驱动程序开发网技术社区

macwang：我的xp用GetProcessNameOffset();取得偏移怎么总是返回 0？输出 "???"(2007-07-21 17:41)

wanfustudio：引用第4楼ceabie于2007-07-04 09:53发表的 : 应该要进行搜索.我看到过的驱动中,用的中是下面的代码获得偏移量: #define SYSNAME "System" //---------------------------------...(2007-07-19 15:14)

bluacat：最安全的做法是在ImageNotify的时候得到全路径，保存在表中，然后需要的时候查表即可(2007-07-04 13:28)

yyffei：谢谢先莫非这个偏移就是全路径..回去试一下. 能不能把你的EPROCESS结构发出来比较一下. 我是从网上下的一个XP的结构.为什么会和softICE查看得到的地址不对呢.(2007-07-04 13:13)

ceabie：应该要进行搜索.我看到过的驱动中,用的中是下面的代码获得偏移量: #define SYSNAME "System" //--------------------------------------------------------------------...(2007-07-04 09:53)

yyffei：不行,偏移0x1f4,打印为空. 还有一点不明,我获取的进程ID正确.短文件名也正确.用softICE proc了一下.发现这个EPROCESS的地址不对哦.差了4个. 我获取到system的地址是817BD48C. 用SoftICE 得到的是817BD490.(xp-sp2)(2007-07-04 00:01)

yyffei：我回去试试,还有没有不通过硬编码\偏移的方法. 今天虚拟机又坏了.说什么快照信息什么东东的.烦.下了个文件隐藏的工具.想测试一把.没想到.. (2007-06-29 14:00)

qiangguo64：1 PEB? 2 EPROCESS 偏移0x1f4（xpsp2，其他系统没看）处有一个_SE_AUDIT_PROCESS_CREATION_INFO，貌似全路径名(2007-06-29 12:51)

yyffei的个人空间

yyffei