乱七八糟的,mark的东西...

搞了一个下午了,把混乱的思绪整理下,留着以后参考吧.

想仿写linxer牛的Xuetr,先把简单的一些整整吧,菜就菜吧,反正一直多这么菜.

没整gui,先把思路和一些乱七八糟的代码搞定的说.

关于进程查看.

1.遍历EPROCESS中的ActiveProcessLinks枚举进程

2.貌似这个也不是很稳定,记得查看下PsLookupProcessByProcessId(google下吧,sudami大大的文章有参考)

 

关于查看进程模块

1.从PEB获取内存中模块列表

 

关于查看内核模块

1.sysmoduleinformation

(但是驱动文件名没搞定,不能全部列举出来,貌似内存分配下了,还是权限不够? ,这个头大了,明天再来搞...)

 

接下来搞搞ssdt和shadow ssdt...

mark下....