Question

привет, я дам другой процесс в драйвер ядра

и используйте KeStackAttachProcess для изменения текущего контекста драйвера

после изменения адреса в режиме пользователя, как найти базовый адрес текущего процесса мне нужен базовый адрес для приведения его к PIMAGE_DOS_HEADER (и разобрать его, чтобы найти разделы) можно использовать PEB?

любое другое решение?

Sergey Podobry · Answer 1 · 12 апреля 2011

Для этого есть специальная функция API:

NTKERNELAPI
PVOID
PsGetProcessSectionBaseAddress(
    __in PEPROCESS Process
    );

И вы можете использовать поле SectionBaseAddress в структуре EPROCESS:

+0x128 SectionBaseAddress : 0x00400000 Void

Может отличаться в разных версиях ОС.

найти базовый адрес текущего процесса в пространстве ядра

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

найти базовый адрес текущего процесса в пространстве ядра

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы