又一个问题代码，引用的是IamRainLiang朋友的代码，居然调试不通过，怪闷的。

最新推荐文章于 2011-04-26 13:51:00 发布

ccx_john

最新推荐文章于 2011-04-26 13:51:00 发布

阅读量2.6k

点赞数

CC 4.0 BY-SA版权

分类专栏：驱动学习原创文章

本文链接：https://blog.youkuaiyun.com/ccx_john/article/details/6327504

驱动学习同时被 2 个专栏收录

44 篇文章

订阅专栏

原创文章

12 篇文章

订阅专栏

本文介绍了一种在Windows环境下通过扫描当前进程地址空间来查找进程名称的方法。该方法利用了枚举当前进程（PsGetCurrentProcess）和调试打印（DbgPrint）等内核调试API，尝试在指定的内存范围内找到特定的进程名字符串。此技巧适用于Windows驱动开发及调试场景。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

又一个问题代码，引用的是IamRainLiang朋友的代码，居然调试不通过，怪闷的。

http://blog.youkuaiyun.com/iamrainliang/archive/2008/01/25/2065572.aspx

#define MAX_PROC_NAME_LEN 256

#pragma INITCODE
BOOLEAN EnumProcessList2()
{
PEPROCESS       curproc;
    char            *nameptr;
    ULONG           i;
static CHAR szName[MAX_PROC_NAME_LEN];
BOOLEAN find2=FALSE;

DbgPrint(("Find Current Process Name begin!/n"));
curproc = PsGetCurrentProcess();     //获取当前进程信息

    //
    // Scan for 12KB, hopping the KPEB never grows that big!
    //
    for( i = 0; i < 3*PAGE_SIZE; i++ ) {        //在WDM.h中定义#define PAGE_SIZE 0x1000

  DbgPrint(("Process Name:%s/n",(PCHAR) curproc + i));
        if(strcmp("NOTEPAD.EXE", (PCHAR) curproc + i)==0)
  {

            nameptr   = (PCHAR) curproc + i;
      strncpy( szName, nameptr, MAX_PROC_NAME_LEN-1 );
   find2=TRUE;
   break;
        }
    }
if(find2)
    DbgPrint(("Current Process Name:%s/n",szName));
else
            DbgPrint(("Current Process Name:no find!/n"));
   return TRUE;
}