内核下各种通过XX查找

1、status = PsLookupProcessByProcessId(ProcessId,&process_obj); 通过进程ID查找进程对象

NTSTATUS
PsLookupProcessByProcessId(
IN HANDLE ProcessId,
OUT PEPROCESS *Process
); //需要声明才能使用;

ObDereferenceObject(PEPROCESS *Process);

函数成功以后，会让进程对象的引用计次+1，必须调用ObDereferenceObject函数使进程对象引用计次-1；

2、PsGetCurrentProcess()；获取当前进程对象；

posted @ 2015-06-13 20:04 紫旭阅读(230) 评论(0) 编辑收藏举报

刷新页面返回顶部

紫旭