如何在NT下获取进程的路径(增补)

最新推荐文章于 2021-10-09 20:54:54 发布
最新推荐文章于 2021-10-09 20:54:54 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 转贴文章 系统编程 C++语言 文章标签: path null token 测试 query 文档
 
如何在NT下获取进程的路径——获取NT中系统进程的路径

整理:Ackarlix
下载源代码

 一、程序说明

  最近整理文档,发现以前写的《如何在NT下获取进程的路径》一文中还有个问题没有解决:原文中的程序无法获取系统进程的路径,如:csrss.exe。记得VCKBASE上有位网友说过一个方法:给枚举的进程增加SE_DEBUG_NAME权限即可,于是在网上找了些资料,解决了原文中的问题。这里要特别感谢那位名叫rovershen的网友!

我自定义了一个函数,用来赋予进程指定的权限(本例为SE_DEBUG_NAME):
BOOL EnablePrivilege(HANDLE hToken,LPCSTR szPrivName)
{
      
       TOKEN_PRIVILEGES tkp;
      
       LookupPrivilegeValue( NULL,szPrivName,&tkp.Privileges[0].Luid );//修改进程权限
       tkp.PrivilegeCount=1;
       tkp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;
       AdjustTokenPrivileges( hToken,FALSE,&tkp,sizeof tkp,NULL,NULL );//通知系统修改进程权限
      
       return( (GetLastError()==ERROR_SUCCESS) );
      
}            
  通过OpenProcessToken函数获得进程(本例为自身进程)访问令牌的句柄,然后调用此函数后就可以像原文那样打开目标进程获取路径了。可以看到:本方法已经成功获取了系统进程csrss.exe的路径。

二、具体实践
//
/ *    ShowProcessPath 2.0
 *     版权所有 (C) 2005 赵春生
 *     2005.09.02
 *     http://timw.yeah.net
 *     http://timw.126.com
 *     本程序适用于:WinNT
 *     代码在Win2000P+SP4 + VC6+SP6测试通过
*/
//
 
#include <stdio.h>
#include <windows.h>
#include "PSAPI.H"
#pragma comment( lib, "PSAPI.LIB" )
 
//自定义函数:赋予指定特权。这里用来提升程序权限。
BOOL EnablePrivilege(HANDLE hToken,LPCSTR szPrivName);
 
int main(void)
{     
       DWORD processid[1024],needed,processcount,i;
       HANDLE hProcess;
       HMODULE hModule;
       char path[MAX_PATH] = "",temp[256];
      
       HANDLE hToken;
      
       printf("ShowProcessPath 2.0 with [Process Status API]/n/n");
      
       if ( OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES,&hToken) )
       {
              if (EnablePrivilege(hToken,SE_DEBUG_NAME))
              {
                   
                    EnumProcesses(processid, sizeof(processid), &needed);
                    processcount=needed/sizeof(DWORD);
                   
                    for (i=0;i<processcount;i++)
                    {
                           hProcess=OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ,
                                                   false,
                                                   processid[i]);
                           if (hProcess)
                           {
                                  EnumProcessModules(hProcess, &hModule, sizeof(hModule), &needed);
                                  GetModuleFileNameEx(hProcess, hModule, path, sizeof(path));
                                  GetShortPathName(path,path,256);
                                  itoa(processid[i],temp,10);
                                  printf("%s --- %s/n",path,temp);
                           }
                           else
                                  printf("Failed!!!/n");
                    }
              }
       }
      
       CloseHandle(hProcess);
       CloseHandle(hModule);
      
       itoa(processcount,temp,10);
       printf("/nProcess Count:%s/n/n",temp);
      
       return 0;
}
 
//
 
BOOL EnablePrivilege(HANDLE hToken,LPCSTR szPrivName)
{     
       TOKEN_PRIVILEGES tkp;
      
       LookupPrivilegeValue( NULL,szPrivName,&tkp.Privileges[0].Luid );//修改进程权限
       tkp.PrivilegeCount=1;
       tkp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;
       AdjustTokenPrivileges( hToken,FALSE,&tkp,sizeof tkp,NULL,NULL );//通知系统修改进程权限
      
       return( (GetLastError()==ERROR_SUCCESS) );     
}     
三、以上代码在Win2000P+SP4 + VC6+SP6测试通过。

