从想得到ndis.sys的基址想到的问题。

$fracker$ fracker 驱动太牛注册日期2001-06-28 最后登录2021-03-30 粉丝0 关注0 积分219分威望81点贡献值0点好评度23点原创分0分专家分1分加关注写私信	阅读：1509回复：5 从想得到ndis.sys的基址想到的问题。楼主^# 更多只看楼主倒序阅读发布于：2002-05-16 11:51 利用ZwQuerySystemInformation只能得到加载的内核模块的映像，那如果要得到所有进程的映象，该如何？
	喜欢1 最新喜欢： moqing... 回复

pjf 驱动中牛注册日期2001-07-08 最后登录2006-10-23 粉丝0 关注0 积分42分威望4点贡献值0点好评度4点原创分0分专家分0分加关注写私信	沙发^# 发布于：2002-05-16 13:30 用KeGetCurrentThread函数等方法得到ETHREAD结构头指针，由此得到EPROCESS结构，再由进程链的所有进程EPROCESS。一般你需要的东西都可找到了。若要找进程环境里的一些东西，如PEB，要先Attach到该环境。
	回复(0) 喜欢(0)

qtnl 驱动牛犊注册日期2002-02-21 最后登录2010-03-19 粉丝0 关注0 积分0分威望0点贡献值0点好评度0点原创分0分专家分0分加关注写私信	板凳^# 发布于：2002-05-16 14:16 fracker大侠能贴一下pcausa里免费例子的链接吗？谢谢！！！
	回复(0) 喜欢(0)

$fracker$ fracker 驱动太牛注册日期2001-06-28 最后登录2021-03-30 粉丝0 关注0 积分219分威望81点贡献值0点好评度23点原创分0分专家分1分加关注写私信	地板^# 发布于：2002-05-16 15:22 好像没有免费的哦，可以免费下，但是要序列号，序列号要钱。 www.pcausa.com
	回复(0) 喜欢(0)

$fracker$

fracker

驱动太牛

加关注写私信

地下室^#

发布于：2002-05-17 18:04

用KeGetCurrentThread函数等方法得到ETHREAD结构头指针，由此得到EPROCESS结构，再由进程链的所有进程EPROCESS。一般你需要的东西都可找到了。
若要找进程环境里的一些东西，如PEB，要先Attach到该环境。

EPROCESS果然是有这个那么一个什么BaseAddress的东西，确实能找到进程映象，还有一个LIST_ENTRY，估计也可以枚举到别的进程，好，给分！

回复喜欢

pjf 驱动中牛注册日期2001-07-08 最后登录2006-10-23 粉丝0 关注0 积分42分威望4点贡献值0点好评度4点原创分0分专家分0分加关注写私信	5楼^# 发布于：2002-05-17 19:16 不用估计了，呵呵，必然可以。以前写有关内核一些东西的分析程序自然用到，不过程序早随旧硬盘处理给旧电脑商了，呵呵
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册