新用户 发表于 2012-6-20 20:20:57

谢谢分享,找 了很久

zhangchenggu 发表于 2012-8-30 14:23:24

驱动枚举进程

lyrong 发表于 2012-10-10 09:29:42

感谢分享!:)

编程者 发表于 2012-10-11 19:43:31

收藏了 呵呵

hjwg88 发表于 2012-12-30 05:27:22

驱动稳定吗?支持多平台吗?

2015 发表于 2013-1-6 14:45:23

回复 1# Peace4once


    新手路过 支持楼主

coco520520 发表于 2013-3-2 15:57:44

看看,支持一下~!

pdswandou 发表于 2013-7-25 10:45:58

// test.cpp : 定义控制台应用程序的入口点。

#include "stdafx.h"
#include <Windows.h>

int _tmain(int argc, _TCHAR* argv[])
{
printf("请输入要获得索引号的函数的名称:\n");
CHAR apiName;

scanf("%s",apiName);

//获得函数地址
FARPROC pAddress1 = GetProcAddress(GetModuleHandle(L"ntdll"),(const char*)apiName);

printf("[%s]地址:%X \n",apiName,pAddress1);

//转换成PULONG
PULONG pAddress2 = (PULONG)pAddress1;

//kd> u ntdll!NtCreateFile
//ntdll!NtCreateFile:
//772555c8 b842000000      mov   eax,42h
//772555cd ba0003fe7f      mov   edx,offset SharedUserData!SystemCallStub (7ffe0300)
//772555d2 ff12            call    dword ptr
//772555d4 c22c00          ret   2Ch
//772555d7 90            nop

//(ULONG)pAddress2+1,b8汇编指令为一个字节所以要加1,然后重新转换地址指针
pAddress2 = (PULONG)((ULONG)pAddress2+1);

//*pAddress2表示获得此地址的内容,内容长度为4个字节
printf("[%s]在SSDT表中的索引:%X \n",apiName,*pAddress2);

system("PAUSE");
return 0;
}

swyx 发表于 2013-10-30 14:12:49

Epress?瞧瞧看看

ziyongting 发表于 2015-5-8 11:04:16

希望找到有用的
页: 1 [2] 3
查看完整版本: 【源代码】在驱动里面枚举进程列表