首页>编程与逆向>内核编程>怎样读取内核内存的数据,如EPROCESS + 0x84?
回复
« 返回列表
HoviDelphic
HoviDelphic
驱动牛犊
驱动牛犊
  • 注册日期2009-06-23
  • 最后登录2009-09-02
  • 粉丝0
  • 关注0
  • 积分4分
  • 威望21点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
阅读:2160回复:2

怎样读取内核内存的数据,如EPROCESS + 0x84?

楼主#
更多 发布于:2009-08-25 18:08
我是一个驱动大菜鸟,大家表笑哦!
比如说我要读取EPROCESS + 0x84的数据,并存到某个变量中,该如何做到啊?
我学习驱动不要一个星期,请给我完整的工程文件,我感激不尽!!!
喜欢0
回复
microbe
microbe
驱动小牛
驱动小牛
  • 注册日期2007-12-10
  • 最后登录2011-01-17
  • 粉丝1
  • 关注0
  • 积分914分
  • 威望420点
  • 贡献值1点
  • 好评度88点
  • 原创分0分
  • 专家分1分
写私信
沙发#
发布于:2009-10-21 16:42
#define GET__FIELD_VALUE(struct_ptr,field_type,field_offset) \
    (*(field_type *)((ULONG)(struct_ptr) + (field_offset)))

eprocess的地址,0x84这个域的数据类型,偏移(0x84),比如ULONG类型的则:ULONG  val = GET__FIELD_VALUE(xxx, ULONG, 0X84).
回复(0) 喜欢(0)
zhou_gz8888
zhou_gz8888
驱动牛犊
驱动牛犊
  • 注册日期2003-01-22
  • 最后登录2014-08-05
  • 粉丝0
  • 关注0
  • 积分1分
  • 威望247点
  • 贡献值1点
  • 好评度28点
  • 原创分0分
  • 专家分0分
写私信
板凳#
发布于:2010-01-27 15:15
回 1楼(microbe) 的帖子
学习了。
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部