windows - find base adresse for nuværende procrss i kernel plads

Indlæg af Hanne Mølgaard Plasc

Problem



hej jeg vil dumpe den anden proces i kernel driver


og brug KeStackAttachProcess til at ændre driverens nuværende kontekst


Efter bruger-tilstand adresse ændret, hvordan kan du finde base adresse for den aktuelle proces
jeg har brug for basisadresse for at sende den til PIMAGE\_DOS\_HEADER (og analysere den for at finde sektioner)
kan bruge PEB?


nogen anden løsning?

Bedste reference


Der er en særlig API-funktion til det:


NTKERNELAPI
PVOID
PsGetProcessSectionBaseAddress(
    \_\_in PEPROCESS Process
    );


Og du kan bruge SectionBaseAddress-feltet i EPROCESS-strukturen:


+0x128 SectionBaseAddress : 0x00400000 Void


Det kan variere i forskellige OS versioner.