guaiguaiguan的个人空间

访问量0

在一个用户态进程中，可以调用GetStartupInfo函数得到创建进程采用Si参数，即startupinfo结构。在驱动中如何获取呢？高手指点一番。现在的guaiguaiguan既懒又衰。

回复(1) 2007-09-29 10:47 来自版块 - 内核编程

◆ ◆

: WQXNETQIQI：StartUpInfo其实就是从 fs:18h的peb里取的驱动里直接eprocess->peb吧~(2007-09-29 11:58)

回复

guaiguaiguan

加关注写私信