如何在驱动程序(sys)中得到当前进程的完整路径和进程名?

最新推荐文章于 2021-03-25 20:07:40 发布
最新推荐文章于 2021-03-25 20:07:40 发布
阅读量2.5k 收藏
点赞数
分类专栏: 开发总结 文章标签: windows extension struct library ddk access

学习雨盾的源码,看到了在驱动程序中得到当前进程的完整路径和进程名的代码,网上搜了一下,文档不少,学习。。。

《摘自http://www.chinaitpower.com/A/2001-10-09/1177.html 作者:xstudio 时间:2001-10-09 10:09 出处:互联网 责编:chinaitpower

首先利用 PsGetCurrentProcess IoGetCurrentProcess 函数得到当前进程的句柄,这个句柄是指向 _EPROCESS 结构的指针, _EPROCESS 的结构如下:

typedef struct _EPROCESS

    {

    KPROCESS                     Pcb;

    NTSTATUS                     ExitStatus;

    KEVENT                       LockEvent;

    DWORD                        LockCount;

    QWORD                        CreateTime;

    QWORD                        ExitTime;

    PVOID                        LockOwner;

    DWORD                        UniqueProcessId;

    QWORD                        ActiveProcessLinks;

    DWORD                        QuotaPeakPoolUsage [2]; // NP, P

    DWORD                        QuotaPoolUsage     [2]; // NP, P

    DWORD                         PagefileUsage;

    DWORD                        CommitCharge;

    DWORD                        PeakPagefileUsage;

    DWORD                        PeakVirtualSize;

    QWORD                        VirtualSize;

    DWORD                         Vm [12];

    DWORD                        LastProtoPteFault;

    DWORD                        DebugPort;

    DWORD                        ExceptionPort;

    DWORD                        ObjectTable;

    DWORD                        Token;

    DWORD                         WorkingSetLock [8];

    DWORD                        WorkingSetPage;

    BOOLEAN                      ProcessOutswapEnabled;

    BOOLEAN                      ProcessOutswapped;

    BOOLEAN                      AddressSpaceInitialized;

     BOOLEAN                      AddressSpaceDeleted;

    DWORD                        AddressCreationLock [9];

    DWORD                        ForkInProgress;

    DWORD                        VmOperation;

    DWORD                        VmOperationEvent;

    DWORD                        PageDirectoryPte;

    QWORD                        LastFaultCount;

    PVOID                        VadRoot;

    DWORD                        VadHint;

    DWORD                        CloneRoot;

    DWORD                         NumberOfPrivatePages;

    DWORD                        NumberOfLockedPages;

    WORD                         w184;

    BOOLEAN                      ExitProcessCalled;

    BOOLEAN                      CreateProcessReported;

    HANDLE                        SectionHandle;

    struct _PEB                 *Peb;             // offset 0x1B0

    PVOID                        SectionBaseAddress;

    PVOID                        QuotaBlock;

    NTSTATUS                     LastThreadExitStatus;

    PROCESS_WS_WATCH_INFORMATION WorkingSetWatch;

    DWORD                        InheritedFromUniqueProcessId;

    ACCESS_MASK                  GrantedAccess;

    DWORD                        DefaultHardErrorProcessing;

    DWORD                        LdtInformation;

    DWORD                         VadFreeHint;

    DWORD                        VdmObjects;

    KMUTANT                      ProcessMutant;

    BYTE                         ImageFileName [16];              // offset 0x1FC

    DWORD                        VmTrimFaultValue [2];

    PVOID                        Win32Process;

    DWORD                        d1F8;

    DWORD                        d1FC;

    }

        EPROCESS,

     * PEPROCESS,

**PPEPROCESS;

 

从上面这个结构可以看出,进程名称就是 ImageFileName ,只要用 _EPROCESS 的基地址加上偏移地址 0x1FC 就可以得到进程名称的地址,代码如下:

 

char *ProcessName = (char*)PsGetCurrentProcess() + 0x1FC;

KdPrint((“Current Process Name: %s/n”, ProcessName));

 

要得到完整路径还需要利用 _EPROCESS 结构中的 _PEB 结构指针来得到 ProcessParameters 的地址。 ProcessParameters 保存着进程的完整路径。可以通过 DDK 附带的 WinDbg 工具打开一个可执行程序,然后用 !peb 命令来显示 _PEB 的结构信息。如下所示:

 

