看流星社区

 找回密码
 注册账号
查看: 2248|回复: 0

内存填零杀进程

[复制链接]

该用户从未签到

发表于 2017-6-2 13:31:37 | 显示全部楼层 |阅读模式

内存填零杀进程

效果:可以杀掉360的傀儡进程zhudongfangyun.exe但杀360tray.exe时会卡死系统,不知道360tray做了如何保护..

lkd> dd MmSystemRangeStart
805599d8  80000000 7ffeffff 00000000 00000000
805599e8  00000000 00000000 00000000 00000000
805599f8  00000000 00000000 0000000d 00000000
80559a08  00000000 00000000 00000000 00000000
80559a18  00000000 00000000 00000000 00000000
80559a28  00000000 00000000 00000000 00000000
80559a38  00000000 00000000 00000000 00000000
80559a48  00000000 00000000 00000000 00000000

MmSystemRangeStart是内核导出的一个内核常量, 指出了线性地址的起始位置.从上面可以看出起始位置是80000000.如何打印出?

其中 PHYSICAL_ADDRESS 在ntdef.h中有定义:
typedef   LARGE_INTEGER  PHYSICAL_ADDRESS, *PPHYSICAL_ADDRESS;


2.

中间一个小插曲,他的代码中为什么都用DWORD类型,而不用ULONG类型?实际上两者是一样一样的.
LONG与DWORD都是WinDef.h中定义的宏

typedef   unsigned   long   ULONG;
typedef   unsigned   long               DWORD;

两者一模一样.

为何我在很多地方看到同时使用这两个类型???

例1,在MSDN中代码:
      DWORD   dw;   ULONG   cbRead;

例2,在winterdom上的代码:  bool   CreateIocp  

ulong是偏向于“数值”的概念就是无符号长整形,从0到4294967295。
而DWORD则偏向于这种数据类型所占的字节数为4Bytes,他可以分成高低“字”,等等,通常作为flag
点击按钮快速添加回复内容: 支持 高兴 激动 给力 加油 苦寻 生气 回帖 路过 感恩
您需要登录后才可以回帖 登录 | 注册账号

本版积分规则

小黑屋|手机版|Archiver|看流星社区 |网站地图

GMT+8, 2024-3-19 17:12

Powered by Kanliuxing X3.4

© 2010-2019 kanliuxing.com

快速回复 返回顶部 返回列表