【源代码】在驱动里面枚举进程列表

新用户

谢谢分享，找 了很久

zhangchenggu

驱动枚举进程

lyrong

感谢分享！

编程者

收藏了 呵呵

hjwg88

驱动稳定吗？支持多平台吗？

2015

回复 1# Peace4once


    新手路过 支持楼主

coco520520

看看,支持一下~!

pdswandou

// test.cpp : 定义控制台应用程序的入口点。

#include "stdafx.h"
#include <Windows.h>

int _tmain(int argc, _TCHAR* argv[])
{
printf("请输入要获得索引号的函数的名称：\n");
CHAR apiName[256];

scanf("%s",apiName);

//获得函数地址
FARPROC pAddress1 = GetProcAddress(GetModuleHandle(L"ntdll"),(const char*)apiName);

printf("[%s]地址：%X \n",apiName,pAddress1);

//转换成PULONG
PULONG pAddress2 = (PULONG)pAddress1;

//kd> u ntdll!NtCreateFile
//ntdll!NtCreateFile:
//772555c8 b842000000      mov     eax,42h
//772555cd ba0003fe7f      mov     edx,offset SharedUserData!SystemCallStub (7ffe0300)
//772555d2 ff12            call    dword ptr [edx]
//772555d4 c22c00          ret     2Ch
//772555d7 90              nop

//(ULONG)pAddress2+1，b8汇编指令为一个字节所以要加1，然后重新转换地址指针
pAddress2 = (PULONG)((ULONG)pAddress2+1);

//*pAddress2表示获得此地址的内容，内容长度为4个字节
printf("[%s]在SSDT表中的索引：%X \n",apiName,*pAddress2);

system("PAUSE");
return 0;
}

swyx

Epress?瞧瞧看看

ziyongting

希望找到有用的