用驱动遍历获取完整进程名

最新推荐文章于 2023-11-18 10:22:45 发布
最新推荐文章于 2023-11-18 10:22:45 发布
阅读量357 收藏
点赞数 1
分类专栏: Windows 文章标签: windows 网络安全 驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Misaka10046/article/details/130164042
版权

WIN7 X86

驱动

#include<ntifs.h>
#include <WinDef.h>

#define DEVICE_NAME L"\\Device\\wangliang"
#define SYM_NAME L"\\??\\wangliang"

#define _COMM_ID 0x12345678

typedef NTSTATUS(*QUERY_INFO_PROCESS)(
	__in HANDLE ProcessHandle,
	__in PROCESSINFOCLASS ProcessInformationClass,
	__out_bcount(ProcessInformationLength) PVOID ProcessInformation,
	__in ULONG ProcessInformationLength,
	__out_opt PULONG ReturnLength
);

QUERY_INFO_PROCESS ZwQueryInformationProcess;


typedef struct _CommPackage {
	ULONG64 id;
	ULONG64 pid;
	CHAR name[64];
}CommPackage, * PCommPackage;

typedef NTSTATUS(NTAPI* CommCallback)(PCommPackage package);
CommCallback gCommCallback = NULL;

NTSTATUS DefDispatch(DEVICE_OBJECT* DeviceObject, IRP* Irp)
{
	Irp->IoStatus.Status = STATUS_SUCCESS;
	IoCompleteRequest(Irp, 0);
	return STATUS_SUCCESS;
}

VOID DriverUnload(PDRIVER_OBJECT pDriver) {
	UNICODE_STRING symName = { 0 };
	RtlInitUnicodeString(&symName, SYM_NAME);
	IoDeleteSymbolicLink(&symName);

	IoDeleteDevice(pDriver->DeviceObject);

	DbgPrint("Driver UnLoad!");
}


NTSTATUS process_enum(DEVICE_OBJECT* DeviceObject, IRP* Irp) {

	PIO_STACK_LOCATION ioStack = IoGetCurrentIrpStackLocation(Irp);
	LARGE_INTEGER ByteOffset = ioStack->Parameters.Read.ByteOffset;
	int Length = ioStack->Parameters.Read.Length;
	PCommPackage package = Irp->UserBuffer;
	NTSTATUS status = STATUS_UNSUCCESSFUL;

	HANDLE hProc = NULL;
	PEPROCESS pEprocess = NULL;

	char* ulProcessName = NULL;
	ULONG ulProcessID = 0;
	
	UINT32  ReturnLength = 0;
	PVOID pBuf = NULL;
	ULONG ulSize = 1000;
	ANSI_STRING ansi_buffer_target = { 0 };


	pEprocess = PsGetCurrentProcess();
	if (pEprocess == NULL) {
		DbgPrintEx(77, 0, "GRT ERROR");
		return STATUS_SUCCESS;

	}
	
	if (package->pid > 1) {
		ULONG64 i = (ULONG64)1;
		for (; i < package->pid; i++) {
			pEprocess = (PEPROCESS)(*(ULONG*)((ULONG)pEprocess + 0xB8) - 0xB8);
		}
	}
	
	if (*(ULONG*)((ULONG)pEprocess + 0xB4) == NULL) {
		Irp->IoStatus.Information = 0;
		Irp->IoStatus.Status = status;
		IoCompleteRequest(Irp, 0);
		return STATUS_SUCCESS;
	}

	NTSTATUS NtStatus = ObOpenObjectByPointer(pEprocess, NULL, NULL, 0, NULL, KernelMode, &hProc);

	if (!NT_SUCCESS(NtStatus)) {
		ZwClose(hProc);
		Irp->IoStatus.Information = 0;
		Irp->IoStatus.Status = status;
		IoCompleteRequest(Irp, 0);
		return STATUS_SUCCESS;
	}
	
	pBuf = ExAllocatePool(PagedPool, ulSize);
	
	if (!pBuf) {
		ZwClose(hProc);
		Irp->IoStatus.Information = 0;
		Irp->IoStatus.Status = status;
		IoCompleteRequest(Irp, 0);
		return STATUS_SUCCESS;
	}
	RtlZeroMemory(pBuf, ulSize);
	
	if (NULL == ZwQueryInformationProcess) {

		UNICODE_STRING routineName;

		RtlInitUnicodeString(&routineName, L"ZwQueryInformationProcess");

