EPROCESS取进程全路径

已于 2023-11-01 23:32:03 修改
阅读量5.3k 收藏 3
点赞数 1
分类专栏: Sys 文章标签: java 前端 服务器
于 2015-01-21 16:13:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sidyhe/article/details/42969803
版权

如果文件被占坑,使用FILE_READ_ATTRIBUTES权限应该能打开

xp:

PEPROCESS->NT路径->FILE HANDLE->FILE OBJECT->DOS路径

BOOLEAN PsGetDosName(PEPROCESS ProcessObject, PUNICODE_STRING *DosName)
{
	BOOLEAN bRet = FALSE;
	KPROCESSOR_MODE PreviousMode;
	ULONG HandleExtension;
	HANDLE ProcessHandle;

	PreviousMode = PsGetCurrentThreadPreviousMode();
	HandleExtension = (PreviousMode == KernelMode ? OBJ_KERNEL_HANDLE : 0);
	if (NT_SUCCESS(ObOpenObjectByPointer(ProcessObject, HandleExtension, NULL, PROCESS_QUERY_INFORMATION, *PsProcessType, PreviousMode, &ProcessHandle)))
	{
		PVOID lpBuffer = NULL;
		ULONG cbBuffer = 0;

		if (ZwQueryInformationProcess(ProcessHandle, ProcessImageFileName, lpBuffer, cbBuffer, &cbBuffer) == STATUS_INFO_LENGTH_MISMATCH)
		{
			if (lpBuffer = ExAllocatePoolWithTag(PagedPool, cbBuffer, 0))
			{
				if (NT_SUCCESS(ZwQueryInformationProcess(ProcessHandle, ProcessImageFileName, lpBuffer, cbBuffer, &cbBuffer)))
				{
					HANDLE hFile;
					OBJECT_ATTRIBUTES oa;
					IO_STATUS_BLOCK sb;

					InitializeObjectAttributes(&oa, (PUNICODE_STRING)lpBuffer, OBJ_CASE_INSENSITIVE|HandleExtension, NULL, NULL);
					if (NT_SUCCESS(ZwOpenFile(&hFile, FILE_READ_ATTRIBUTES|SYNCHRONIZE, &oa, &sb, FILE_SHARE_READ, FILE_SYNCHRONOUS_IO_NONALERT)))
					{
						PFILE_OBJECT FileObject;

						if (NT_SUCCESS(ObReferenceObjectByHandle(hFile, FILE_READ_ATTRIBUTES, *IoFileObjectType, PreviousMode, (PVOID*)&FileObject, NULL)))
						{
							POBJECT_NAME_INFORMATION lpName;

							if (NT_SUCCESS(IoQueryFileDosDeviceName(FileObject, &lpName)))
							{
								*DosName = (UNICODE_STRING *)lpName;
								bRet = TRUE;
							}
							ObDereferenceObject(FileObject);
						}
						ZwClose(hFile);
					}
				}
				ExFreePool(lpBuffer);
			}
		}
		ZwClose(ProcessHandle);
	}
	return bRet;
}

使用方法:

	PUNICODE_STRING FileName;

	if (PsGetDosName(Process, &FileName))
	{
		ExFreePool(FileName);
	}


上面的方法很麻烦,但这是我总结出最靠谱的方法,无硬编码。

如果是windows7以上的系统,则非常简单,两个函数就行了。

NTSTATUS
PsReferenceProcessFilePointer (
    IN PEPROCESS Process,
    OUT PVOID *pFilePointer
    );
NTSTATUS
IoQueryFileDosDeviceName(
    IN PFILE_OBJECT FileObject,
    OUT POBJECT_NAME_INFORMATION *ObjectNameInformation
    );

