本文主要是介绍驱动层分别使用PEB和sectionObject获取进程执行文件全路径的方法,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
本人是在WIN2003 SP2下开发的,请注意不同操作系统的偏移量不同
PEB
EPROCESS->PEB(_PEB)->ProcessParameters((_RTL_USER_PROCESS_PARAMETERS)->ImagePathName(_UNICODE_STRING)
- void GetProcessName( IN OUT PCHAR pszName)
- {
- int pebOffeset=0x1a0;
- int RTLUSERPROCESSPARAMETERSOffset= 0x010;
- int imagePathNameOffset=0x038;
- ANSI_STRING astr;
- UNICODE_STRING US;
- PEPROCESS peCurProc;
- ULONG* dwAddress;
- peCurProc=PsGetCurrentProcess();//EPROCESS
- dwAddress=(ULONG*)peCurProc;
- if(dwAddress!=NULL)
- {
- dwAddress=*((ULONG**)dwAddress+pebOffeset/
这篇关于驱动层分别使用PEB和sectionObject获取进程执行文件全路径的方法的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
