首页>编程与逆向>PC安全编程>反流氓、反木马和rootkit>求助!
回复
« 返回列表
vanmin
vanmin
驱动牛犊
驱动牛犊
  • 注册日期2006-04-20
  • 最后登录2009-03-31
  • 粉丝0
  • 关注0
  • 积分4分
  • 威望33点
  • 贡献值0点
  • 好评度28点
  • 原创分0分
  • 专家分0分
写私信
阅读:2247回复:6

求助!

楼主#
更多 发布于:2007-03-22 09:20
  在dispatch_level下怎样获得当前进程路径???
急!
大侠救命啊
给个连接也可以谢谢了.
喜欢0
回复
xikug
xikug
驱动小牛
驱动小牛
  • 注册日期2001-09-25
  • 最后登录2013-09-27
  • 粉丝1
  • 关注0
  • 积分1001分
  • 威望169点
  • 贡献值0点
  • 好评度168点
  • 原创分1分
  • 专家分0分
写私信
沙发#
发布于:2007-03-22 16:58
先得到当前线程ETHREAD,然后从线程结构中得到EPROCESS
http://www.debugman.com
回复(0) 喜欢(0)
wowocock
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
写私信
板凳#
发布于:2007-03-22 19:32
PEB可能不能用了,走FILEOBJECT看看,不过估计也危险.
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
回复(0) 喜欢(0)
vanmin
vanmin
驱动牛犊
驱动牛犊
  • 注册日期2006-04-20
  • 最后登录2009-03-31
  • 粉丝0
  • 关注0
  • 积分4分
  • 威望33点
  • 贡献值0点
  • 好评度28点
  • 原创分0分
  • 专家分0分
写私信
地板#
发布于:2007-03-23 09:14
引用第1楼xikug2007-03-22 16:58发表的“”:
先得到当前线程ETHREAD,然后从线程结构中得到EPROCESS

通过ethread获得的信息最后指向的进程名称位于paged内存中.而我的驱动是在DISPATCH_LEVEL这样会蓝屏的啊.
回复(0) 喜欢(0)
vanmin
vanmin
驱动牛犊
驱动牛犊
  • 注册日期2006-04-20
  • 最后登录2009-03-31
  • 粉丝0
  • 关注0
  • 积分4分
  • 威望33点
  • 贡献值0点
  • 好评度28点
  • 原创分0分
  • 专家分0分
写私信
地下室#
发布于:2007-03-23 09:15
引用第2楼wowocock2007-03-22 19:32发表的“”:
PEB可能不能用了,走FILEOBJECT看看,不过估计也危险.

老大能说得具体点吗?
难道就没有解决的方法?
回复(0) 喜欢(0)
xikug
xikug
驱动小牛
驱动小牛
  • 注册日期2001-09-25
  • 最后登录2013-09-27
  • 粉丝1
  • 关注0
  • 积分1001分
  • 威望169点
  • 贡献值0点
  • 好评度168点
  • 原创分1分
  • 专家分0分
写私信
5楼#
发布于:2007-03-23 15:13
还是老实点在系统线程或workitem中去取吧...
http://www.debugman.com
回复(0) 喜欢(0)
vanmin
vanmin
驱动牛犊
驱动牛犊
  • 注册日期2006-04-20
  • 最后登录2009-03-31
  • 粉丝0
  • 关注0
  • 积分4分
  • 威望33点
  • 贡献值0点
  • 好评度28点
  • 原创分0分
  • 专家分0分
写私信
6楼#
发布于:2007-03-27 08:08
引用第5楼xikug2007-03-23 15:13发表的“”:
还是老实点在系统线程或workitem中去取吧...

我已经移到passive_level做了...
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部