PEB ：进程环境块TEB.ProcessEnvironmentBlock成员就是PEB的结构体地址TEB结构体位于FS段选择符所指的段内存的起始地址处，且ProcessEnvironmentBlock成员位于距TEB结构体Offset 30的位置即有两种方法获得PEB的地址 peb ...

基于上一篇文章，大概了解了peb的获取方法，但是那个方法只能获得当前进程的PEB，不能获得其他的进程的PEB。根据那个思想，获得其他进程PEB则需要注入，得到进程信息，然后进程间通信，将信息返回来，经过考虑，这个方法太复杂。 下面介绍的方法是 用了一个未公开的函数 ...

使用NtQueryInformationFile函数获得不到完整路径 可以用NtQueryObject获取完整的NT路径： 这样获得的路径是NT路径，如果要转化为DOS路径的话，可以用下面的函数。 ...

...

枚举进程模块的方法有很多种，常见的有枚举PEB和内存搜索法，今天，先来看看实现起来最简单的枚举PEB实现获取进程模块列表。 首先，惯例是各种繁琐的结构体定义。需要包含 ntifs.h 和 WinDef.h, 此处不再列出，各位看官根据情况自行添加 ...

为什么要使用setlocal呢（非本例） 在 VC2005 中 std::fstream 的打开文件的函数实现里，传入的 char const* 文件名作为多字节首先被m ...

　　　在得到进程EProcess之后，对于进程完整路径的获得一般有两种方法，一种是访问的进程的PEB结构，在PEB结构中保存有进程的完整路径，另一种方法就是采用访问_FILE_OBJECT的方法。 　　访问PEB的方法便存在线程靠挂的问题，因为运行于Ring0层的线程是无法去访问用户地址空间 ...

操作系统：Win7 64 bit 开发环境：Quartus II 12.0 (64-Bit) + Nios II 12.0 Software Build Tools for Eclipse 使用Quartus 时，有时候出于备份的考虑，或者从网上下载别人的硬件工程， 硬件工程目录会改变，导致 ...