首页>编程与逆向>内核编程>ZwTerminateProcess关闭的目标进程名如何取得
回复
« 返回列表
sunway_yin
sunway_yin
驱动牛犊
驱动牛犊
  • 注册日期2006-06-09
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分312分
  • 威望42点
  • 贡献值0点
  • 好评度31点
  • 原创分0分
  • 专家分0分
写私信
阅读:3005回复:4

ZwTerminateProcess关闭的目标进程名如何取得

楼主#
更多 发布于:2007-08-07 11:43
ZwTerminateProcess(
IN HANDLE ProcessHandle ,
IN NTSTATUS ExitStatus
);

比如我要关掉notepad.exe,按道理ProcessHandle就是notepad.exe的句柄,

//
//  我的代码
//
PEPROCESS eProcess;
PsLookupProcessByProcessId((ULONG)ProcessHandle,&eProcess);

打印(ULONG)ProcessHandle,每次都为0!!
喜欢0
回复
titilima
titilima
驱动牛犊
驱动牛犊
  • 注册日期2007-02-08
  • 最后登录2009-06-12
  • 粉丝0
  • 关注0
  • 积分90分
  • 威望10点
  • 贡献值0点
  • 好评度9点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2007-08-07 12:01
其实很简单,r3下也可以做到。
把句柄Duplicate一下,并改为Query+Read的权限,就可以用这个新句柄获得进程名了。
http://www.titilima.cn
回复(0) 喜欢(0)
sunway_yin
sunway_yin
驱动牛犊
驱动牛犊
  • 注册日期2006-06-09
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分312分
  • 威望42点
  • 贡献值0点
  • 好评度31点
  • 原创分0分
  • 专家分0分
写私信
板凳#
发布于:2007-08-07 13:57
楼上的有sample code吗

道理似乎明白
回复(0) 喜欢(0)
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
地板#
发布于:2007-08-07 14:05
ObReferenceObjectByHandle -> ObQueryNameString 或PsGetProcessImageName
驱动开发者 呵呵
回复(0) 喜欢(0)
mikeyredmoon
mikeyredmoon
驱动牛犊
驱动牛犊
  • 注册日期2007-07-25
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分271分
  • 威望55点
  • 贡献值0点
  • 好评度53点
  • 原创分0分
  • 专家分0分
写私信
地下室#
发布于:2007-08-07 14:11
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部