那些遇到过的问题

在内核空间中查找当前procrs的基址

may*_*sam 1 windows kernel dump driver portable-executable

嗨,我将在内核驱动程序中转储其他进程

并使用KeStackAttachProcess更改驱动程序当前上下文

在用户模式地址改变之后如何找到当前进程的基地址我需要基地址将其转换为PIMAGE_DOS_HEADER(并解析它以查找部分)可以使用PEB?

还有其他方法吗?

Ser*_*bry 6

有一个特殊的API函数:

NTKERNELAPI
PVOID
PsGetProcessSectionBaseAddress(
    __in PEPROCESS Process
    );
Run Code Online (Sandbox Code Playgroud)

您可以在EPROCESS结构中使用SectionBaseAddress字段:

+0x128 SectionBaseAddress : 0x00400000 Void
Run Code Online (Sandbox Code Playgroud)

它可能在不同的OS版本中有所不同.

归档时间:

查看次数:

2201 次

最近记录:

14 年,7 月 前
相关归档
有没有办法将DB用户密码传递给命令行工具mysqladmin? 86
没有IDE的C++编译器Windows? 20
使用清单的DLL重定向 18
更改整个控制台背景颜色(Win32 C++) 9
哪个是您使用过的最可靠,最快的Windows C++分析器? 8
如何在控制台窗口C++中删除滚动条 8
c#Windows服务(可能)使用app.config 8
在.NET应用程序中禁用辅助功能快捷方式? 7
如何在Linux上记录(逆向工程)PCI事务 5
可编写脚本的Windows反汇编程序[非cygwin] 0
难疑归档
如何按值对字典进行排序? 3424
如何删除远程标签? 3121
JavaScript对象的长度 2224
如何在不手动指定编码的情况下在C#中获得字符串的一致字节表示? 2121
如何格式化JavaScript日期 1945
你如何改变用matplotlib绘制的数字的大小? 1726
什么是非捕获组?(?:)做什么? 1653
HTML中"role"属性的目的是什么? 1122
如何在Ruby中将字符串转换为小写或大写 1081
NP,NP-Complete和NP-Hard有什么区别? 1064