s-ice中的proc功能可以列出所有进程的KPEB，是如何实现的?

cooley4s 驱动牛犊注册日期2003-05-22 最后登录2003-05-23 粉丝0 关注0 积分0分威望0点贡献值0点好评度0点原创分0分专家分0分加关注写私信	阅读：1237回复：6 s-ice中的proc功能可以列出所有进程的KPEB，是如何实现的? 楼主^# 更多只看楼主倒序阅读发布于：2003-05-22 16:04 可以通过 mov eax,fs:[0x124] mov eax,[eax+0x44] 来获得当前进程的KPEB地址，但怎么获得其他进程的KPEB地址呢？请各位赐教：）
	喜欢0 最新喜欢：回复

$fracker$ fracker 驱动太牛注册日期2001-06-28 最后登录2021-03-30 粉丝0 关注0 积分219分威望81点贡献值0点好评度23点原创分0分专家分1分加关注写私信	沙发^# 发布于：2003-05-23 10:48 可以通过 mov eax,fs:[0x124] mov eax,[eax+0x44] 来获得当前进程的KPEB地址，但怎么获得其他进程的KPEB地址呢？请各位赐教：）这招没用过，俺都是通过NativeAPI来找的。
	回复(0) 喜欢(0)

cooley4s 驱动牛犊注册日期2003-05-22 最后登录2003-05-23 粉丝0 关注0 积分0分威望0点贡献值0点好评度0点原创分0分专家分0分加关注写私信	板凳^# 发布于：2003-05-23 10:53 用哪个API？后来我在tsu00的大作《浅析Windows NT/2000环境切换》找到了我想要的东西：）
	回复(0) 喜欢(0)

AllenZh

驱动老牛

加关注写私信

地板^#

发布于：2003-05-23 14:08

可以通过
mov eax,fs:[0x124]
mov eax,[eax+0x44]
来获得当前进程的KPEB地址，但怎么获得其他进程的KPEB地址呢？
请各位赐教：）

这招行吗？我在ring3测试，
发现执行 mov eax,fs:[0x124]后 eax为0，因此再执行
mov eax,[eax+0x44]
出现异常了。

1,承接Windows下驱动/应用开发 2,本人原创虚拟鼠标/键盘,触摸屏,虚拟显卡,Mirror驱动,XP无盘的SCSI虚拟磁盘驱动等 3,windows下有尝技术服务(包括BUG调试,员工培训等) 欢迎深圳和海外企业联系.msn:mfczmh@sina.com

回复喜欢

cooley4s 驱动牛犊注册日期2003-05-22 最后登录2003-05-23 粉丝0 关注0 积分0分威望0点贡献值0点好评度0点原创分0分专家分0分加关注写私信	地下室^# 发布于：2003-05-23 15:11 要在ring0执行
	回复(0) 喜欢(0)

sufeng 驱动牛犊注册日期2002-04-27 最后登录2004-08-10 粉丝0 关注0 积分0分威望0点贡献值0点好评度0点原创分0分专家分0分加关注写私信	5楼^# 发布于：2003-05-23 19:27 IoGetCurrentProcess( ); 也许可以。哈哈，看看ddk文档
	回复(0) 喜欢(0)

chacker 驱动小牛注册日期2002-11-22 最后登录2007-11-15 粉丝0 关注0 积分193分威望20点贡献值0点好评度17点原创分0分专家分0分加关注写私信	6楼^# 发布于：2003-05-23 21:37 你看过EPROCESS结构就不会问这种问题了！
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册