从想得到ndis.sys的基址想到的问题。

$fracker$ fracker 驱动太牛注册日期2001-06-28 最后登录2021-03-30 粉丝0 关注0 积分219分威望81点贡献值0点好评度23点原创分0分专家分1分加关注写私信	阅读：1478回复：5 从想得到ndis.sys的基址想到的问题。楼主^# 更多只看楼主倒序阅读发布于：2002-05-16 11:51 利用ZwQuerySystemInformation只能得到加载的内核模块的映像，那如果要得到所有进程的映象，该如何？
	喜欢1 最新喜欢： moqing... 回复

$fracker$ fracker 驱动太牛注册日期2001-06-28 最后登录2021-03-30 粉丝0 关注0 积分219分威望81点贡献值0点好评度23点原创分0分专家分1分加关注写私信	沙发^# 发布于：2002-05-16 15:22 好像没有免费的哦，可以免费下，但是要序列号，序列号要钱。 www.pcausa.com
	回复(0) 喜欢(0)

$fracker$

fracker

驱动太牛

加关注写私信

板凳^#

发布于：2002-05-17 18:04

用KeGetCurrentThread函数等方法得到ETHREAD结构头指针，由此得到EPROCESS结构，再由进程链的所有进程EPROCESS。一般你需要的东西都可找到了。
若要找进程环境里的一些东西，如PEB，要先Attach到该环境。

EPROCESS果然是有这个那么一个什么BaseAddress的东西，确实能找到进程映象，还有一个LIST_ENTRY，估计也可以枚举到别的进程，好，给分！

回复喜欢

发帖回复

您需要登录后才可以回帖，登录或者注册