m=space&uid=164262
转载网上一篇“如何获取用户进程全路径名”的文章
进程监视器基本上写规矩了,但有点不爽的就是监视进程的名字中不能获得完整的路径,这对监视恶意进程很不好:知道它启动了,但是却不晓得它的执行文件在哪儿.于是在网上看了看关于这个内核获得用户进程的FullPath的讨论,确实有点另类,总结为6个步骤:1.IoGetCurrentProc...
全文
回复
(
15
)
2007-08-13 12:06
来自版块 -
内核编程
◆
◆
表情
告诉我的粉丝
提 交
paladinii
:
hehe
(2007-12-07 16:10)
回复
linfeng1216
:
3.从SectionObject中获取SegmentObject. 4.从SegmentObject中获取ControlArea. 5.从ControlArea中获取FilePointer (这是一个FileObject指针). 第3步如何做呢?SegmentObject. ...
(2007-12-06 22:55)
回复
bizhan123
:
MJ,除了搜索内核对象,还有什么好方法,请提示。 另外,2000下如何获得全路径?好象EPROCESS里面没有SECTION_OBJECT了
(2007-11-11 14:44)
回复
WQXNETQIQI
:
这个方法不好~
(2007-11-11 14:10)
回复
zzzevazzz
:
楼上说的那个2000下不支持。
(2007-11-11 14:10)
回复
JenyCheng
:
这里有个关于获取进程全路径的代码
http://csdog.blog.sohu.com/55578516.html
(2007-11-11 05:33)
回复
troylees
:
呵呵,我的方法也是跟lz一样。但貌似要硬编码,比较郁闷。。。另外,我没有ObQueryNameString(),直接硬编,反正已经郁闷了!
(2007-08-23 13:14)
回复
vale
:
引用第7楼mikeyredmoon于2007-08-15 10:38发表的 : 不是阿,那个imagename定义是char[16],我一个一个字符的看就是这样的 比如说 "程序.exe" ....... 没错,是这样的。一般这项也没法用,即使不是中文...
(2007-08-15 13:08)
回复
mikeyredmoon
:
引用第6楼vale于2007-08-14 17:58发表的 : 你说的中文乱码是不是dbgprint出来的?你得把unicode转成ansi。ms的宽字符函数处理中文时有问题 不是阿,那个imagename定义是char[16],我一个一个字符的看就是这样的 比如说 &q...
(2007-08-15 10:38)
回复
vale
:
引用第2楼mikeyredmoon于2007-08-13 16:40发表的 : 我前几天也作了个进程监控的程序,在这里得到了不少帮助 最后用pscreateprocessnotifyroutine的方法 实现的,这个函数的callback里面的参数是进程id, 取出imagen...
(2007-08-14 17:58)
回复
1
2
下一页 »
bizhan123
加关注
写私信
0
关注
0
粉丝
129
帖子
返回顶部