Trabajo con procesos [modo kernel]

Iniciado por lweb20, 4 Diciembre 2011, 22:09 PM

0 Miembros y 3 Visitantes están viendo este tema.

lweb20

ahh ok :)

y lo del NtQueryInformationProcess  :huh: no logro usarlo correctamente

Te pido por favor que me ayudes ( lo que descubrí: PROCESSINFOCLASS no me deja usar ProcessImageFileName )

Perdona la ignorancia por lo de NtQueryInformationProcess 

Eternal Idol

Podes poner 27 directamente ... igual como te dije antes tenes que llamar a ZwQueryInformationProcess (tenes que prototiparla y ya que estas resolve la direccion dinamicamente).
La economía nunca ha sido libre: o la controla el Estado en beneficio del Pueblo o lo hacen los grandes consorcios en perjuicio de éste.
Juan Domingo Perón

lweb20

Voy a hacer unas pruebas y te cuento. Muchas gracias y perdona por haberme expresado mal, como te digo soy nuevo y estoy algo desorientado. Gracias

Eternal Idol

Bueno de nada y no hay problema, suerte con eso. Aca ya son casi las 2 AM asi que me voy a dormir, chau.
La economía nunca ha sido libre: o la controla el Estado en beneficio del Pueblo o lo hacen los grandes consorcios en perjuicio de éste.
Juan Domingo Perón

lweb20

Hola de nuevo. Bueno ahorita no estoy en mi casa :P

En un driver en C se declara el ZwQueryInformationProcess? y la variable que incluye el dato es ProcessInformation?

Porque eso es lo que he hecho y el driver finaliza inesperadamente y la pc se apaga por error del kernel driver. u.u

De todas maneras hoy voy a intentar de nuevo.... Tal vez no sólo es la declaración sino que ¿debo asignar algo? o explícame si me entiendes :xD

Eternal Idol

Si queres usar la funcion si, no esta en el W/DDK si recuerdo bien. ProcessInformation es un puntero opaco (por eso es PVOID) dependiendo de la clase que se use sera diferente, fijate en la documentacion que te deje antes.

Si te da una excepcion no controlada (BSOD) depuralo para ver EXACTAMENTE que esta pasando.
La economía nunca ha sido libre: o la controla el Estado en beneficio del Pueblo o lo hacen los grandes consorcios en perjuicio de éste.
Juan Domingo Perón

lweb20

Una pregunta si no es de mucha molestia...

Para depurar creo que es el WinDbg pero el driver ¿lo compilo con Free Build? creo  :huh:

Referencias:
http://msdn.microsoft.com/en-us/library/ff543450.aspx
http://msdn.microsoft.com/en-us/library/ff544635.aspx

Eternal Idol

Si, para usar WinDbg necesitas 2 maquinas (y conectarlas via serial o firewire). El modulo de modo Kernel lo generas como CHECKED que es Debug y no FREE que es Release, igual esa pagina que dejaste no habla de eso exactamente sino de la version de Windows checked (es decir Debug).
La economía nunca ha sido libre: o la controla el Estado en beneficio del Pueblo o lo hacen los grandes consorcios en perjuicio de éste.
Juan Domingo Perón

lweb20

pero tengo una sola máquina... ¿podrá ser virtual o hay otra manera?

Eternal Idol

Si, en VMWare por ejemplo podes crear un puerto serial virtual muy facilmente.

http://silverstr.ufies.org/lotr0/windbg-vmware.html
La economía nunca ha sido libre: o la controla el Estado en beneficio del Pueblo o lo hacen los grandes consorcios en perjuicio de éste.
Juan Domingo Perón