		ZwQueryInformationProcess =(QUERY_INFO_PROCESS)MmGetSystemRoutineAddress(&routineName);

		if (NULL == ZwQueryInformationProcess) {
			DbgPrint("Cannot resolve ZwQueryInformationProcess\n");
		}
	}
	NtStatus = ZwQueryInformationProcess(hProc, ProcessImageFileName, pBuf, ulSize,NULL);
	if (!NT_SUCCESS(NtStatus)) {
		ZwClose(hProc);
		Irp->IoStatus.Information = 0;
		Irp->IoStatus.Status = status;
		IoCompleteRequest(Irp, 0);
		return STATUS_SUCCESS;
	}
	RtlUnicodeStringToAnsiString(&ansi_buffer_target, (PUNICODE_STRING)pBuf, TRUE);
	strcpy(package->name, ansi_buffer_target.Buffer);
	RtlFreeAnsiString(&ansi_buffer_target);


/*
	ulProcessName = (char*)((ULONG)pEprocess + 0x16C);
	ulProcessID = *(ULONG*)((ULONG)pEprocess + 0xB4);

	DbgPrintEx(77, 0, "PID=%d,process_name=%s\r\n", ulProcessID, ulProcessName);
	strcpy(package->name, ulProcessName);
*/
	Irp->IoStatus.Information = 0;
	Irp->IoStatus.Status = status;

	//APChangeThreadMode(EThread, PreviousMode);

	ZwClose(hProc);
	IoCompleteRequest(Irp, 0);

	return STATUS_SUCCESS;
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING registeryPat) {
	UNICODE_STRING unName = { 0 };
	RtlInitUnicodeString(&unName, DEVICE_NAME);

	UNICODE_STRING symName = { 0 };
	RtlInitUnicodeString(&symName, SYM_NAME);

	PDEVICE_OBJECT pDevice = NULL;

	NTSTATUS status = IoCreateDevice(pDriver, NULL, &unName, FILE_DEVICE_UNKNOWN, FILE_DEVICE_SECURE_OPEN, FALSE, &pDevice);

	if (!NT_SUCCESS(status))
	{
		DbgPrint("[db]:%x\r\n", status);
		return status;
	}

	status = IoCreateSymbolicLink(&symName, &unName);

	if (!NT_SUCCESS(status))
	{
		IoDeleteDevice(pDevice);
		DbgPrint("[db]:%x\r\n", status);
		return status;
	}

	pDevice->Flags &= ~DO_DEVICE_INITIALIZING;
	pDevice->Flags |= DO_BUFFERED_IO;

	pDriver->MajorFunction[IRP_MJ_CREATE] = DefDispatch;
	pDriver->MajorFunction[IRP_MJ_CLOSE] = DefDispatch;
	pDriver->MajorFunction[IRP_MJ_READ] = process_enum;

	pDriver->DriverUnload = DriverUnload;

	return STATUS_SUCCESS;

}

R3

#include <stdio.h>
#include <Windows.h>

#define SYM_NAME   "\\\\.\\wangliang"

typedef struct _CommPackage {
	ULONG64 id;
	ULONG64 pid;
	CHAR name[64];
}CommPackage, * PCommPackage;

#define _COMM_ID 0x12345678

int main()
{
	CommPackage packag;
	packag.id = _COMM_ID;
	packag.pid = (ULONG64)1;
	for (int i = 0; i < 64; i++) {
		packag.name[i] = 0;
	}
	HANDLE hDevice = CreateFileA(SYM_NAME, GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);


	if (hDevice == NULL || hDevice == INVALID_HANDLE_VALUE)
	{
		printf("%d", hDevice);
		system("pause");
		return 0;
	}

	DWORD p = 0;


	ReadFile(hDevice, &packag, sizeof(CommPackage), &p, NULL);
	char First[64] = { 0 };
	strcpy_s(First, 64, packag.name);
	printf("%s\r\n", packag.name);

	do {

		packag.pid = packag.pid + 1;
		for (int i = 0; i < 64; i++) {
			packag.name[i] = 0;
		}
		ReadFile(hDevice, &packag, sizeof(CommPackage), &p, NULL);
		printf("%s\r\n", packag.name);
		Sleep(1000);
	} while (strcmp(First, packag.name) != NULL);

