0
您好我将转储其它过程中内核驱动发现基址
,并使用KeStackAttachProcess改变驱动电流方面
后,用户模式地址变更怎么能找到的基址当前进程 我需要基地址将其转换为PIMAGE_DOS_HEADER(并解析它以查找部分) 可以使用PEB吗?
其他解决方案?
Q
发现基址
A
回答
4
没有为一个特殊的API函数:
NTKERNELAPI
PVOID
PsGetProcessSectionBaseAddress(
__in PEPROCESS Process
);
而且你可以在EPROCESS结构使用SectionBaseAddress领域:
+0x128 SectionBaseAddress : 0x00400000 Void
它可以在不同的操作系统版本不同而不同。
相关问题
- 1. 发现Linux的界面名称基于IP地址
- 2. 发现在ENV“基地”
- 3. 意外发现零网址SWIFT
- 4. 发现源代码与机器地址
- 5. 发现网站的供稿网址
- 6. 没有地址发现在Android的
- 7. WCF基地址
- 8. 发现基于服务器1 creiteria
- 9. 网络基础架构发现
- 10. 发现基于序列间距
- 11. ASDoc的基类没有被发现
- 12. WCF听基址anyip
- 13. 基于IP网址
- 14. 基于IP地址
- 15. 更改NSURL基地址到另一个基地址
- 16. 基本网址和基本链接网址有什么区别?
- 17. 描述性网址与基本网址
- 18. 基于IdP发现的OpenID的PHP实现?
- 19. 使用Django将特定页面的基址转发到
- 20. 发送联系表格电子邮件地址基于选择
- 21. 发送矢量基地址用于迭代
- 22. laravel 5.3基本网址的发布请求
- 23. 发送动态ID和基地址到laquvel路线在jquery
- 24. 未找到WCF基址
- 25. C#IIS 7基地址
- 26. 基础关于IP地址
- 27. Oracle SQL语法:列基址
- 28. 2道场基地网址
- 29. 用mod_pagespeed指定基址?
- 30. Boxfuse:重定向基址URL
我无法在WDK中找到PsGetProcessSectionBaseAddress,它是否是undoc?并使用它很好? – maysam 2011-04-13 05:32:43
是的,它是undoc。只需检查此功能是否存在于您想要支持的操作系统版本上。它存在于我的w2k3和w7机器上,但我不确定早期的系统。 – 2011-04-15 10:50:39