———————————————————————————————————————

> !peb

Debugger extension library [F:/WINNT/system32/ntsdexts] loaded

PEB at 7FFDF000

    InheritedAddressSpace:    No

    ReadImageFileExecOptions: No

    BeingDebugged:            Yes

    ImageBaseAddress:         00400000

    Ldr.Initialized: Yes

    Ldr.InInitializationOrderModuleList: 131f88 . 132998

    Ldr.InLoadOrderModuleList: 131ee0 . 132988

    Ldr.InMemoryOrderModuleList: 131ee8 . 132990

        00400000 D:/NtSysInfo.exe

        77F80000 F:/WINNT/System32/ntdll.dll

        77E60000 F:/WINNT/system32/KERNEL32.dll

        77DF0000 F:/WINNT/system32/USER32.dll

        77F40000 F:/WINNT/system32/GDI32.DLL

        76AF0000 F:/WINNT/system32/comdlg32.dll

        70BD0000 F:/WINNT/system32/SHLWAPI.DLL

        77D90000 F:/WINNT/system32/ADVAPI32.dll

        77D20000 F:/WINNT/system32/RPCRT4.DLL

        71700000 F:/WINNT/system32/COMCTL32.DLL

        77560000 F:/WINNT/system32/SHELL32.DLL

         78000000 F:/WINNT/system32/MSVCRT.DLL

        777C0000 F:/WINNT/System32/WINSPOOL.DRV

    SubSystemData:     0

    ProcessHeap:       130000

    ProcessParameters: 20000

        WindowTitle:  'D:/NtSysInfo.exe'

        ImageFile:    'D:/NtSysInfo.exe'

        CommandLine:  '"D:/NtSysInfo.exe" '

        DllPath:      'D:/;.;F:/WINNT/System32;F:/WINNT/system;F:/WINNT;F:/WINNT/system32;F:/WINNT;F:/WINNT/System32/Wbem;J:/WINDOWS;J:/WINDOWS/COMMAND;E:/WINDOWS/SYSTEM/WBEM;J:/WINDOWS;J:/WINDOWS/COMMAND;E:/WINDOWS/SYSTEM/WBEM;J:/WINDOWS;J:/WINDOWS/

COMMAND'


        Environment:  0x10000

 

WinDbg 输出的 PEB 结构信息可以看出 ProcessParameters 的地址为 0x20000 ImageFile 字段就是进程的完整路径。那么 PorcessParamters 的地址又保存在 _PEB 结构的什么地方呢? _PEB 结构的基地址为 0x7ffdf000 ,通过 WinDbg 的“ db 0x7ffdf000 命令显示 0x7ffdf000 地址的信息可以发现 ProcessParameters 的地址保存在 _PEB 结构的 0x10 偏移量处,内容为 0x20000

继续用“ db 0x20000 ”命令显示 ProcessParameters 地址的内容,偏移量为 0x3C 处保存完整路径的地址, 0x3C 处的内容如果是: 0x20670 ,利用“ db 0x20670 ”即可显示出完整路径。完整路径用 UNICODE 格式保存。

我们利用程序模拟上面的步骤则可以得到当前进程的完整路径,代码如下:

PCWSTR GetCurrentProcessFileName()

{

       DWORD dwAddress = (DWORD)PsGetCurrentProcess();

       if(dwAddress == 0 || dwAddress == 0xFFFFFFFF)

              return NULL;

       dwAddress += 0x1B0;

       if((dwAddress = *(DWORD*)dwAddress) == 0) return 0;

       dwAddress += 0x10;

       if((dwAddress = *(DWORD*)dwAddress) == 0) return 0;

       dwAddress += 0x3C;

       if((dwAddress = *(DWORD*)dwAddress) == 0) return 0;

       KdPrint((“Current Process Full Path Name: %ws/n”,  (PCWSTR)dwAddress));

       return (PCWSTR)dwAddress;

}  

Windows NT Windows 2000 _EPROCESS 结构略有不同,所以偏移地址也不相同,故此上面的程序不能正常运行于 Windows NT 。要想在 Windows NT 下获得进程名和完整路径可以用类似的方法得出正确的偏移地址,进而编写出正确的程序。

