首页>编程与逆向>内核编程>请教:如何在ZwTerminateProcess中获取进程路...
回复
« 返回列表
troylees
troylees
驱动牛犊
驱动牛犊
  • 注册日期2006-05-10
  • 最后登录2009-05-01
  • 粉丝0
  • 关注0
  • 积分678分
  • 威望128点
  • 贡献值0点
  • 好评度67点
  • 原创分0分
  • 专家分0分
写私信
阅读:1597回复:2

请教:如何在ZwTerminateProcess中获取进程路径

楼主#
更多 发布于:2007-04-27 14:36
  在调用到ZwTerminateProcess的时候,由于不是在目标进程的上下文中,无法从PEB和SectionObject中获取目标进程的全路径。
在搜索了一遍又一遍后才发现有类似的文章:
http://bbs.driverdevelop.com/read.php?tid-85682-keyword-ZwTerminateProcess.html
但是也只是给出了目标进程的映像名,请问各位大牛有什么方法吗?谢谢了!
喜欢1

最新喜欢:

linshierlinshi...
回复
yaoyu
yaoyu
驱动中牛
驱动中牛
  • 注册日期2002-08-14
  • 最后登录2009-11-28
  • 粉丝0
  • 关注0
  • 积分1005分
  • 威望350点
  • 贡献值2点
  • 好评度295点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2007-04-27 17:47
EPROCESS->SectionObject->Segment->ControlAreA->FilePointer->Filename
回复(0) 喜欢(0)
troylees
troylees
驱动牛犊
驱动牛犊
  • 注册日期2006-05-10
  • 最后登录2009-05-01
  • 粉丝0
  • 关注0
  • 积分678分
  • 威望128点
  • 贡献值0点
  • 好评度67点
  • 原创分0分
  • 专家分0分
写私信
板凳#
发布于:2007-04-28 02:20
感谢你的回复,经过测试,确实可以正确获得。但有个问题想请教,我如何可以知道EPROCESS中哪些对象是存在于内核空间,哪些是用户空间呢?我用windbg好像看不出。。。谢谢!
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部