-
我在一个user app里通过getCurrentProcessID得到PID值,把这个值传到kernel里.然后在kernel里是不是有什么函数可以通过seek这个pid来判断那个user app的存在?还有,pid的值在user克kernel里的值是一样的吗?
◆
◆
-
stoneabc:问题解决了,我声明了一个全局的指针来用(2005-02-22 11:07)
-
stoneabc:再问一个技术问题, 我看到所谓的 VOID(*PCREATE_PROCESS_NOTIFY_ROUTINE) 只有三个参数:IN HANDLE PARENTID,IN HANDLE PROCESSID,IN BOOLEAN CREATE. 那么请问如果我进入自己写的一个这样...(2005-02-22 10:13)
-
bmyyyud:?? 为什么不能给分了? 没有给分按钮啊。而且显示我没登陆 怎么回事啊? 我也经常遇到此事(2005-02-22 09:35)
-
stoneabc:?? 为什么不能给分了? 没有给分按钮啊。而且显示我没登陆 怎么回事啊?(2005-02-22 09:20)
-
stoneabc:好的,谢谢各位,开始给分了 :) 分不多,各位笑纳(2005-02-22 09:18)
-
bmyyyud:谢谢各位,我终于找到那个函数了,原来它是undocumented的啊。 在msdn里是查不到的。 我想问一下, PsLookupProcessByProcessId的返回值status是那些,分别对应什么情况? 除了正常以外,只有STATUS_INVALID_PA...(2005-02-21 16:14)
-
stoneabc:谢谢各位,我终于找到那个函数了,原来它是undocumented的啊。 在msdn里是查不到的。 我想问一下, PsLookupProcessByProcessId的返回值status是那些,分别对应什么情况?(2005-02-21 15:58)
-
bmyyyud:[quote][quote]可以通过PSLOOUUPPROCESSBYPROCESSID来通过PID获得EPROCESS信息 然后枚举进程链来判断存在否,不过无法发现一些ROOTKIT隐藏的进程信息. 老兄,我查了,好像没有叫PSLOOKUPPROCESSBYPROCE...(2005-02-21 15:39)
-
wowocock:[quote]可以通过PSLOOUUPPROCESSBYPROCESSID来通过PID获得EPROCESS信息 然后枚举进程链来判断存在否,不过无法发现一些ROOTKIT隐藏的进程信息. 老兄,我查了,好像没有叫PSLOOKUPPROCESSBYPROCESSID的ro...(2005-02-21 15:24)
-
stoneabc:可以通过PSLOOUUPPROCESSBYPROCESSID来通过PID获得EPROCESS信息 然后枚举进程链来判断存在否,不过无法发现一些ROOTKIT隐藏的进程信息. 老兄,我查了,好像没有叫PSLOOKUPPROCESSBYPROCESSID的routine啊,...(2005-02-21 15:08)
