内核中获取进程路径学习

最新推荐文章于 2021-04-28 17:05:15 发布
最新推荐文章于 2021-04-28 17:05:15 发布
阅读量1.2k 收藏
点赞数
文章标签: object disk path string null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KernelEx/article/details/4463120
版权

NTSTATUS PsGetProcessPathByPid( IN ULONG Pid ,char* FilePath)
{
NTSTATUS       status;

char       path[256] = {0};
char       disk[10] = {0};
STRING        ansi_path;
STRING        ansi_disk;
UNICODE_STRING     uni_path;
UNICODE_STRING     uni_disk;
  
PEPROCESS       pEprocess;
PFILE_OBJECT      FileObject;
PVOID       Object;

status = PsLookupProcessByProcessId(Pid,&pEprocess);

if(!NT_SUCCESS(status))
{
   DbgPrint("EPROCESS Error");
   return STATUS_UNSUCCESSFUL;
} DbgPrint("EPROCESS 0x%0.8X",pEprocess);

if( !MmIsAddressValid( (PULONG)( (ULONG)pEprocess+0x138 ) ) )//EPROCESS+0x138 -> SectionObject

{   DbgPrint("SectionObject Error");
   return STATUS_UNSUCCESSFUL;
} Object = (PVOID)(*(PULONG)((ULONG)pEprocess+0x138));

if( !MmIsAddressValid( (PULONG)( (ULONG)Object+0x014 ) ) )//SectionObject+0x014 -> Segment
{
   DbgPrint("Segment Error");
   return STATUS_UNSUCCESSFUL;
} Object = (PVOID)(*(PULONG)( (ULONG)Object+0x014 ));
  
if( !MmIsAddressValid( (PULONG)((ULONG)Object+0x000) ) )//Segment+0x000 -> ControlAera
{
   DbgPrint("ControlAera Error");
   return STATUS_UNSUCCESSFUL;
} Object = (PVOID)(*(PULONG)( (ULONG)Object+0x000 ));
  
if( !MmIsAddressValid( (PULONG)( (ULONG)Object+0x024 ) ) )//ControlAera+0x024 -> FilePointer(FileObject)
{
   DbgPrint("FilePointer Error");
   return STATUS_UNSUCCESSFUL;
} Object = (PVOID)(*(PULONG)( (ULONG)Object+0x024 ));
  
FileObject = Object;
ObReferenceObjectByPointer((PVOID)FileObject,0,NULL,KernelMode);
RtlInitUnicodeString(&uni_path,FileObject->FileName.Buffer); //获取路径名
RtlVolumeDeviceToDosName(FileObject->DeviceObject,&uni_disk); //获取盘符名
ObDereferenceObject(FileObject);

RtlUnicodeStringToAnsiString(&ansi_path,&uni_path,TRUE);
RtlUnicodeStringToAnsiString(&ansi_disk,&uni_disk,TRUE);

strcat(path,&ansi_path.Buffer[0]);
strcat(disk,&ansi_disk.Buffer[0]);

RtlFreeAnsiString(&ansi_path);
RtlFreeAnsiString(&ansi_disk);
  
if( strlen(path)+strlen(disk) < 256 )
{
   strcat(FilePath,disk);
   strcat(FilePath,path);
}
else
{
   strcat(FilePath,disk);
   memcpy( FilePath,path,256-strlen(disk)-1 );
   *(FilePath + 256) = 0;
}
return STATUS_SUCCESS;
}

