基础问题求教,关于用地址取结构体数据

ybblack001 2015-12-04 11:21:07
请教如下面的结构体 注释是自己算的偏移 在XPx86下这么计算对吗?


typedef struct _SYSTEM_PROCESS_INFORMATION {

		ULONG NextEntryOffset;                   //0x00

		ULONG NumberOfThreads;                   //0x04

		LARGE_INTEGER SpareLi1;                  //0x08

		LARGE_INTEGER SpareLi2;                  //0x10

		LARGE_INTEGER SpareLi3;                  //0x18

		LARGE_INTEGER CreateTime;                //0x20

		LARGE_INTEGER UserTime;                  //0x28

		LARGE_INTEGER KernelTime;                //0x30

		UNICODE_STRING ImageName;                //0x38

               ……

}

如果对的话,下面两段是否等价呢? 其中 SystemInformation 就是 _SYSTEM_PROCESS_INFORMATION 结构体
PUNICODE_STRING pName = (PUNICODE_STRING)((DWORD)SystemInformation+ 0x38);

DbgPrint("%wZ/n",pName);


DbgPrint("%wZ/n",&(pCurrProcessInfo->ImageName));


我现在用下面的可以得到正确结果,但是用面的代码就不行
...全文
158 4 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
4 条回复
切换为时间正序
请发表友善的回复…
发表回复
ybblack001 2015-12-04
  • 打赏
  • 举报
 回复
引用 2 楼 TheOne_jie 的回复:
LARGE_INTEGER为64位整数 
typedef struct _SYSTEM_PROCESS_INFORMATION {
        ULONG NextEntryOffset;                   //0x00
        ULONG NumberOfThreads;                   //0x04
        LARGE_INTEGER SpareLi1;                  //0x08
        LARGE_INTEGER SpareLi2;                  //0x16
        LARGE_INTEGER SpareLi3;                  //0x24
        LARGE_INTEGER CreateTime;                //0x32
        LARGE_INTEGER UserTime;                  //0x40
        LARGE_INTEGER KernelTime;                //0x48
        UNICODE_STRING ImageName;                //0x56
               ……
}
可是将下面改成0x56依然不对 还是蓝屏
BurnellLiu 2015-12-04
  • 打赏
  • 举报
 回复
LARGE_INTEGER为64位整数 
typedef struct _SYSTEM_PROCESS_INFORMATION {
        ULONG NextEntryOffset;                   //0x00
        ULONG NumberOfThreads;                   //0x04
        LARGE_INTEGER SpareLi1;                  //0x08
        LARGE_INTEGER SpareLi2;                  //0x16
        LARGE_INTEGER SpareLi3;                  //0x24
        LARGE_INTEGER CreateTime;                //0x32
        LARGE_INTEGER UserTime;                  //0x40
        LARGE_INTEGER KernelTime;                //0x48
        UNICODE_STRING ImageName;                //0x56
               ……
}
赵4老师 2015-12-04
  • 打赏
  • 举报
 回复
仅供参考:
#include <stdio.h>
#define field_offset(s,f) (int)(&(((struct s *)(0))->f))
struct AD  { int a; char b[13]; double c;};
#pragma pack(push)
#pragma pack(1)
struct A1  { int a; char b[13]; double c;};
#pragma pack(2)
struct A2  { int a; char b[13]; double c;};
#pragma pack(4)
struct A4  { int a; char b[13]; double c;};
#pragma pack(8)
struct A8  { int a; char b[13]; double c;};
#pragma pack(16)
struct A16 { int a; char b[13]; double c;};
#pragma pack(pop)
