-
-
[已解决] 遇到一个关于获取进程名的诡异问题
-
发表于: 2013-12-5 15:58
-
在驱动中调用 PsGetCurrentProcess 获得 _EPROCESS 通过:
1. _EPROCESS -> ImageFileName
2. _EPROCESS -> Peb ->ProcessParameters -> ImagePathName
3._EPROCESS -> SectionObject -> Segment -> ControlArea -> FilePointer -> FileName
4 _EPROCESS -> SeAuditProcessCreationInfo -> ImageFileName -> Name
均能打印出来
但是不知为何 一复制就出现内存越界。
没人回复 还是靠自己解决了。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
