0

我想在windows NT内核进程的EPROCESS结构中存储一些信息。我的目标是,当调用 winlogon 时,我想根据哪个用户登录为下一个进程分配一个唯一值。但我不知道在哪里存储这个唯一 ID。我已经尝试并成功地通过直接内核对象修改的方法修改了进程的 EPROCESS 块中的一些信息(如令牌),我想知道这个 EPROCESS 块中是否有任何结构可以存储一些其他信息。

ps 为了修改 EPROCESS 块,我使用了设备驱动程序。

4

2 回答 2

3

EPROCESS 结构是不透明且未记录的,这意味着您不应该弄乱它的内部结构。这样做需要您在计划支持的每个操作系统版本和服务包上进行测试。

于 2009-01-27T18:45:21.253 回答
1

不要修改 EPROCESS。它会给你带来巨大的悲伤。

此外,如果您这样做,请不要将其安装在任何其他人的机器上。将这种具有深远破坏性、破坏系统稳定性的更改强加于他人计算机上是绝对错误的。如果我给你肺结核会怎样?

于 2009-03-25T20:30:48.590 回答