上一页 1 2 3 4 5
  2009年3月30日
在Ring0下HOOK Ntdll.dll的Nt*函数的方法
摘要: Code highlighting produced by Actipro CodeHighlighter (freeware)http://www.CodeHighlighter.com/-->typedef struct _SECTION_IMAGE_INFORMATION { PVOID EntryPoint; ULONG StackZeroBits; ULONG StackReserv... 阅读全文
posted @ 2009-03-30 20:00 dflower 阅读(1507) 评论(1) 推荐(0) 编辑
内核驱动程序中获取当前用户进程的进程名的方法
摘要: 驱动程序的加载函数DriverEntry是运行在System进程中的.通过PsGetCurrentProcess可以获取System进程的内核EPROCESS结构的地址,然后从该地址开始寻找"System"字符串.找到后,便是EPROCESS的进程名存放的偏移处.得到进程名在EPROCESS结构的偏移后,以后的进程调用驱动的时候,就可以直接在该偏移处获取当前进程名.代码如下: ... 阅读全文
posted @ 2009-03-30 16:46 dflower 阅读(2048) 评论(0) 推荐(0) 编辑
上一页 1 2 3 4 5

Powered by: 博客园 Copyright © 2024 dflower
Powered by .NET 9.0 on Kubernetes