radarhp 发表于 2012-3-7 12:34:38

Tesla.Angela的驱动开发模板好像有结构定义错了

EPROCESS的结构,我在XP sp3下,取ImageFileName,取到+17C去了,文件名少了8个字节

新手啊,浪费了几个小时才检查到....
硬编码+174使用中....

同时求教下,好像你说你的KiFastCallEntry钩子会在有SSDT钩子的情况下失效
一直没有看明白为什么会失效,求指点
短信PM告诉我也可以,呵呵

ps: 感谢大大的模板,挺好使的

Tesla.Angela 发表于 2012-3-7 13:42:36

恩,不好意思。。。
另外EPROCESS每个操作系统都不一样,这个千万不要使用。。。

iloveqqp 发表于 2012-3-7 13:54:32

硬编码+174..有函數可以用

Tesla.Angela 发表于 2012-3-7 13:58:59

对,是有个自定义函数可用的,可以动态确定offset。你在网上搜索一下吧。

radarhp 发表于 2012-3-8 00:34:43

哦,感谢楼上2位兄弟热情指点

刚搜索到了,哈,原理和代码都很简单,思路很重要啊
页: [1]
查看完整版本: Tesla.Angela的驱动开发模板好像有结构定义错了