	
	CloseHandle(hDevice);

	system("pause");
	return 0;
}

截图

在这里插入图片描述

0xwangliang
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
驱动开发:内核遍历进程VAD结构体
CSDN
10-13 1万+
树的每一个节点代表一段虚拟地址空间。程序中的代码段,数据段,堆段都会各种占用一个或多个。结构体,需要说明的是栈并不受VAD的管理。同样这是微软定义,如果想要的到最新的,自己下载WinDBG调试内核输入命令。内存块的属性,这个内存结构定义在WinDBG中可看到。结构的偏移值,每个系统都不一样,版本不同偏移值会不同。当需要得到该进程的VAD结构时,只需要使用。结构中可以找到VAD结构的相对偏移。可以看到在本系统中VAD的偏移是。头文件,并写入如下代码,此处的。来显示该进程的VAD树。结构树,这个结构通常在。
Windows内核驱动EPROCESS遍历进程模块
12-14
windows驱动 遍历进程模块
驱动获取进程的正确方法
求索
04-29 6865
这是个古老的话题,没有技术含量,只不过看到网上很多驱动代码在获取进程时总喜欢去读偏移 EPROCESS.ImageFileName,感觉比较误导新人。 这个方法其实很不科学,硬编码偏移带来的兼容性问题以及16字节截断的问题(Win7过后是15字节)就不用说了,关键是这个 EPROCESS.ImageFileName 其实并不靠谱。 咱们可以做个实验,随便打开一个程序,比如记事本notep
驱动开发-遍历进程
Fly_Sky
10-18 897
理论来源:http://www.weixianmanbu.com/article/749.html 总结: !Process 0 0   进程列表 dt _eprocess    ----提示无改命令时使用.reload /f nt dt _eprocess 进程地址  --得到进程详细信息 DDFF进程地址+0x88  --得到下个进程地址结构指针 地址结构指针-0x88
驱动遍历进程的方法
qq_41071646的博客
10-27 1409
/*#include &lt;ntddk.h&gt; #define DEVICE_OBJECT_NAME L"\\Device\\BufferedIODeviceObjectName" #define DEVICE_LINK_NAME L"\\DosDevices\\BufferedIODevcieLinkName" void dirver(IN PDRIVER_OBJECT pDri...
驱动获取文件大小、遍历文件夹、创建文件
03-26
本文将详细讲解如何在驱动获取文件大小、遍历文件夹、创建文件以及隐藏文件。 首先,驱动获取文件大小是通过系统调用或IRP(I/O请求包)实现的。IRP是Windows操作系统中处理设备I/O请求的一种机制。当用户模式...
驱动获取系统进程
10-07
标题“驱动获取系统进程”指的是在Windows操作系统中,通过编写驱动程序来获取当前系统中运行的所有进程信息。这种技术常用于系统监控、调试或者安全分析等场景。驱动编程是计算机科学的一个高级领域,涉及到操作...
精选_通过暴力搜索PID遍历进程获取进程信息_源码打包
03-11
获取进程信息包括但不限于进程、状态、内存使用情况、父进程ID、启动时间等。在Windows中,可以使用`OpenProcess`获取句柄,然后调用`QueryInformationProcess`;在Linux中,`/proc/[pid]/stat`和`/proc/[pid]/...
商业编程-源码-如何获取某个进程的主窗口以及创建进程的程序.zip
06-23
- 接着,使用`OpenProcess`函数根据进程ID获取进程句柄,这允许我们对进程进行进一步的操作。 - 然后,通过`GetWindowThreadProcessId`函数,可以获取与指定窗口关联的进程ID和线程ID。 - 使用`EnumWindows`函数...
x64驱动 遍历 PspCidTable 枚举隐进程和线程
LYSM
06-05 2814
介绍 PspCidTable 是一个内核句柄表,存放进程和线程的内核对象(EPROCESS 和 ETHREAD),并通过 PID 和 TID 进行索引(所以进程ID和线程ID不可能相同),ID 号以 4 递增。 获取 PspCidTable 地址 win7: PsLookupProcessByProcessId(被导出) -> PspCidTable win10: PsLookupProcessByProcessId(被导出) -> PspReferenceCidTableEntry -&g
进程获取进程ID的方法及实现
fz835304205的专栏
11-22 1944
获取进程ID的方法: 我知道和实践过的有这么三种:  ps -A |grep "cmdname"| awk '{print $1}'  pidof "cmdname"  pgrep "cmdname" 这三种在bash和busybox ash里面的运行结果稍有不同, 第一种完全相同,但是因为调用命令次数较多,性能上是不行的。 第二种: pidof 只能获取程序
4.6 Windows驱动开发:内核遍历进程VAD结构体
最新发布
CSDN