qinlicang
关注
专栏目录
如何在驱动程序SYS得到当前进程完整路径进程
xstudio的专栏
05-08 2160
 首先利用PsGetCurrentProcess或IoGetCurrentProcess函数得到当前进程的句柄,这个句柄是指向_EPROCESS结构的指针,_EPROCESS的结构如下:typedef struct _EPROCESS    {    KPROCESS                     Pcb;    NTSTATUS                    
如何在Minifilter驱动的IRP获取操作文件路径
zj510的专栏
12-20 4688
如何在IRP获取操作的文件路径?文件路径普通办法如何获取FileMapping操作在IRP_MJ_WRITE等IRP的文件路径呢?IRP_MJ_CREATE获取文件路径并保存IRP_MJ_WRITE获取路径 文件路径 在minifilter,主要处理的是各种IRP,做DLP也好,做加解密也好。文件路径总是绕不开的。比如在IRP_MJ_WRITE,绝大多数情况都得知道当前这次操作的文件路径...
ring0 ssdt hook sys驱动 得到进程路径.zip
01-24
ring0 ssdt hook sys驱动 得到进程路径.zip
windows驱动 获取进程路径
feixi7358的博客
12-16 1817
这个是在网上找的,自己合成了一下 typedef NTSTATUS (*QUERY_INFO_PROCESS) ( __in HANDLE ProcessHandle, __in PROCESSINFOCLASS ProcessInformationClass, __out_bcount(ProcessInformationLength) PVOID ProcessInforma...
驱动得到进程完整路径
weixin_30337251的博客
09-02 313
得到进程EProcess之后,对于进程完整路径的获得一般有两种方法,一种是访问的进程的PEB结构,在PEB结构保存有进程完整路径,另一种方法就是采用访问_FILE_OBJECT的方法。   访问PEB的方法便存在线程靠挂的问题,因为运行于Ring0层的线程是无法去访问用户地址空间的,需要将线程暂时靠挂到目标呢进程,进而去访问进程的PEB结构。我一般都采用的访问_FILE_OBJE...
[转]驱动获取进程完整路径
热门推荐
农家小舍
04-01 1万+
Submitted by boxcounter on 2009, July 23, 6:55 PM. windows编程(R0)在OSR上无意看到一篇文章,关于获取进程完整路径的。贴过来,最后有一点小调整。原文地址:http://www.osronline.com/article.cfm?id=472 Over the years developers
驱动注入DLL指定进程.rar_dll注入_驱动 dll注入_驱动注入_驱动级注入dll_驱动进程
07-15
驱动注入是计算机编程一种高级技术,主要用于在目标进程加载动态链接库(DLL),从而实现对目标进程的扩展或控制。这里的"驱动注入DLL到进程"是指通过驱动程序来完成DLL的注入操作,这种方式通常涉及到操作系统...
windows驱动开发技术详解 加载和卸载.sys驱动程序的exe源代码.zip
01-28
Windows操作系统驱动程序是系统与硬件设备之间的重要桥梁,它们使得操作系统能够有效地管理和控制硬件资源。"windows驱动开发技术详解 加载和卸载.sys驱动程序的exe源代码.zip"这个压缩包提供了关于Windows...
模块化的设备驱动程序设计方法
08-02
在多任务操作系统,为了保证数据的一致性和程序的正确执行,需要在应用程序与驱动程序之间实现有效的同步机制。这通常涉及以下几个方面: 1. **互斥锁**:用于保护共享资源,确保同一时间只有一个任务可以访问...
获取当前所有进程完整路径
u014417619的专栏
10-12 1466
#include  #include  #include  #include  #include  #include  #pragma comment (lib,"Psapi.lib")   BOOL DosPathToNtPath(LPTSTR pszDosPath, LPTSTR pszNtPath) {     TCHAR     
获得系统所有进程路径
05-10
获得系统所有进程路径献给辞职的好兄弟。。。。
[windows 驱动] 获取当前进程
LYSM
03-25 1758
PEPROCESS ep = NULL; if (STATUS_SUCCESS == PsLookupProcessByProcessId(PsGetCurrentProcessId(), &ep)) { char* name = PsGetProcessImageFileName(ep); if (strcmp(name, "notepad.exe") == 0) { // do something ... } }
驱动获取进程路径
leon
07-19 3093
本文转自 http://xiabl.blog.ccidnet.com/blog.php?do=showone&itemid=129339&typ=blog仅作收藏  在驱动获取进程路径系统具备:WinDbg, Windows Symbol Packages (http://www.microsoft.com/whdc/devtools/debugging/symbolpkg.msp
【转】[内核/驱动]驱动获取进程路径和注册表全路径
05-09 215
转载地址:http://blog.sina.com.cn/s/blog_60a1a51d0100e78g.html 2008.07.05 经过这几天的努力,注册表保护驱动已经基本稳定。很多人都在网上问如何获取访问注册表的进程路径和被访问的注册表的全路径,下面就将部分代码贴出来。 //驱动获取被访问注册表的全路径 BOOLEAN GetRegFullPa...
驱动获取进程完整路径
xum2008的专栏
05-01 3646
原文地址:http://www.osronline.com/article.cfm?id=472     Over the years developers have needed or wanted to know the name of the image executing in a given process. Traditionally, this was o
在内核驱动,获得到当前进程的全路径
jianghui3132749的专栏
09-05 1628