Sidyhe
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
EPROCESS_EPROCESS_Vc_
09-30
基于EPROCESS结构中双向链表的进程检测方法
eprocess
03-13
eprocess
Windows内核驱动EPROCESS遍历进程模块
12-14
windows驱动 遍历进程模块
eprocess.zip_EPROCESS_eprocess结构体
09-24
获得wrk中当前进程eprocess结构体
get-EPROCESS.zip_EPROCESS
09-23
在Windows下编程实现获进程的EPROCESS在内存中地址
内核修改进程启动参数源码,可用于学习浏览器劫持
08-11
自己小改一下即可支持x64系统,zip里源码是支持x86的,实际测试很多浏览器都OK,
PID & PEPROCESS & HANDLE 相互间转换
anjiao_1989的专栏
04-04 1143
PID & PEPROCESS & HANDLE 相互间转换 from \ to PID PEPROCESS HANDLE PID PsLookupProcessByProcessId PEPROCESS PsGetProcessId ObOpenObjectByPointer HANDLE ObReferenceObjectByHandle ...
进程线程 1.EPROCESS进程隐藏
Mikasys的博客
11-05 1293
一、EPROCESS结构体 EPROCESS结构 kd> dt _EPROCESS ntdll!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime : _LARGE_INTEGER +0x078 ExitTime : _LARGE_INTEGER +0x080 RundownProtect
驱动编程,通过进程名获进程结构
追逐光芒,追随内心
10-28 348
//功能:进程名,进程结构 VOID PsLookupProcessByProcessName(IN char* ProcessName, OUT PEPROCESS* Process) { PLIST_ENTRY list = NULL; PLIST_ENTRY entry = NULL; PEPROCESS_S SystemProcess; PsLookupProcessByProcessId((HANDLE)4, (PEPROCESS*)&SystemProcess); li...
#include <ntifs.h>出现PEPROCESS redefinition问题处理
ytfrdfiw的专栏
04-10 5826
7600.16385.0\inc\ddk\ntifs.h(85) : error C2371: 'PEPROCESS' : redefinition; different basic types,7600.16385.0\inc\ddk\wdm.h(79) : see declaration of 'PEPROCESS'
windows文件操作简单笔记
研究源码的最底层,只持有正确的仓位
01-15 1177
 windows中文件操作:   copyfile-&gt;copyfileexw(fileopcr.c)-&gt;BasepCopyFileExW(检查源文件是否存在,看是否是链接文件   NtQueryInformationFile查询文件拷贝的大小)-&gt;BaseCopyStream(查询原文件时间和属性,新建目的文件,做目的文件的句柄处理,拷贝数据,处理the reparse p...
windows 内核下获进程路径
10-09 596
windows 内核下获进程路径 思路:1):在EPROCESS结构中获。此时要用到一个导出函数:PsGetProcessImageFileName,申明如下: NTSYSAPI UCHAR * PsGetProcessImageFileName( __in PEPROCESS Process ); 此函数获的是一个简单的进程名,...
内核断链(ActiveProcessLinks)
最新发布
qq_45844442的博客
06-23 188
3.在这个程序中没有直接使用EPROCESS+0xE8是为了兼容所有系统,而且通过搜寻特征的方法可以躲避各种检测。2.将其转换为大写匹配是否是目标程序,如果是则通过寻找目标EPROCESS结构体的。1.首先通过遍历所有的PID,使用。函数得到目标进程路径名称。
linux pe do fork,[求助]PEPROCESS定义在哪个头文件啊
weixin_39898854的博客
05-16 334
2016-8-22 22:02typedef struct _EPROCESS{KPROCESS Pcb;//// Lock used to protect:// The list of threads in the process.// Process token.// Win32 process field.// Process and thread affinity setting.//EX...
进程结构体
qq_18811919的博客
03-17 4695
进程结构体EPROCESS 每个windows进程在0环都有对应的结构体:EPROCESS这个结构体包含了进程所有重要的信息。 使用windbg查看:dt _EPROCESS EPROCESS与PEB是有区别的:EPROCESS在0环PEB在3环。 EPROCESS结构体属性(KPROCESS) +0x0 Pcb 是一个KPROCESS结构体 Windbg查看KPROCESS:dt _KPROCESS KPROCESS第一个属性: +0x0 Header DISPATCHER_HEARDER 只要是该DI
EPROCESS进程路径(xp)
SomeTimes
02-08 1708
上一篇文章在xp下路径太麻烦 既然规定在了xp系统下,为什么不硬编码呢? 好吧,走起~~~
遍历_EPROCESS->SessionProcessLinks链表枚举进程
125096
06-19 707
#include #include UCHAR * PsGetProcessImageFileName(__in PEPROCESS Process); HANDLE PsGetProcessInheritedFromUniqueProcessId(__in PEPROCESS Process); VOID HelloDDKUnload(IN PDRIVER_OBJECT pDrive
通过进程ID得到进程
weixin_34074740的博客
09-20 345
在内核中,通过进程ID,得到进程名称,有多种方法。 我使用了两种方法,第一种是使用ZwOpeProcess得到句柄 然后ObReferenceObjectByHandle函数得到PEPROCESS结构,然后 char *ProcessName = (char*)EProcess + 0x174; 第二种方法是得到PEPROCESS结构之后,使用PsGetProcess...
EPROCESS 结构
热门推荐
swanabin的专栏
07-05 1万+
每个进程都有一个 EPROCESS 结构,里面保存着进程的各种信息,和相关结构的指针。EPROCESS 结构位于系统地址空间,所以访问这个结构需要有ring0的权限。使用 Win2k DDK 的 KD (内核调试器)我们可以得到 EPROCESS 结构的定义。注意下面的是 Win2k Build 2195 下的 EPROCESS 结构定义。 kd> !strct eprocess !s
Windows 驱动根据EPROCESS进程命令行参数
05-31
进程的命令行参数可以通过EPROCESS结构体中的Peb成员实现。具体来说,可以使用PsLookupProcessByProcessId函数获EPROCESS结构体指针,然后通过Peb成员获PEB结构体指针,最后通过PEB结构体中的ProcessParameters成员获RTL_USER_PROCESS_PARAMETERS结构体指针,从而获命令行参数。以下是示例代码: ```c NTSTATUS GetCommandLineByProcessId(HANDLE processId, PUNICODE_STRING *commandLine) { NTSTATUS status = STATUS_SUCCESS; PEPROCESS process = NULL; PPEB peb = NULL; PRTL_USER_PROCESS_PARAMETERS processParameters = NULL; // 根据进程ID获EPROCESS结构体指针 status = PsLookupProcessByProcessId(processId, &process); if (!NT_SUCCESS(status)) { DbgPrint("Failed to lookup process by process ID, status: 0x%x\n", status); goto Cleanup; } // 获PEB结构体指针 peb = PsGetProcessPeb(process); if (peb == NULL) { DbgPrint("Failed to get process PEB\n"); status = STATUS_UNSUCCESSFUL; goto Cleanup; } // 获RTL_USER_PROCESS_PARAMETERS结构体指针 processParameters = peb->ProcessParameters; if (processParameters == NULL) { DbgPrint("Failed to get process parameters\n"); status = STATUS_UNSUCCESSFUL; goto Cleanup; } // 获命令行参数 *commandLine = &processParameters->CommandLine; Cleanup: if (process != NULL) { ObDereferenceObject(process); } return status; } ``` 注意,这段代码只是一个示例,实际使用时需要根据具体情况做出适当的修改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值