:3:在驱动中调用 PsGetCurrentProcess 获得 _EPROCESS
通过:
1. _EPROCESS -> ImageFileName
2. _EPROCESS -> Peb ->ProcessParameters -> ImagePathName
3._EPROCESS -> SectionObject -> Segment -> ControlArea -> FilePointer -> FileName
4 _EPROCESS -> SeAuditProcessCreationInfo -> ImageFileName -> Name
均能打印出来
但是不知为何 一复制就出现内存越界。:eek:
没人回复 还是靠自己解决了。
通过:
1. _EPROCESS -> ImageFileName
2. _EPROCESS -> Peb ->ProcessParameters -> ImagePathName
3._EPROCESS -> SectionObject -> Segment -> ControlArea -> FilePointer -> FileName
4 _EPROCESS -> SeAuditProcessCreationInfo -> ImageFileName -> Name
均能打印出来
但是不知为何 一复制就出现内存越界。:eek:
没人回复 还是靠自己解决了。