内核获取进程名KeGetProcName

最新推荐文章于 2022-10-26 15:50:45 发布
最新推荐文章于 2022-10-26 15:50:45 发布
阅读量3.7k 收藏
点赞数
文章标签: object system buffer image string null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/avder/article/details/2546562
版权

内核获取进程名,使用EPROCESS中的ImageFileName只能显示15个字节,如下:    +0x174 ImageFileName    : [16]  "aaaaaaaaaaaaaaa" 问了mo哥后发现SeAuditProcessCreationInfo中有ImageFileName 字段,类型为_OBJECT_NAME_INFORMATION,可以从该字段获取全路径和进程名。

一些使用日志记录如下

!process 0 0 ... PROCESS 85a51020  SessionId: 0  Cid: 0218    Peb: 7ffd5000  ParentCid: 0560     DirBase: 25951000  ObjectTable: e20a0738  HandleCount:  35.     Image: aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaNOTEPADaaaaaaaaaaaaaaaaaaaaa.EXE ...

lkd> dt nt!_EPROCESS SeAuditProcessCreationInfo.ImageFileName 85a51020    +0x1f4 SeAuditProcessCreationInfo               :       +0x000 ImageFileName                            : 0x85a2de88 _OBJECT_NAME_INFORMATION lkd>  dt nt!_OBJECT_NAME_INFORMATION 0x85a2de88 -b    +0x000 Name             : _UNICODE_STRING "/Device/HarddiskVolume1/Documents and Settings/.../桌面/aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaNOTEPADaaaaaaaaaaaaaaaaaaaaa.EXE"       +0x000 Length           : 0x106       +0x002 MaximumLength    : 0x108       +0x004 Buffer           : 0x85a2de90  "/Device/HarddiskVolume1/Documents and Settings/.../桌面/aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaNOTEPADaaaaaaaaaaaaaaaaaaaaa.EXE"

代码片断:

 

DWORD GetProcessNameOffset()
{
    DWORD ProcessNameOffset = 0;
    PEPROCESS curproc = PsGetCurrentProcess();
    int i;
    for( i = 0; i < 3*PAGE_SIZE; i++ ) 
    {
       if( !strncmp( "System", (PCHAR) curproc + i, strlen("System") ))
        {
            if (i<3*PAGE_SIZE)
            {
                ProcessNameOffset = i;
                DbgMsg("ProcessNameOffset: %.8X",ProcessNameOffset);
                break;
            }
        }
    }
    return ProcessNameOffset;
}



// Length of process name (rounded up to next DWORD)
#define PROCNAMELEN         20

/* Maximum length of NT process name */
#define NT_PROCNAMELEN      16

/* =================================================================================================

    复制进程名到指定的缓冲区:ImageFileName

 =================================================================================================== */

BOOL GetProcessName(PCHAR ImageFileName, DWORD dwProcessNameOffset)
{
    PEPROCESS   curproc;
    char        *nameptr;

    if(dwProcessNameOffset)
    {
        curproc = PsGetCurrentProcess();
        nameptr = (PCHAR) curproc + dwProcessNameOffset;
        strncpy(ImageFileName, nameptr, NT_PROCNAMELEN);
        ImageFileName[NT_PROCNAMELEN] = 0;    /* NULL at end */
        return TRUE;
    }

