21,597
社区成员
发帖
与我相关
我的任务
分享获取EPROCESS的创建时间,R0层
LARGE_INTEGER a,b;
DWORD *aa;
TIME_FIELDS tmt;
DbgPrint("EP地址:%X\n",process);//地址是对的
a = (LARGE_INTEGER*)process+0x78;//获取退出时间
ExSystemTimeToLocalTime(&a,&b);
RtlTimeToTimeFields(&a,&tmt);
DbgPrint("%d\n%d\n%d\n%d\n%d\n%d\n%d\n%d\n", tmt.Year,tmt.Month,tmt.Day,tmt.Hour,tmt.Minute,tmt.Second,tmt.Milliseconds,tmt.Weekday);//打印出来的时间不对,
我想问一下这里该怎么显示时间呢?谢谢哥们
//LONGLONG tim=PsGetProcessCreateTimeQuadPart(process);
上次有人说这个API获取创建时间,但返回的是LONGLONG的类型,我不太清楚在R0层怎么显示时间
DbgPrint("%ld\n",PsGetProcessCreateTimeQuadPart(process));
//a=PsGetProcessExitTime();
DWORD *aa;
TIME_FIELDS tmt;
DbgPrint("EP地址:%X\n",process);//地址是对的
a = (LARGE_INTEGER*)process+0x78;//获取退出时间
ExSystemTimeToLocalTime(&a,&b);
RtlTimeToTimeFields(&a,&tmt);
DbgPrint("%d\n%d\n%d\n%d\n%d\n%d\n%d\n%d\n", tmt.Year,tmt.Month,tmt.Day,tmt.Hour,tmt.Minute,tmt.Second,tmt.Milliseconds,tmt.Weekday);//打印出来的时间不对,
我想问一下这里该怎么显示时间呢?谢谢哥们
//LONGLONG tim=PsGetProcessCreateTimeQuadPart(process);
上次有人说这个API获取创建时间,但返回的是LONGLONG的类型,我不太清楚在R0层怎么显示时间
DbgPrint("%ld\n",PsGetProcessCreateTimeQuadPart(process));
//a=PsGetProcessExitTime();
...全文
请发表友善的回复…
发表回复
曹大夯 2014-01-27
- 打赏
- 举报
你看到的打印结果是什么?
cjbclown2012 2014-01-27
- 打赏
- 举报
我看过了,地址是对的,但我不知道读出来,怎么显示出来
色郎中 2014-01-27
- 打赏
- 举报
换windbg 看看呢
