给定偏移地址和大小,实现对USB块设备(如U盘)的读写-Given offset address and size, the realization of USB block device (such as U disk) reading and writing

读出SSDT表函数地址,引用KeServiceDescr iptorTable表、通过ServiceTableBase+偏移读出当前函数地址、用windbg测试读取的值-SSDT table function to read out the address, reference KeServiceDescr iptorTable table, read through the ServiceTableBase+ offset address of the current function, us

这个EPROCESS结构在ntddk.h中有定义，但是并未给出具体的结构，因此要得到EPROCESS中一些重要的成员变量，只能通过偏移的方法，比如PID,ImageName等．这些偏移可以在Windbg中dt _EPROCESS得到，但是不公开感觉还是不爽，而且这东西在不同的系统版本中不一样，如果要兼容的话，就必须先判断操作系统版本，遍历EPROCESS中的进程-The ntddk.h EPROCESS structure are defined, but did not give a spec