首页>编程与逆向>PC安全编程>反流氓、反木马和rootkit>如何通过进程结构找到线程结构。
回复
« 返回列表
flying2008
flying2008
驱动牛犊
驱动牛犊
  • 注册日期2005-12-15
  • 最后登录2010-04-02
  • 粉丝0
  • 关注0
  • 积分695分
  • 威望85点
  • 贡献值0点
  • 好评度67点
  • 原创分0分
  • 专家分0分
写私信
阅读:1808回复:2

如何通过进程结构找到线程结构。

楼主#
更多 发布于:2007-04-04 23:17
  最近学习了EPROCESS与KPROCESS结构,但是通过此两个结构找不到线程结构的基址。
喜欢0
回复
flying2008
flying2008
驱动牛犊
驱动牛犊
  • 注册日期2005-12-15
  • 最后登录2010-04-02
  • 粉丝0
  • 关注0
  • 积分695分
  • 威望85点
  • 贡献值0点
  • 好评度67点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2007-04-05 10:26
网上说EPROCESS的threadlisthead对应ETHREAD的threadlistentry,但经我的测试没有读取到进程名。
我是这样测试的:得到进程的EPROCESS基址,再得到threadlisthead,对应到ETHREAD的threadlistentry, 得到ETHREAD的基址,再得到EPROCESS的基址,再取进程名。出现乱码。网上说的这种理论是不是错的。
回复(0) 喜欢(0)
flying2008
flying2008
驱动牛犊
驱动牛犊
  • 注册日期2005-12-15
  • 最后登录2010-04-02
  • 粉丝0
  • 关注0
  • 积分695分
  • 威望85点
  • 贡献值0点
  • 好评度67点
  • 原创分0分
  • 专家分0分
写私信
板凳#
发布于:2007-04-05 22:49
昏昏恶恶的测试了一天,终于解决了,指针是个细活啊。
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部