int main() {
    printf("AD.a %d\n",field_offset(AD,a));
    printf("AD.b %d\n",field_offset(AD,b));
    printf("AD.c %d\n",field_offset(AD,c));
    printf("\n");
    printf("A1.a %d\n",field_offset(A1,a));
    printf("A1.b %d\n",field_offset(A1,b));
    printf("A1.c %d\n",field_offset(A1,c));
    printf("\n");
    printf("A2.a %d\n",field_offset(A2,a));
    printf("A2.b %d\n",field_offset(A2,b));
    printf("A2.c %d\n",field_offset(A2,c));
    printf("\n");
    printf("A4.a %d\n",field_offset(A4,a));
    printf("A4.b %d\n",field_offset(A4,b));
    printf("A4.c %d\n",field_offset(A4,c));
    printf("\n");
    printf("A8.a %d\n",field_offset(A8,a));
    printf("A8.b %d\n",field_offset(A8,b));
    printf("A8.c %d\n",field_offset(A8,c));
    printf("\n");
    printf("A16.a %d\n",field_offset(A16,a));
    printf("A16.b %d\n",field_offset(A16,b));
    printf("A16.c %d\n",field_offset(A16,c));
    printf("\n");
    return 0;
}
//AD.a 0
//AD.b 4
//AD.c 24
//
//A1.a 0
//A1.b 4
//A1.c 17
//
//A2.a 0
//A2.b 4
//A2.c 18
//
//A4.a 0
//A4.b 4
//A4.c 20
//
//A8.a 0
//A8.b 4
//A8.c 24
//
//A16.a 0
//A16.b 4
//A16.c 24
//
//
ybblack001 2015-12-04
  • 打赏
  • 举报
 回复
晕,自己解决了。 偏移是0x38没错
Qt核心:元对象系统(1)- 元对象和元数据
Qt核心机制:Qt作为一个跨平台的GUI框架,提供了完善易用的信号槽机制,属性系统等特性,而这一切的基础都要从元对象系统和元对象说起。
事件驱动编程---队列应用--银行排队模拟--学习与思考
栈,队列这些数据结构在理解其原理上,比较简单,实现一个简单的队列也不是难事。但当仅仅学习完这些简单的基础之后,关于队列真正在实际的应用,还是很抽象,生疏,所以特地研究了几个应用队列的经典案例,对于初学者来说,事件驱动编程的设计和思想,一时还是难以完全接受的,下边是我学习过程中的疑问,以及思考。 这是我的学习地址:实验楼https://zhuanlan.zhihu.com/p/21571038
【干货】腾讯实习生扩招 5000+,互联网还能去么?(下)
春招来了,一波研究所又开始招人了秋招之前,楼主就已经确定了要走选调的路,一是因为研究生期间做项目压力比较大,做不出来的时候会失眠,二是履历上的项目方向比较窄,对。没具体记录,10月初投递简历中下旬面试(群面),快速自我介绍+基础的专业问题+实习成就、项目难点,对公司的了解10.28 GSAT笔试,必须线下,就近三星所在的。因为安逸所以也开始摆。大学里面学过哪些课程简单描述一下c和c加加的区别c语言和c加加中呃结构体的区别描述一下指针和引用的区别说一下tcp IP协议的五层tcp和udp的区的区别stl。
CSDN回帖得分大全(近两年)
√vs2005调用dll的时候Initialize()函数返回错误 [VC/MFC 基础类] 40 ylongwu 05-21 20:486 ylongwu06-28 13:42管理√为什么我创建登陆框之后,然后获登陆框的数据时候总是出现非法操作! [VC/MFC 界面] 40 chencheng8095 05-23 00:2911 xianglitian06-10 11:51管理√CFileFind::FindFile   支持通配符么? [VC/MFC 基础类] 100 wysbk002 05-22
Linux内核设计与实现(13)--进程地址空间
上一节讲了内核如何管理物理内存,其实内核除了管理本身的内存外,还必须管理用户空间中进程的内存,这就是进程地址空间,也就是系统中每个用户空间进程所看到的内存。 Linux采用虚拟内存技术,系统中所有进程之间以虚拟方式共享内存,对一个进程而言,可以访问整个系统的所有物理内存,其拥有地址空间也可以远远大于系统物理内存。 1.地址空间 进程地址空间由进程可寻址的虚
VC/MFC

16,548

社区成员

421,620

社区内容

发帖
与我相关
我的任务
社区描述
VC/MFC相关问题讨论
社区管理员
  • 基础类社区
  • AIGC Browser
  • encoderlee
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告

        VC/MFC社区版块或许是CSDN最“古老”的版块了,记忆之中,与CSDN的年龄几乎差不多。随着时间的推移,MFC技术渐渐的偏离了开发主流,若干年之后的今天,当我们面对着微软的这个经典之笔,内心充满着敬意,那些曾经的记忆,可以说代表着二十年前曾经的辉煌……
        向经典致敬,或许是老一代程序员内心里面难以释怀的感受。互联网大行其道的今天,我们期待着MFC技术能够恢复其曾经的辉煌,或许这个期待会永远成为一种“梦想”,或许一切皆有可能……
        我们希望这个版块可以很好的适配Web时代,期待更好的互联网技术能够使得MFC技术框架得以重现活力,……

试试用AI创作助手写篇文章吧

+ 用AI写文章