如何在NT下获取进程的路径(增补)

最新推荐文章于 2022-09-21 15:43:27 发布
最新推荐文章于 2022-09-21 15:43:27 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 转贴文章 系统编程 C++语言 文章标签: path null token 测试 query 文档
 
如何在NT下获取进程的路径——获取NT中系统进程的路径

整理:Ackarlix
下载源代码

 一、程序说明

  最近整理文档,发现以前写的《如何在NT下获取进程的路径》一文中还有个问题没有解决:原文中的程序无法获取系统进程的路径,如:csrss.exe。记得VCKBASE上有位网友说过一个方法:给枚举的进程增加SE_DEBUG_NAME权限即可,于是在网上找了些资料,解决了原文中的问题。这里要特别感谢那位名叫rovershen的网友!

我自定义了一个函数,用来赋予进程指定的权限(本例为SE_DEBUG_NAME):
BOOL EnablePrivilege(HANDLE hToken,LPCSTR szPrivName)
{
      
       TOKEN_PRIVILEGES tkp;
      
       LookupPrivilegeValue( NULL,szPrivName,&tkp.Privileges[0].Luid );//修改进程权限
       tkp.PrivilegeCount=1;
       tkp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;
       AdjustTokenPrivileges( hToken,FALSE,&tkp,sizeof tkp,NULL,NULL );//通知系统修改进程权限
      
       return( (GetLastError()==ERROR_SUCCESS) );
      
}            
  通过OpenProcessToken函数获得进程(本例为自身进程)访问令牌的句柄,然后调用此函数后就可以像原文那样打开目标进程获取路径了。可以看到:本方法已经成功获取了系统进程csrss.exe的路径。

二、具体实践
//
/ *    ShowProcessPath 2.0
 *     版权所有 (C) 2005 赵春生
 *     2005.09.02
 *     http://timw.yeah.net
 *     http://timw.126.com
 *     本程序适用于:WinNT
 *     代码在Win2000P+SP4 + VC6+SP6测试通过
*/
//
 
#include <stdio.h>
#include <windows.h>
#include "PSAPI.H"
#pragma comment( lib, "PSAPI.LIB" )
 
//自定义函数:赋予指定特权。这里用来提升程序权限。
BOOL EnablePrivilege(HANDLE hToken,LPCSTR szPrivName);
 
int main(void)
{     
       DWORD processid[1024],needed,processcount,i;
       HANDLE hProcess;
       HMODULE hModule;
       char path[MAX_PATH] = "",temp[256];
      
       HANDLE hToken;
      
       printf("ShowProcessPath 2.0 with [Process Status API]/n/n");
      
       if ( OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES,&hToken) )
       {
              if (EnablePrivilege(hToken,SE_DEBUG_NAME))
              {
                   
                    EnumProcesses(processid, sizeof(processid), &needed);
                    processcount=needed/sizeof(DWORD);
                   
                    for (i=0;i<processcount;i++)
                    {
                           hProcess=OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ,
                                                   false,
                                                   processid[i]);
                           if (hProcess)
                           {
                                  EnumProcessModules(hProcess, &hModule, sizeof(hModule), &needed);
                                  GetModuleFileNameEx(hProcess, hModule, path, sizeof(path));
                                  GetShortPathName(path,path,256);
                                  itoa(processid[i],temp,10);
                                  printf("%s --- %s/n",path,temp);
                           }
                           else
                                  printf("Failed!!!/n");
                    }
              }
       }
      
       CloseHandle(hProcess);
       CloseHandle(hModule);
      
       itoa(processcount,temp,10);
       printf("/nProcess Count:%s/n/n",temp);
      
       return 0;
}
 
//
 
BOOL EnablePrivilege(HANDLE hToken,LPCSTR szPrivName)
{     
       TOKEN_PRIVILEGES tkp;
      
