嗨我将在内核驱动程序中转储其他进程
并使用KeStackAttachProcess更改驱动程序当前上下文
用户模式地址改变后如何找到当前进程的基地址 我需要基地址将其转换为PIMAGE_DOS_HEADER(并解析它以查找部分) 可以使用PEB吗?
任何其他解决方案?
答案 0 :(得分:5)
有一个特殊的API函数:
NTKERNELAPI
PVOID
PsGetProcessSectionBaseAddress(
__in PEPROCESS Process
);
您可以在EPROCESS结构中使用SectionBaseAddress字段:
+0x128 SectionBaseAddress : 0x00400000 Void
在不同的操作系统版本中可能会有所不同。