peprocess

Windows内核驱动Hook入门

InfinityHook获取内核中的函数地址内核中导出的函数内核未导出的函数获取SSDTShadowSSDT地址获取系统服务号手动获取获取并判断系统版本代码自动获取获取GUI相关的函数地址,还需附加GUI进程获取进程PEPROCESS
随心动,随风行·2023-07-16 11:32

Win7 x64切换CR3读写内存

PEPROCESSpEPROCESS;NTSTATUSstatus;ULONG64OldCr3;ULONG64NewCr3;status=PsLookupProcessByProcessId(pid,&pEPROCESS
xiaocaiccccc·2020-07-05 02:38

驱动小程序2

NULLPEPROCESSLookupProcess(HANDLEhPid){PEPROCESSpEProcess=NULL;if(NT_SUCCESS(PsLookupProcessByProcessId(hPid,&pEProcess
MagicalGuy·2020-06-22 05:17

PsTerminateProcess结束进程

PsTerminateProcess函数用于结束一个进程,其声明如下 NTSTATUS NTAPI PsTerminateProcess(IN PEPROCESS Process, IN NTSTATUS
·2015-11-11 02:00

EPROCESS取进程全路径

如果文件被占坑,使用FILE_READ_ATTRIBUTES权限应该能打开xp:PEPROCESS->NT路径->FILEHANDLE->FILEOBJECT->DOS路径BOOLEANPsGetDosName
Sidyhe·2015-01-21 16:00

时间校验的方法之一

2.获取smss.exe的启动时间(PEPROCESS->CreateTimePsLookupProcessByProcessId)3.获取系统当前时间4.系统当前时间>smss.exe的启动时间>上次的运行时间
zhangmiaoping23·2014-04-28 09:00

通过进程ID得到进程名

我使用了两种方法,第一种是使用ZwOpeProcess得到句柄然后ObReferenceObjectByHandle函数得到PEPROCESS结构,然后char*ProcessName=(char*)EProcess
飘雪超人·2013-09-20 09:00

通过进程ID得到进程名

我使用了两种方法,第一种是使用ZwOpeProcess得到句柄然后ObReferenceObjectByHandle函数得到PEPROCESS结构,然后char*ProcessName=(char*)EProcess
whatday·2013-09-20 09:00

NTSYSAPI NTSTATUS NTAPI

NTSYSAPINTSTATUSPsLookupProcessByProcessId(INULONGulProcId,          OUTPEPROCESS*pEProcess);Winnt.h里有
·2012-04-12 13:00

通过进程ID得到进程名

我使用了两种方法,第一种是使用ZwOpeProcess得到句柄然后ObReferenceObjectByHandle函数得到PEPROCESS结构,然后char*ProcessName=(char*)EProcess
SysProgram·2011-05-21 11:00

又一个问题代码,引用的是IamRainLiang朋友的代码,居然调试不通过,怪闷的。

archive/2008/01/25/2065572.aspx  #defineMAX_PROC_NAME_LEN256#pragmaINITCODEBOOLEANEnumProcessList2(){ PEPROCESS
ccx_john·2011-04-16 13:00

如何从进程名获得进程ID

include"ntifs.h"HANDLERetrivePID(char*ProcessName){PEPROCESSPeProcess=NULL;PLIST_ENTRYpNextEntry,pListHead;PeProcess
whf727·2009-08-24 14:00
上一页 1 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他