    return FALSE;
}

但是获取全名字还是需要修改,不同系统SeAuditProcessCreationInfo.ImageFileName位置不一样。
avder
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows内核驱动EPROCESS遍历进程模块
12-14
windows驱动 遍历进程模块
Android中的进程和线程
夏夏的博客
06-15 2277
古人起颇为讲究,不单有,还有字。文人雅士有时还会给自己取个“别号”。所谓“为正体,字以表德,号以寓怀”,三者共同展现一个人的品格和追求。在Android的世界里,进程和线程的名称也多种多样,有的地方用的是“”,用的地方用的是“字”,并不统一。所以本文的目的就是深究本质,让观众老爷们知道,拿掉这些代号后的主体到底是谁。先来浅问几个问题:研究事物时,我们要用历史变迁的角度来思考。因此,想要理解Android,必先理解Linux。Linux kernel中有一个重要的概念:task_struct。我将它理
windows核心编程(四) 关于进程
World-wang
11-15 1080
(1)定义 进程定义成一个正在运行的程序的一个实例,创建进程后会生成一个内核对象,操作系统使用它来管理进程,也是用它来保存进程统计信息的地方。 另外,进程的创建,操作系统会为它分配一块独立的地址空间,包含所有可执行的文件或DLL模块代码或者数据,还包括动态内存分配,例如:线程堆栈和堆的分配。 (2)进程实例句柄(HMODULE和HINSTANCE是一回事) GetModuleFileNa
Linux kernel如何获取PID
10-26 1448
/获取线程pid描述符。// 传入进程任何一个线程pid, 并查找进程PID(就是进程中leader线程的PID)
Linux 内核进程管理之进程ID
weixin_30245867的博客
10-03 584
Linux 内核使用task_struct数据结构来关联所有与进程有关的数据和结构,Linux 内核所有涉及到进程和程序的所有算法都是围绕该数据结构建立的,是内核中最重要的数据结构之一。该数据结构在内核文件include/linux/sched.h中定义,在Linux 3.8 的内核中,该数据结构足足有 380 行之多,在这里我不可能逐项去描述其表示的含义,本篇文章只关注该数据结构如何...
内核态通过PID获取进程!!
yuanxiaobo007的专栏
01-09 2969
毛毛虫的原作:   VOID GetProcessNameByPid(IN ULONG ulPid, OUT PUNICODE_STRING ustrProcessName) { NTSTATUS status = STATUS_SUCCESS; ULONG ulNeed = 0; PSYSTEM_PROCESSES pSystemProcess = NULL; PVOID
linux下的进程描述符task_struct 结构体认识
cvhbfgh的博客
04-18 884
操作系统在管理文件的时候主要有俩个步骤,先描述再组织。每一个进程都有一个pcb控制块,pcb控制块用task_struct结构体来存放内容,那么这个结构体当中到底放了一些什么内容,我们可以简单的认识一下,下面是一些基本的内容以及功能。 struct task_struct {       //这个是进程的运行时状态,-1代表不可运行,0代表可运行,>0代表已停止。  volatile
linux获取当前进程进程号,Linux内核获取当前进程结构的current宏
weixin_31440053的博客
04-28 2279
上篇文章Linux内核的源码结构简介(1)简单介绍了Linux内核源码的目录结构,以及和进程的task_struct的几个关键变量,最后提到了在内核获取当前进程的pid的代码:current->pid。current,属于内核的一个宏,指向get_current()函数。#define current get_current()所以代码current,实际是获取get_current()函...
linux signal 符号表6,linux signal处理函数(转)
weixin_35810956的博客
05-15 369
要对一个信号进行处理,就需要给出此信号发生时系统所调用的处理函数。可以对一个特定的信号(除去SIGKILL和SIGSTOP信号)注册相应的处理函数。注册某个信号的处理函数后,当进程接收到此信号时,无论进程处于何种状态,就会停下当前的任务去执行此信号的处理函数。1、注册信号函数。#includevoid(*signal(int signumber,void ((*func)(int))(int)si...
Android jni获取进程
dk_work的博客
06-20 3299