版权所有,转载请注明出处:【在内核驱动,获得到当前进程的全路径】http://www.3600safe.com/?post=129 引用: http://www.3600safe.com/tb.php?sc=f23899&id=129   在内核驱动,获得到当前进程的全路径 作者:A盾电脑防护 ⁄ 时间:2012年08月14日 ⁄ 分类: 进程/进程对象 ⁄ 评论:
驱动编程获取系统正在运行的进程
yellow的博客
10-07 828
直接贴代码了,在VS2010上面运行通过,记得用Dbgview查看输出 #include "ntddk.h" #define SYSTEMPROCESSINFORMATION 5 //处理进程信息,需要用到这两个结构体 typedef struct _SYSTEM_THREADS { LARGE_INTEGER KernelTime; ...
Windows驱动获得当前进程路径的方法
trents的专栏
02-20 3119
方法: 通过ZwQueryInformationProcess函数查询ImageFileName 支持的系统:XP以上操作系统 具体方法如下: BOOL  GetProcessPathNameByHandle(HANDLE ProcessHandle,char * path)     {         DWORD ret;             ULONG
驱动层怎样获得当前进程路径(1)
linux868的专栏
06-30 1437
1 VXD   在win98文操作系统第二版试验通过,使用VTLOOLSD。需要知道如下数据结构,这些结构在系统奥秘>>有详细介绍,可参照kendiv的blog。1.1 进程控制结构typedef struct _PROCESS_DATABASE { DWORD   Type;               //00h DWORD   cReference;         //04h DWORD
如何编写一个程序来监听和处理uevent?
最新发布
09-10
在Linux系统,uevent是用户空间事件的简称,当设备状态发生变化时,例如热插拔事件,内核会向用户空间发送uevent。编写程序来监听和处理uevent通常涉及以下几个步骤: 1. 使用netlink socket:uevent信息通过netlink socket发送到用户空间,因此程序需要创建一个netlink socket,并绑定到适当的内核地址(PF_NETLINK)和多播组(NETLINK_KOBJECT_UEVENT)。 2. 实现uevent处理逻辑:程序需要有一个循环来监听socket上的消息。每当有新的uevent发生时,内核会向该netlink socket发送消息。 3. 解析uevent消息:接收到的uevent消息是一个字符串列表,通常包含设备的环境变量格式的信息,如ACTION(事件类型),DEVPATH(设备路径),SUBSYSTEM(子系统)等。程序需要解析这些信息以获得所需的数据。 4. 执行响应操作:根据解析出的信息,程序可以执行一些预定义的操作,比如加载驱动、记录日志等。 以下是一个简化的C语言伪代码示例,展示了如何设置netlink socket并准备接收uevent: ```c #include <stdio.h> #include <stdlib.h> #include <string.h> #include <sys/socket.h> #include <linux/netlink.h> #include <libgen.h> // dirname函数的头文件 #define NETLINK_USER 31 #define BUFFER_SIZE 1024 int main() { struct sockaddr_nl src_addr, dest_addr; struct nlmsghdr *nlh = NULL; struct iovec iov; int sock_fd, result, bytes_sent; // 创建netlink socket sock_fd = socket(PF_NETLINK, SOCK_RAW, NETLINK_USER); if (sock_fd < 0) { perror("socket"); return 1; } memset(&src_addr, 0, sizeof(src_addr)); src_addr.nl_family = AF_NETLINK; src_addr.nl_pid = getpid(); // 自己的进程ID // 绑定socket到本进程 if (bind(sock_fd, (struct sockaddr *)&src_addr, sizeof(src_addr)) < 0) { perror("bind"); return 2; } memset(&dest_addr, 0, sizeof(dest_addr)); dest_addr.nl_family = AF_NETLINK; dest_addr.nl_pid = 0; // 对端的pid(内核) dest_addr.nl_groups = 1; // 多播组 // 构建消息 nlh = (struct nlmsghdr *)malloc(NLMSG_SPACE(BUFFER_SIZE)); memset(nlh, 0, NLMSG_SPACE(BUFFER_SIZE)); nlh->nlmsg_len = NLMSG_SPACE(BUFFER_SIZE); nlh->nlmsg_pid = getpid(); nlh->nlmsg_flags = 0; // 设置消息头 ((struct nlmsghdr *)nlh)->nlmsg_type = NLMSG_DONE; ((struct nlmsghdr *)nlh)->nlmsg_flags = 0; // 填充iov iov.iov_base = (void *)nlh; iov.iov_len = nlh->nlmsg_len; // 发送消息 result = sendmsg(sock_fd, &iov, 0); if (result < 0) { perror("sendmsg"); return 3; } // 接收响应 bytes_sent = recv(sock_fd, nlh, BUFFER_SIZE, 0); if (bytes_sent < 0) { perror("recv"); return 4; } // 处理接收到的uevent数据... close(sock_fd); free(nlh); return 0; } ``` 注意,这个示例仅仅是一个起点,实际应用需要更多的错误处理和特定的uevent事件处理逻辑。此外,监听uevent通常还需要设置socket的权限,以及正确处理多播组等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值