KernelEx
关注
Windows内核获取进程路径的方法
Think88666的博客
08-25 951
Windows内核获取进程路径的方法
linux 内核 遍历文件夹,Linux内核通过文件描述符获取绝对路径
weixin_30613239的博客
05-06 593
背景在Linux内核,已知一个进程的pid和其打开文件的文件描述符fd,如何获取该文件的绝对路径?基本思路是先获取该文件在内核的file结构体,再通过d_path()获取到整个文件的绝对路径。方法一如果理解了进程和文件系统数据结构之间的关系,那么这种方法可以采用。基本的方法如下:1.通过进程pid获取进程描述符task_struct;2.通过task_struct获取进程打开文件结构file...
linux 内核得到 当前进程 对应的可执行文件的 绝对路径
么刚的专栏
10-28 4386
 标题很拗口。这两天在折腾这个事,把折腾的结果记录一下。 先说在应用层怎么搞这个事,很简单:#include #include int main() { char link[100], path[100]; sprintf(link, "/proc/%d/exe", getpid()); readlink(link, pat
内核获取进程路径
qq_41490873的博客
09-17 525
#include<ntifs.h> #include<ntddk.h> #include <ntstrsafe.h> #define MAX_PATH 260 NTSTATUS NTAPI ZwQueryInformationProcess( __in HANDLE ProcessHandle, __in PROCESSINFOCLASS ProcessInformationClass, __out_bcount(ProcessInformationLength) P
【转】[内核/驱动]驱动获取进程路径和注册表全路径
05-09 215
转载地址:http://blog.sina.com.cn/s/blog_60a1a51d0100e78g.html 2008.07.05 经过这几天的努力,注册表保护驱动已经基本稳定。很多人都在网上问如何获取访问注册表的进程路径和被访问的注册表的全路径,下面就将部分代码贴出来。 //驱动获取被访问注册表的全路径 BOOLEAN GetRegFullPa...
枚举电脑所有进程的父进程, 判断父进程 根据进程获取进程路径函数 按进程ID取父进程ID和路径th32ParentProces
最新发布
10-05
我们将主要关注两个核心知识点:一是按进程ID获取进程ID,二是按进程ID获取进程路径。 首先,我们需要理解Windows API(应用程序接口)在处理进程方面的功能。Windows API提供了一系列函数,如`CreateProcess`、`...
修改、伪装进程路径。支持XP,WIN7 WIN764
03-29
在Windows操作系统,修改或伪装进程路径是一种技术手段,它涉及到系统编程和权限管理。这一技术主要用于调试、安全测试或者恶意软件活动。标题和描述提到的"修改、伪装进程路径",主要是指改变一个进程的实际...
linux获取当前进程进程号,Linux内核获取当前进程结构的current宏
weixin_31440053的博客
04-28 2377
上篇文章Linux内核的源码结构简介(1)简单介绍了Linux内核源码的目录结构,以及和进程的task_struct的几个关键变量,最后提到了在内核获取当前进程的pid的代码:current->pid。current,属于内核的一个宏,指向get_current()函数。#define current get_current()所以代码current,实际是获取get_current()函...
内核通过进程PID获取进程的全部路径
zz_strive_2012的专栏
12-19 426
https://www.cnblogs.com/iBinary/p/11371168.html 一丶简介 我们遇到的Dos路径.如果想转化为NT路径(也就是 C:\xxxx)类似的格式 需要自己实现. 具体原理如下: 二丶原理 1.原理 1.使用** ZwOpenProcess ** 通过进程PID获取HANDLE 2.使用** ZwQueryInformationProcess ** ...
ring0 ssdt hook sys驱动 得到进程路径.zip
01-24
ring0 ssdt hook sys驱动 得到进程路径.zip
获得系统所有进程路径
05-10
获得系统所有进程路径献给辞职的好兄弟。。。。
在驱动获取进程路径
leon
07-19 3093
本文转自 http://xiabl.blog.ccidnet.com/blog.php?do=showone&itemid=129339&typ=blog仅作收藏  在驱动获取进程路径系统具备:WinDbg, Windows Symbol Packages (http://www.microsoft.com/whdc/devtools/debugging/symbolpkg.msp
驱动获取进程完整路径
xum2008的专栏
05-01 3646
原文地址:http://www.osronline.com/article.cfm?id=472     Over the years developers have needed or wanted to know the name of the image executing in a given process. Traditionally, this was o
linux 内核获取进程路径,linux内核获取进程的全路径3种方法【转】
weixin_42511714的博客
04-28 355
本文档的CopyRight归jonathan所有,可自由转载,转载时请保持文档的完整性。/*----------------------------------------------------------------------------------------------------------------------------*/在linux内核获取进程路径方式类似Windows内核...
如何在驱动程序(SYS)得到当前进程的完整路径进程名?
xstudio的专栏
05-08 2160
 首先利用PsGetCurrentProcess或IoGetCurrentProcess函数得到当前进程的句柄,这个句柄是指向_EPROCESS结构的指针,_EPROCESS的结构如下:typedef struct _EPROCESS    {    KPROCESS                     Pcb;    NTSTATUS                    
驱动层得到进程的完整路径
weixin_30337251的博客
09-02 313
在得到进程EProcess之后,对于进程完整路径的获得一般有两种方法,一种是访问的进程的PEB结构,在PEB结构保存有进程的完整路径,另一种方法就是采用访问_FILE_OBJECT的方法。   访问PEB的方法便存在线程靠挂的问题,因为运行于Ring0层的线程是无法去访问用户地址空间的,需要将线程暂时靠挂到目标呢进程,进而去访问进程的PEB结构。我一般都采用的访问_FILE_OBJE...
获取进程信息及每条进程所调用的dll
MFC
08-28 1147
获取进程列表信息,并列举出每个进程所调用的DLL列表: 1.分别添加List Control,List Box控件,并关联对应的变量:     CListCtrl m_listProcess;     CListBox m_listDll; 2.添加头文件: #include #include "Psapi.h" #pragma comment(lib, "Psapi.lib"
windows驱动 获取进程路径
feixi7358的博客
12-16 1817
这个是在网上找的,自己合成了一下 typedef NTSTATUS (*QUERY_INFO_PROCESS) ( __in HANDLE ProcessHandle, __in PROCESSINFOCLASS ProcessInformationClass, __out_bcount(ProcessInformationLength) PVOID ProcessInforma...
深度解析:Linux内核源码学习路径与技巧
1. 获取内核源码:通常,你可以从Linux官方仓库或镜像站点下载最新的内核源码。例如,对于初学者,可以从旧版本开始,如2.0.30,然后逐步过渡到更新的版本,如2.1.42或更高版本。对于实践,可以选择与你的Linux发行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值