当前位置 博文首页 > KOOKNUT的博客:进程相关的函数

最大化 缩小

    KOOKNUT的博客:进程相关的函数

    作者:[db:作者] 时间:2021-07-02 21:32

    得到当前进程进程的EPROCESS、当进程的ID、当前进程的句柄

    FORCEINLINE
PKTHREAD
KeGetCurrentThread(VOID)
{
    return (struct _KTHREAD *)__readgsqword(0x188);
}
FORCEINLINE
PEPROCESS
_PsGetCurrentProcess(VOID)
{
    /* Get the current process */
    return (PEPROCESS)KeGetCurrentThread()->ApcState.Process;
}
HANDLE
NTAPI
PsGetCurrentProcessId(VOID)
{
    return (HANDLE)PsGetCurrentProcess()->UniqueProcessId;
}
#define NtCurrentProcess()                      ((HANDLE)(LONG_PTR)-1)
HANDLE
WINAPI
GetCurrentProcess(VOID)
{
    return (HANDLE)NtCurrentProcess();
}

    “We make our own luck.
    运气掌握在自己手中。”
    那两天去榆林送我弟弟,见了朋友,陪女朋友过了生日,博客没更,今晚回归!!继续学习,继续复习

    cs
    上一篇:KOOKNUT的博客:枚举内核句柄表(Windows内核学习笔记)
    下一篇:没有了