-
进程监视器基本上写规矩了,但有点不爽的就是监视进程的名字中不能获得完整的路径,这对监视恶意进程很不好:知道它启动了,但是却不晓得它的执行文件在哪儿.于是在网上看了看关于这个内核获得用户进程的FullPath的讨论,确实有点另类,总结为6个步骤:1.IoGetCurrentProc...全文
◆
◆
-
paladinii:hehe(2007-12-07 16:10)
-
linfeng1216:3.从SectionObject中获取SegmentObject. 4.从SegmentObject中获取ControlArea. 5.从ControlArea中获取FilePointer (这是一个FileObject指针). 第3步如何做呢?SegmentObject. ...(2007-12-06 22:55)
-
bizhan123:MJ,除了搜索内核对象,还有什么好方法,请提示。 另外,2000下如何获得全路径?好象EPROCESS里面没有SECTION_OBJECT了(2007-11-11 14:44)
-
WQXNETQIQI:这个方法不好~(2007-11-11 14:10)
-
zzzevazzz:楼上说的那个2000下不支持。(2007-11-11 14:10)
-
troylees:呵呵,我的方法也是跟lz一样。但貌似要硬编码,比较郁闷。。。另外,我没有ObQueryNameString(),直接硬编,反正已经郁闷了!(2007-08-23 13:14)
-
vale:引用第7楼mikeyredmoon于2007-08-15 10:38发表的 : 不是阿,那个imagename定义是char[16],我一个一个字符的看就是这样的 比如说 "程序.exe" ....... 没错,是这样的。一般这项也没法用,即使不是中文...(2007-08-15 13:08)
-
mikeyredmoon:引用第6楼vale于2007-08-14 17:58发表的 : 你说的中文乱码是不是dbgprint出来的?你得把unicode转成ansi。ms的宽字符函数处理中文时有问题 不是阿,那个imagename定义是char[16],我一个一个字符的看就是这样的 比如说 &q...(2007-08-15 10:38)
-
vale:引用第2楼mikeyredmoon于2007-08-13 16:40发表的 : 我前几天也作了个进程监控的程序,在这里得到了不少帮助 最后用pscreateprocessnotifyroutine的方法 实现的,这个函数的callback里面的参数是进程id, 取出imagen...(2007-08-14 17:58)