       LookupPrivilegeValue( NULL,szPrivName,&tkp.Privileges[0].Luid );//修改进程权限
       tkp.PrivilegeCount=1;
       tkp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;
       AdjustTokenPrivileges( hToken,FALSE,&tkp,sizeof tkp,NULL,NULL );//通知系统修改进程权限
      
       return( (GetLastError()==ERROR_SUCCESS) );     
}     
三、以上代码在Win2000P+SP4 + VC6+SP6测试通过。

源码可从我的个人主页下载。
http://timw.yeah.net
http://timw.126.com
 
Ackarlix
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
获取进程的信息
甜筒八部 的专栏
08-08 2684
使用 NtQueryInformationProcess 函数Retrieves information about the specified process. Windows NT/2000系统的NTDLL.DLL包含了许多未公开的API函数。 NtQueryInformationProcess就是微软 NTDLL.DLL包含的未公开 的一个 API。 NTDLL.DLL中有一个函数叫NtQueryInformationProcess,用它可以指定参数,获得指定结构体类型的进程信息,拷贝到...
如何在NT获取进程路径
yonghengzhimi的专栏
09-11 179
一:获取NT进程路径的方法   在Win9X系统中,利用ToolHelp API中的相关函数可以很方便得得到进程的名称及其路径。但这种方法在NT系统中就不能奏效了,szExeFile仅仅得到的是进程的名称,并没有包含进程路径。   如何在NT获取进程路径呢?(由于WIN9X系统不在我们讨论的范围之内,所以我们选用PSAPI中的相关函数进行说明,这仅仅适用于NT系统。)其实也很简单——用OpenProcess()函数将进程打开后,再利用EnumProcessModules()函数枚举该进程的模块,
32位进程枚举64位进程模块信息
06-02
资源介绍:。' WOW64的32位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等....' 因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程,只是自己以为是32位程序而已. 所以Wow64进程 里面。' 既有 64位环境结构,又有32位环境结构, 使用api  NtWow64QueryInformationProcess64 可以获取 进程的64位PEB结构地址,。' 使用api  NtWow64ReadVirtualMemory64 可以读取进程的64位内存地址的数据. 通过PEB64结构进行遍历进程的64位模块!。资源作者:。@iokey。资源下载:。Tags:64位进程
获得目标进程PEB,并获得进程各种信息
weixin_33762130的博客
02-14 1100
本程序可完美获得x64和x86程序PEB,及环境变量等信息。 程序首先用OpenProcess打开目标进程,然后用Ntddl.dll导入表中微软未公开函数NtWow64QueryInformationProcess64(NtQueryInformationProcess)、NtWow64ReadVirtualMemory64(ReadProcessMemory)来获得目标进程信息。 // En...
php5.2 peb 模块,WOW64通过PEB获取32/64位进程模块信息
weixin_35817602的博客
03-19 407
[C++] 纯文本查看 复制代码// ConsoleApplication6.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。//#include "pch.h"#include #include "windows.h"#define NT_SUCCESS(x) ((x) >= 0)#define ProcessBasicInformation 0typedef NT...
C++ 获取进程启动参数
CAir2的专栏
09-21 1405
C++获取其他进程启动参数
易语言源码NT进程枚举.rar
03-30
易语言源码NT进程枚举.rar 易语言源码NT进程枚举.rar 易语言源码NT进程枚举.rar 易语言源码NT进程枚举.rar 易语言源码NT进程枚举.rar 易语言源码NT进程枚举.rar
易语言NT进程枚举
08-22
NT进程枚举系统结构:EnumProcesses,EnumProcessModules,GetModuleFileNameEx,OpenProcess,CloseHandle,GetLongPathName, ======窗口程序集1 || ||------__启动窗口_创建完毕 || ||------_列表框1_列表项被选择 || ...
NT进程枚举.rar
04-05
这个"NT进程枚举.rar"文件很可能包含了一系列与枚举Windows NT系统下的进程相关的代码、文档或者工具。 进程枚举涉及到的知识点包括: 1. **Windows API**:Windows操作系统提供了一组API函数来枚举进程,如`...
