能力值:
( LV12,RANK:420 )
|
-
-
2 楼
直接取得eprocess
eprocess->section object->segment object ->fileobject->filename
|
能力值:
( LV5,RANK:60 )
|
-
-
3 楼
看看
c9dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0T1M7#2)9J5k6h3c8J5K9i4k6W2M7X3c8W2N6X3g2D9L8%4m8Q4x3X3g2U0L8$3#2Q4x3V1k6Z5N6r3#2Q4y4h3k6V1j5i4c8S2i4K6u0r3x3e0k6Q4x3V1j5H3z5o6l9%4i4K6u0r3x3e0p5J5y4o6j5^5i4K6u0W2K9s2c8E0L8l9`.`.
ff7K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3c8W2j5Y4g2Y4L8h3q4F1i4K6u0W2j5$3!0E0i4K6u0r3M7X3g2S2k6q4)9J5k6i4m8Z5M7q4)9K6c8Y4c8A6k6q4)9K6c8o6p5$3x3o6q4Q4x3U0k6X3M7r3q4Y4k6g2)9K6c8o6m8Q4x3U0k6@1L8%4u0W2j5h3c8Q4x3@1c8Q4x3U0k6H3j5h3N6W2i4K6y4p5x3b7`.`.
|
能力值:
( LV13,RANK:1050 )
|
-
-
4 楼
EPROCESS->PEB->ProcessParameters->ImagePathName
|
能力值:
( LV9,RANK:610 )
|
-
-
5 楼
2楼的好一些,PEB未必可靠
|
能力值:
( LV4,RANK:50 )
|
-
-
6 楼
2个地方都可以抹掉,真要隐藏的话,嘿嘿......
|
能力值:
( LV8,RANK:130 )
|
-
-
7 楼
eprocess->vadroot->RightChild->ControlArea->FileObject
当初用这个可以获取phide_ex的路径。
peb的话还有注意是不是在当前进程的空间里
|
能力值:
( LV3,RANK:20 )
|
-
-
8 楼
先谢谢大家!!!
万像客户端 好像是 ring3 的吧, 虽然也有一个驱动勾了几个注册表相关的 API....
ring3 下是不是没办法了?
|
能力值:
( LV12,RANK:420 )
|
-
-
9 楼
ring3下可以从csrss.exe里duplicate一下进程句柄再用
|
能力值:
( LV12,RANK:450 )
|
-
-
10 楼
呵呵,我那个工具里的MyOpenProcess就是抄炉子的这种方法~~
|
能力值:
( LV3,RANK:20 )
|
-
-
11 楼
谢谢
OpenProcess 无效, 如何从csrss.exe里duplicate一下进程句柄再用?
|
能力值:
( LV8,RANK:130 )
|
-
-
12 楼
参考炉子的代码哈~ 
|
能力值:
( LV3,RANK:20 )
|
-
-
13 楼
在这里找了几天, 找不到啊(ring3下)..........
也找了"炉子"的, 全都是驱动....
|
能力值:
( LV12,RANK:450 )
|
-
-
14 楼
我那个ksbinsword就抄了炉子的那段代码,你可以从那看到r3下的~~ 
|
能力值:
( LV3,RANK:20 )
|
-
-
15 楼
谢谢, 找到了..........
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
EPROCESS->PEB->ProcessParameters->ImagePathName
为什么我的PEB指向的内容都不能读,用WINDBG跟过去发现显示的都为"??????"
|
能力值:
![]()
(RANK:10 )
|
-
-
17 楼
注意进程空间啊
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
直接动eprocess要想些办法确定偏移,eprocess结构太不稳定了。
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
weolar 的也不行,RING0都查看不了,必须根据模块查看路径
|
能力值:
![]()
(RANK:510 )
|
-
-
20 楼
不错的文章!值得学习。
|
|
|
|