char process_name[50] = {0}; char *pWecarnavi = "com.xx.xx"; getprocname(IPCThreadState::self()-&gt;getCallingPid(), process_name, sizeof(process_name)); static int getprocname(pid_t pid, char *buf, ...
linux内核实时进程的调度原理
01-27
本文主要介绍linux内核实时进程的调度过程。实时进程(包括SCHED_RR/SCHED_FIFO)基于优先级队列进行调度。实时进程调度类:rt_sched_class普通进程(包括SCHED_NORMAL)使用CFS调度器进行调度。普通进程调度类:...
Linux内核中的进程
01-09
在2.6.23内核版本中用完全公平调度算法(CFS)代替了O(1)调度算法。  进程可以被分为I/O消耗型和处理器消耗型。I/O消耗型指进程的大部分时间用来提交I/O请求或是等待I/O请求。处理器消耗型指进程把事件大多数用在...
内核线程和进程的区别
07-22
Linux把所有线程都当做进程来实现。内核并没有准备特别的调度算法或者定义特别的数据结构来表示线程。下面一起来看看
Linux内核进程调度的分析.PDF
08-24
Linux内核进程调度的分析.PDF
2010考研管理类联考综合能力答案解析.pdf
04-24
考研管理类联考综合能力答案解析,考研真题,考研历年真题,考研管理类联考历年真题,真题解析。
NumPy Matplotlib Matplotlib 是 Python 的绘图库 .zip
04-24
matplotlib绘图 通过 Matplotlib,开发者可以仅需要几行代码,便可以生成绘图、直方图、功率谱、条形图、错误图、散点图等。 Matplotlib基础知识 1.Matplotlib中的基本图表包括的元素 x轴和y轴 水平和垂直的轴线 x轴和y轴刻度 刻度标示坐标轴的分隔,包括最小刻度和最大刻度 x轴和y轴刻度标签 表示特定坐标轴的值 绘图区域 实际绘图的区域 2.hold属性 hold属性默认为True,允许在一幅图中绘制多个曲线;将hold属性修改为False,每一个plot都会覆盖前面的plot。 但是不推荐去动hold这个属性,这种做法(会有警告)。因此使用默认设置即可。 3.网格线 grid方法 使用grid方法为图添加网格线 设置grid参数(参数与plot函数相同) .lw代表linewidth,线的粗细 .alpha表示线的明暗程度 4.axis方法 如果axis方法没有任何参数,则返回当前坐标轴的上下限 5.xlim方法和ylim方法 除了plt.axis方法,还可以通过xlim,ylim方法设置坐标轴范围
毕业设计:基于微信小程序大学校园二手教材与书籍拍卖系统(源码 + 数据库 + 说明文档)
04-24
毕业设计:基于微信小程序大学校园二手教材与书籍拍卖系统(源码 + 数据库 + 说明文档) 毕业设计:基于微信小程序大学校园二手教材与书籍拍卖系统(源码 + 数据库 + 说明文档) 第二章 需求分析 4 2.1可行性分析 4 2.1.1技术的可行性 4 2.1.2经济的可行性 4 2.1.3操作可行性 4 2.2需求调研 4 第三章 数据库设计 6 3.1数据库的分析与设计 6 3.1.1数据库的概念结构设计 6 3.1.2数据表的逻辑结构设计 7 第四章 系统功能实现 8 4.1 系统后台界面 8 4.2书籍类别管理 8 4.3 书籍信息界面 9 4.4竞拍管理界面 9 4.5 微信小程序首页 9 4.6书籍信息添加 10 4.7书籍竞拍界面 11 4.8用户后台界面 11 第五章 系统测试 12 5.1 系统测试的意义 12 5.2 系统测试的内容 12 5.3系统测试结果 12 总结 13
利用openCV控制单片机小车运动轨迹.zip
最新发布
04-24
利用openCV控制单片机小车运动轨迹.zip
基于Python的PCA人脸识别算法的原理及实现代码+文档详解.zip
04-24
基于Python的PCA人脸识别算法的原理及实现代码+文档详解.zip个人经导师指导并认可通过的98分课程设计项目,主要针对计算机相关专业的正在做课程设计、期末大作业的学生和需要项目实战练习的学习者。
Windows C语言内核获取进程进程参数
05-30
在Windows内核获取进程参数可以使用PsGetProcessWow64Process和PsLookupProcessByProcessId函数来实现。 首先,使用PsLookupProcessByProcessId函数获取进程句柄,例如: ``` PEPROCESS process; if (NT_SUCCESS...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值