0
我想枚举使用EPROCESS结构在我的系统上运行的所有进程ID,但这里的问题是,我不知道如何访问EPROCESS结构中的UniqueProcessId字段。 现在,我已经通过这个函数得到了指向EPROCESS结构的指针 PEPROCESS Process; PsLookupProcessByProcessId(_ProcessID,& Process); 并计算UniqueProcessId字段的偏移量,它是0x0b4。 我试过这个代码“*(Process + 0x0b4(UniqueProcessId offset))”来获得UniqueProcessId字段的值,但总是带来错误和无效的值/数据。 任何人都可以帮助我知道如何访问UniqueProcessId字段? 我的系统是Windows7/x86。提前致谢!使用EPROCESS结构在内核模式下枚举进程ID