PEB ：進程環境塊TEB.ProcessEnvironmentBlock成員就是PEB的結構體地址TEB結構體位於FS段選擇符所指的段內存的起始地址處，且ProcessEnvironmentBlock成員位於距TEB結構體Offset 30的位置即有兩種方法獲得PEB的地址 peb ...

基於上一篇文章，大概了解了peb的獲取方法，但是那個方法只能獲得當前進程的PEB，不能獲得其他的進程的PEB。根據那個思想，獲得其他進程PEB則需要注入，得到進程信息，然后進程間通信，將信息返回來，經過考慮，這個方法太復雜。 下面介紹的方法是 用了一個未公開的函數 ...

使用NtQueryInformationFile函數獲得不到完整路徑 可以用NtQueryObject獲取完整的NT路徑： 這樣獲得的路徑是NT路徑，如果要轉化為DOS路徑的話，可以用下面的函數。 ...

...

枚舉進程模塊的方法有很多種，常見的有枚舉PEB和內存搜索法，今天，先來看看實現起來最簡單的枚舉PEB實現獲取進程模塊列表。 首先，慣例是各種繁瑣的結構體定義。需要包含 ntifs.h 和 WinDef.h, 此處不再列出，各位看官根據情況自行添加 ...

為什么要使用setlocal呢（非本例） 在 VC2005 中 std::fstream 的打開文件的函數實現里，傳入的 char const* 文件名作為多字節首先被m ...

　　　在得到進程EProcess之后，對於進程完整路徑的獲得一般有兩種方法，一種是訪問的進程的PEB結構，在PEB結構中保存有進程的完整路徑，另一種方法就是采用訪問_FILE_OBJECT的方法。 　　訪問PEB的方法便存在線程靠掛的問題，因為運行於Ring0層的線程是無法去訪問用戶地址空間 ...

操作系統：Win7 64 bit 開發環境：Quartus II 12.0 (64-Bit) + Nios II 12.0 Software Build Tools for Eclipse 使用Quartus 時，有時候出於備份的考慮，或者從網上下載別人的硬件工程， 硬件工程目錄會改變，導致 ...