摘要： Code highlighting produced by Actipro CodeHighlighter (freeware)http://www.CodeHighlighter.com/-->typedef struct _SECTION_IMAGE_INFORMATION { PVOID EntryPoint; ULONG StackZeroBits; ULONG StackReserv... 阅读全文

摘要： 驱动程序的加载函数DriverEntry是运行在System进程中的．通过PsGetCurrentProcess可以获取System进程的内核EPROCESS结构的地址，然后从该地址开始寻找"System"字符串．找到后，便是EPROCESS的进程名存放的偏移处．得到进程名在EPROCESS结构的偏移后，以后的进程调用驱动的时候，就可以直接在该偏移处获取当前进程名．代码如下： ... 阅读全文