<br><br><div class="gmail_quote">2012/10/4 Thomas Faber <span dir="ltr"><<a href="mailto:thfabba@gmx.de" target="_blank">thfabba@gmx.de</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On 2012-10-04 13:07, Christian Costa wrote:<br>
<div class="im">> 2012/10/4 Paul Chitescu <<a href="mailto:paulc@voip.null.ro">paulc@voip.null.ro</a>><br>
>> AFAIK the structure differs for each major version of Windows and some SP<br>
>> too.<br>
>><br>
>><br>
> I was expecting something like this. :(<br>
><br>
><br>
>> At the minimum I saw some drivers expecting that at the returned pointer<br>
>> to be<br>
>> a "System" C-style string.<br>
>><br>
><br>
> Which windows version it is ? In Vista definition the first basic element<br>
> can be either an UCHAR or an ULONG. Not a char buffer.<br>
<br>
</div>What all versions have in common is that processes are dispatcher<br>
objects. Thus the EPROCESS/KPROCESS structure starts with a<br>
DISPATCHER_HEADER.<br>
</blockquote></div><br><div>I known. And in�DISPATCHER_HEADER, the first type can be either an UCHAR or an ULONG.</div><div><br></div><div>That said I found why your patch works for you :</div><div><br></div><div><span style="font-family:arial,sans-serif">> The process name offset can be founded form peprocess but you should write a
simple code.</span></div><div><font face="arial,sans-serif">> First of all call PsGetCurrentProcess() to achieve the address of peprocess
of current process then search for the string "System"</font></div><div><font face="arial,sans-serif">> in the increasing
offsets form peprocess.
If you find "System " string , the related offset is the name offset.</font></div><div><font face="arial,sans-serif"><br></font></div><div><font face="arial,sans-serif">Found at <a href="http://www.osronline.com/showthread.cfm?link=157240">http://www.osronline.com/showthread.cfm?link=157240</a></font></div>
<div><font face="arial,sans-serif"><br></font></div><div><font face="arial,sans-serif">So "system" should be elsewhere in the structure. Probably ImageFileName.�</font></div><div><font face="arial,sans-serif"><br>
</font></div><div><br></div><div><br></div>