11-18 1万+
总之,VAD结构是Windows操作系统中管理进程虚拟地址空间的重要数据结构之一,它通过构建一个树形结构来管理进程的虚拟地址空间,并提供了丰富的属性信息,使得操作系统可以对虚拟地址空间进行有效的管理和保护。系统在创建线程时,会为该线程分配一段物理内存页,并映射到该线程的栈空间中,然后将栈空间的起始地址记录在该线程的。EPROCESS 结构体是用于表示操作系统中的一个进程的数据结构,其中包含了许多与该进程相关的信息,包括了该进程的虚拟地址空间描述符树(VAD 结构树)。,树的每一个节点代表一段虚拟地址空间。
windows驱动里通过进程ID获得进程和所属用户
fanxiushu的专栏
07-03 6585
windows驱动中,通过 进程ID,可以获得进程完整路径和进程, 也可以获得进程所属的用户。 以下代码是整理出来完成这些功能的 两个实现函数。 // By fanxiushu 2013-07-02 ///获得进程 NTSTATUS get_process_name(int pid, PWCHAR* out_fullpath, PWCHAR* out_name
Windows内核下遍历所有进程的几种方法
Think88666的博客
08-26 1098
Windows内核下遍历所有进程的几种方法;枚举进程;
【超详细】遍历Windows进程
weixin_34391445的博客
11-11 2035
摘要 遍历系统进程常用的有三种方式 头文件<Tlhelp32.h>,先使用CreateToolhelp32Snapshot创建系统快照,即拷贝一份系统所有进程的信息到指定的结构体PROCESSENTRY32中,然后使用Process32First和Process32Next获得每一个进程的详细信息。需要注意的是编译成32位程...
驱动获取进程完整路径
xum2008的专栏
05-01 3631
原文地址:http://www.osronline.com/article.cfm?id=472     Over the years developers have needed or wanted to know the name of the image executing in a given process. Traditionally, this was o
驱动下通过进程PID获得进程 (动态获取ImageFileName在EPROCESS结构体中的相对偏移)...
weixin_30828379的博客
01-31 857
思路   进程EPROCESS结构体中含有进程ImageFileName(需求处ImageFileName在EPROCESS结构体中的相对偏移)——》获得进程EPROCESS——》通过进程句柄获得EPROCESS——》通过进程PID打开进程获得进程句柄 计算ImageFileName在EPROCESS结构体中的相对偏移     方法一 来个判断操作系统,再利用windbg调试得到相...
驱动获取进程全路径
leon
07-19 3081
本文转自 http://xiabl.blog.ccidnet.com/blog.php?do=showone&itemid=129339&typ=blog仅作收藏  在驱动获取进程全路径系统具备:WinDbg, Windows Symbol Packages (http://www.microsoft.com/whdc/devtools/debugging/symbolpkg.msp
4.2 Windows驱动开发:内核中进程线程与模块
热门推荐
CSDN
11-17 1万+
内核进程线程和模块是操作系统内核中非常重要的概念。它们是操作系统的核心部分,用于管理系统资源和处理系统请求。在驱动安全开发中,理解内核进程线程和模块的概念对于编写安全的内核驱动程序至关重要。内核进程是在操作系统内核中运行的程序。每个进程都有一个唯一的进程标识符(PID),它用于在系统中唯一地标识该进程。在内核中,进程被表示为一个进程控制块(PCB),它包含有关进程的信息,如进程状态、优先级、内存使用情况等。
Windows C语言驱动遍历进程获取进程参数
05-30
要在Windows C语言驱动程序中遍历进程获取进程参数,可以使用以下步骤: 1. 获取当前进程的EPROCESS结构体指针,可以使用PsGetCurrentProcess函数。 2. 使用PsLookupProcessByProcessId函数遍历系统中所有的进程获取每个进程的EPROCESS结构体指针。 3. 遍历每个进程的双向链表来获取进程参数,可以使用以下代码: ``` PEB* peb = PsGetProcessPeb(Process); // 获取进程的PEB结构体指针 RTL_USER_PROCESS_PARAMETERS* params = peb->ProcessParameters; // 获取进程参数结构体指针 UNICODE_STRING imagePath = params->ImagePathName; // 获取进程的可执行文件路径 ``` 注意:在驱动程序中访问用户空间的数据需要使用特殊函数,如ProbeForRead和ProbeForWrite,以确保内存访问的安全性。此外,要在驱动程序中进行此类操作需要管理员权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值