- 博客(2)
- 收藏
- 关注
RSS订阅原创 r0调用ntOpenprocess函数枚举进程
<br />需要先把Kthread中的PreviousMode的值置成KernelMode<br />因为调用CqEnumProcessInfoByMyOpenProcess这个函数的时候,是由应用层的程序调用DeviceIoControl进入内核的,所以要经过<br />Kifastcallentry,Kifastcallentry在执行中会把当前要进入内核的这个线程的PreviousMode设置成UserMode,所以当我调用NtOpenProcess时,NtOpenprocess在执行中会判断当前的调
2011-02-07 21:51:00
4828
原创 pid的后2位是无效的 在查询pspcidtable的时候 ExpLookupHandleTableEntry 函数会自动把pid的后两位置成0(Handle.TagBits = 0;就是这句!!)
<br />PHANDLE_TABLE_ENTRY<br />ExpLookupHandleTableEntry (<br /> IN PHANDLE_TABLE HandleTable,<br /> IN EXHANDLE tHandle<br /> )<br />/*++<br />Routine Description:<br /> This routine looks up and returns the table entry for the<br /> specif
2011-02-07 21:41:00
1682
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人