求助:KeAttachProcess后无法访问进程内存

欢迎光临高端调试登录 | 注册 | FAQ

搜索论坛

	内核调试

	ACPI调试 Linux内核调试 Windows内核调试
	调试方法学

	调试战役调试原理新工具观察
	操作系统

	Linux Windows Vista Windows
	驱动开发

	Linux驱动 WDF WDM
	总线

	PCI Express PCI/PCI-X USB 无线通信协议
	中央处理器

	64位CPU ARM IA-32
	CPU Info Center
	计算机机系统

	ACPI标准系统认证 Desktop 服务器
	嵌入式系统

	Embedded Linux 嵌入式开发工具 VxWorks WinCE 嵌入式Windows
	特别链接

	格蠹调试套件(GDK)
	格蠹学院
	小朱书店
	老雷的微博
	《软件调试》
	《格蠹汇编》
	《软件调试(第二版)》


沪ICP备11027180号-1

Windows内核调试

帖子发起人: 堕落的神曲 发起时间: 2008-09-26 22:09 下午 回复: 0

搜索论坛

帖子排序:

2008-09-26, 22:09 下午

exile 离线，最后访问时间: 2008/9/26 22:29:49 堕落的神曲

发帖数前500位
注册: 2008-09-26
发贴: 1

求助:KeAttachProcess后无法访问进程内存

void EnumUserModules(PEPROCESS pEprocess,PPEB pPeb)
{
PLIST_ENTRY pUserModuleListHead=NULL, pUserModuleListPtr=NULL;
PPEB_LDR_DATA pLdrData;
PUNICODE_STRING pImageName;
PLDR_MODULE   pLdrModule;

//KeStackAttachProcess((ULONG)pEprocess,&kaps);
KeAttachProcess((ULONG)pEprocess);
if(KeGetCurrentIrql()!=PASSIVE_LEVEL){
   DbgPrint("irql error");
   return;
}
pLdrData=(PPEB_LDR_DATA)((ULONG)pPeb+PEB_LDR_DATA_OFFSET);
DbgPrint("pLdrData:%x",(ULONG)pLdrData);
//pUserModuleListHead=(PLIST_ENTRY)(&(pLdrData->InLoadOrderModuleList));
pUserModuleListHead=(PLIST_ENTRY)((ULONG)pLdrData+0xc);
pUserModuleListPtr=pUserModuleListHead;
do{
   try{
       //DbgPrint("pUserModuleListPtr:%x Flink:%x",pUserModuleListPtr,pUserModuleListPtr->Flink);
   ProbeForRead (
               pUserModuleListPtr,
               sizeof(LDR_MODULE),
               sizeof(ULONG)
               );
   // pLdrModule=(PLDR_MODULE)pUserModuleListPtr;
       pUserModuleListPtr=pUserModuleListPtr->Flink;
   }
   except( EXCEPTION_EXECUTE_HANDLER ) {
       DbgPrint("an error occured:%0x",GetExceptionCode());//得到的错误总是0xc0000005，即内存访问错误
       break;
       }
}
while(pUserModuleListPtr->Flink!=pUserModuleListHead);
KeDetachProcess();
}

IP 地址: 已记录   报告

高端调试 » 软件调试 » Windows内核调试 » 求助:KeAttachProcess后无法访问进程内存