易语言NT进程枚举.rar
02-23
本压缩包文件“易语言NT进程枚举.rar”显然包含了一组与在Windows NT操作系统环境下使用易语言进行进程枚举相关的代码、教程或示例程序。 易语言,全称“简易编程语言”,由王永红先生创建,设计目标是使编程变得...
e语言-32位进程枚举64位进程模块信息
08-23
资源介绍:' WOW64的32位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等....' 因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程,只是自己以为是32位程序而已. 所以Wow64进程 里面' 既有 64位环境结构,又有32位环境结构, 使用api  NtWow64QueryInformationProcess64 可以获取 进程的64位PEB结构地址,' 使用api  NtWow64ReadVirtualMemory64 可以读取进程的64位内存地址的数据. 通过PEB64结构进行遍历进程的64位模块!资源作者:
反调试 - NtQueryInformationProcessProcessDebugPort,ProcessDebugFlags,ProcessDebugObjectHandle)...
墨鱼菜鸡
09-16 375
NtQueryInformationProcess 是微软 未公开 的一个 API,嗯,这个反调试的方法有一个特点就是 能过吾爱破解版OD! ,其他版本的OD没有尝试,但相信这种反调试手法可以检测大部分的第三方OD。 首先...
VC32位程序通过NtWow64ReadVirtualMemory64 PEB枚举32-64位程序进程模块及基址
wh445306
08-07 3492
//#include "pch.h" #include <stdio.h> #include "windows.h" #define NT_SUCCESS(x) ((x) >= 0) #define ProcessBasicInformation 0 typedef NTSTATUS(NTAPI *pfnNtWow64QueryInformationProcess64)( IN HANDLE ProcessHandle, IN ULONG ProcessInf...
枚举Windows进程中模块的几种方法-PEB内核结构详解
QQ_3094353627的博客
05-06 1582
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载的模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载的模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程进程加载的模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h header - Win32 ...
32位程序读取64位进程内存
htpidk的博客
10-09 1464
//第一步://定義函數參數結構 typedef NTSTATUS(NTAPI *LPFN_NTWOW64READVIRTUALMEMORY64)( IN HANDLE ProcessHandle, IN ULONG64 BaseAddress, OUT PVOID BufferData, IN ULONG64 BufferLength, OUT PULONG64 ReturnLength OPTIONAL); typedef NTSTATUS(NTAPI *LPFN_NTWOW64WR
C++ 获取进程所在目录(全路径
热门推荐
CSDN
07-16 1万+
需要注意的是,这段代码使用了Windows特定的API函数和数据类型,并且使用了C++的输入输出流操作。这段代码使用了Windows API来获取系统中每个进程进程名和进程的全路径,并输出到标准输出。需要注意的是,这段代码使用了Windows特定的API函数和数据类型,并且使用了C++的输入输出流操作。这段代码的目的是获取指定进程的可执行文件的路径,并输出该路径。函数获取进程快照中的第一个进程信息,并将返回值存储在。函数获取进程的可执行文件路径,并将结果输出。函数获取进程的全路径,传入进程句柄。
Windows 得到一个进程的完整路径
FURY_QQ的博客
03-31 1498
头文件中:    #pragma once#include &lt;windows.h&gt;#include &lt;iostream&gt;using namespace std;#define NT_SUCCESS(Status) (((NTSTATUS)(Status)) &gt;= 0)typedef struct _UNICODE_STRING{ UINT16 Length; UINT...
Windows C语言内核获取进程进程参数
最新发布
05-30
在Windows内核中获取进程参数可以使用PsGetProcessWow64Process和PsLookupProcessByProcessId函数来实现。 首先,使用PsLookupProcessByProcessId函数获取进程句柄,例如: ``` PEPROCESS process; if (NT_SUCCESS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值