源码可从我的个人主页下载。
http://timw.yeah.net
http://timw.126.com
 
Ackarlix
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
获取进程的信息
甜筒八部 的专栏
08-08 2667
使用 NtQueryInformationProcess 函数Retrieves information about the specified process. Windows NT/2000系统的NTDLL.DLL包含了许多未公开的API函数。 NtQueryInformationProcess就是微软 NTDLL.DLL包含的未公开 的一个 API。 NTDLL.DLL中有一个函数叫NtQueryInformationProcess,用它可以指定参数,获得指定结构体类型的进程信息,拷贝到...
易语言源码NT进程枚举.rar
03-30
易语言源码NT进程枚举.rar 易语言源码NT进程枚举.rar 易语言源码NT进程枚举.rar 易语言源码NT进程枚举.rar 易语言源码NT进程枚举.rar 易语言源码NT进程枚举.rar
通过 PEB 改变进程名,实现“穿透”防火墙
01-12 1988
PEB(Process Environment Block)——进程环境块,存放进程信息,每个进程都有自己的 PEB 信息。在 Win 2000 下,进程环境块的地址对于每个进程来说是固定的,在 0x7FFDF000 处,这是用户区内存,所以程序能够直接访问。准确的 PEB 地址应从系统的 EPROCESS 结构的 1b0H 偏移处获得,但由于 EPROCESS 在进程的核心内存区,所以程序不能直
如何在NT获取进程路径
Ackarlix的专栏
08-30 1286
 如何在NT获取进程路径整理:Ackarlix下载示例源代码一:获取NT进程路径的方法  在Win9X系统中,利用ToolHelp API中的相关函数可以很方便得得到进程的名称及其路径。但这种方法在NT系统中就不能奏效了,szExeFile仅仅得到的是进程的名称,并没有包含进程路径。  如何在NT获取进程路径呢?(由于WIN9X系统不在我们讨论的范围之内,所以我们选
windows 内核中获取当前进程路径
d2262272d的博客
04-02 718
BOOLEAN getCurProcPath( PEPROCESS curproc, PUNICODE_STRING uni_ImagePathName ) { /* wdbg cmd : dt _EPROCESS 0xFFFFFA801AB1D940 0xFFFFFA801AB1D940 == curproc +0x3e8 Peb : 0x000007f...
使NT支持长路径名的参考代码
CharlesPrince的专栏
02-11 1103
在某些情况下,会有使用长路径(大于MAX_PATH/260字符)的需求,如网络文件管理之类的,WindowsNT之后的NTFS文件系统其实是支持这样的操作的,但需求毕竟比较特殊,而且Explorer资源浏览器都不支持它,所以很少被认识到. 这里我写了一个子目递归调用函数,原型:INT32 LongPathFileFind(LPWSTR lpPath,  //被搜索路径       
易语言NT进程枚举
08-22
NT进程枚举系统结构:EnumProcesses,EnumProcessModules,GetModuleFileNameEx,OpenProcess,CloseHandle,GetLongPathName, ======窗口程序集1 || ||------__启动窗口_创建完毕 || ||------_列表框1_列表项被选择 || ...
NT进程枚举.rar
04-05
这个"NT进程枚举.rar"文件很可能包含了一系列与枚举Windows NT系统下的进程相关的代码、文档或者工具。 进程枚举涉及到的知识点包括: 1. **Windows API**:Windows操作系统提供了一组API函数来枚举进程,如`...
易语言NT进程枚举.rar
02-23
本压缩包文件“易语言NT进程枚举.rar”显然包含了一组与在Windows NT操作系统环境下使用易语言进行进程枚举相关的代码、教程或示例程序。 易语言,全称“简易编程语言”,由王永红先生创建,设计目标是使编程变得...
32位进程枚举64位进程模块信息
06-02
资源介绍:。' WOW64的32位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等....' 因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程,只是自己以为是32位程序而已. 所以Wow64进程 里面。' 既有 64位环境结构,又有32位环境结构, 使用api  NtWow64QueryInformationProcess64 可以获取 进程的64位PEB结构地址,。' 使用api  NtWow64ReadVirtualMemory64 可以读取进程的64位内存地址的数据. 通过PEB64结构进行遍历进程的64位模块!。资源作者:。@iokey。资源下载:。Tags:64位进程
e语言-32位进程枚举64位进程模块信息
08-23
