问一个native api的问题

koko

问一个native api的问题 [复制链接]

我在驱动里面hook了NTSTATUS NtTerminateProcess(
    IN HANDLE ProcessHandle OPTIONAL,
    IN NTSTATUS ExitStatus)这个函数

我用下面代码能够打印出来进程名，
char output[15];
ResultStatus = ObReferenceObjectByHandle(ProcessHandle,PROCESS_ALL_ACCESS,*PsProcessType,UserMode,(PVOID)&process,(PVOID)&info);        
buff = process->ImageFileName;
DBGPRINT(("%s",buff));       //这句好用
strcpy(output,buff)          //这句就蓝屏

好像process不能读出来似的，一读就蓝屏重起，这是怎么回事啊

还有个问题，我用DBGPRINT显示的结果是ProcessHandle这个参数是空值，这又怎么解释阿，各位dx多帮忙啊，谢谢了

clj13970250610

char output[15];
这句改为
char pOutput=ExAllocatePool(NonPagedPool,15);
试试
记得释放.
驱动层函数中最好不要用数组,具体原因我没研究,不过可能过堆栈空间有关系.

sen521abc

全国第一家虚拟主机:支持伪静态.有利于提高排名!!!

15G全能空间年付500元/月付70元 可免费试用
5GB 独立WEB空间、5GB 企业邮箱空间、5GB MSSQL数据库
IIS连接数据 500 个、500GB/月流量、共享日志文件空间

企业邮箱功能
赠送5GB 超大企业邮箱，500个Email企业邮箱用户
自动回复、自动转发、POP3、SMTP收发信、SMTP发信认证
邮件过滤、邮件拒收、邮件夹管理、邮件域管理、定制邮件数

数据库功能
支持5GB MSSQL数据库空间，5个用户数据库、Access

主机功能支持
采用安全稳定的Win2003 .net2.0 架构
支持ASP、PHP、ASP.NET、PERL等脚本、支持自定义CGI
全面支持.net2.0版本，独立的Application应用池，
支持SSI（Shtml），支持FrontPage扩展
可免费自行绑定5个域名、500个解析、500个子域名

详情咨询021-51695858   QQ:678500
官方网站  www.abcnic.com
ADD:上海市浦东新区金桥浙桥路289号建银大厦A座703-704

xiangzi

ImageFileName 是被定义成 char[16] ,而你却用char output[15],
又因为你用的是局部数组变量,当进程名等于15 个字节时,就会覆盖堆栈空间,会蓝屏的.

EPROCESS 中进程名是定长16 字节(包括空字符),所以用 strcpyn 替代 strcpy 会更好些...