资源介绍:' WOW64的32位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等....' 因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程,只是自己以为是32位程序而已. 所以Wow64进程 里面' 既有 64位环境结构,又有32位环境结构, 使用api  NtWow64QueryInformationProcess64 可以获取 进程的64位PEB结构地址,' 使用api  NtWow64ReadVirtualMemory64 可以读取进程的64位内存地址的数据. 通过PEB64结构进行遍历进程的64位模块!资源作者:
php5.2 peb 模块,WOW64通过PEB获取32/64位进程模块信息
weixin_35817602的博客
03-19 402
[C++] 纯文本查看 复制代码// ConsoleApplication6.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。//#include "pch.h"#include #include "windows.h"#define NT_SUCCESS(x) ((x) >= 0)#define ProcessBasicInformation 0typedef NT...
反调试 - NtQueryInformationProcess(ProcessDebugPort,ProcessDebugFlags,ProcessDebugObjectHandle)...
墨鱼菜鸡
09-16 365
NtQueryInformationProcess 是微软 未公开 的一个 API,嗯,这个反调试的方法有一个特点就是 能过吾爱破解版OD! ,其他版本的OD没有尝试,但相信这种反调试手法可以检测大部分的第三方OD。 首先...
32位程序读取64位进程内存
htpidk的博客
10-09 1434
//第一步://定義函數參數結構 typedef NTSTATUS(NTAPI *LPFN_NTWOW64READVIRTUALMEMORY64)( IN HANDLE ProcessHandle, IN ULONG64 BaseAddress, OUT PVOID BufferData, IN ULONG64 BufferLength, OUT PULONG64 ReturnLength OPTIONAL); typedef NTSTATUS(NTAPI *LPFN_NTWOW64WR
反调试 - NtQueryInformationProcess(ProcessDebugPort,ProcessDebugFlags,ProcessDebugObjectHandle)
LYSM
09-16 3894
NtQueryInformationProcess 是微软 未公开 的一个 API,嗯,这个反调试的方法有一个特点就是 能过吾爱破解版OD! ,其他版本的OD没有尝试,但相信这种反调试手法可以检测大部分的第三方OD。 首先需要知道的几点: // NtQueryInformationProcess 函数原型 __kernel_entry NTSTATUS NtQueryInformationPro...
获取其他程序的命令行参数《转》
mjesse88的专栏
05-23 2276
通过各种research及其debug后,发现如下代码可用 #include "stdafx.h" #include "GetCmdLine.h" int _tmain(int argc, _TCHAR* argv[]) { if (argc < 2) { printf("Format is GetCmdLine \n"); return 0;
拥抱64位Windows
谢启东的专栏
03-25 9587
拥抱64位Windows   还记得640K内存就足够的好日子吗?那记得是什么时候,它显得捉襟见肘了吗?这是一个日新月异的时代,我们发明了各种方法,以在有限的寻址空间内,映射更多的内存:首先,是“扩充内存”(EMM),起初它只是一张硬件“卡”,以64K或128K HASH(0x80b9d4)为界,切换64K的HASH(0x80b9d4)页到DOS寻址空间内;然后,我们又看到了“扩展
64位环境下32位进程获取64位进程的命令行参数和当前目录
weixin_34205076的博客
11-18 983
BOOL GetProcessCurDir(HANDLE hProcess,mystring&strCurDir){ BOOL bSuccess = FALSE; // PROCESS_BASIC_INFORMATION pbi; TNtQueryInformationProcess pfnNtQueryInformationProcess = NULL; ...
Windows C语言内核获取进程进程参数
最新发布
05-30
在Windows内核中获取进程参数可以使用PsGetProcessWow64Process和PsLookupProcessByProcessId函数来实现。 首先,使用PsLookupProcessByProcessId函数获取进程句柄,例如: ``` PEPROCESS process; if (NT_SUCCESS...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值