在Ring0下获取进程路径

最新推荐文章于 2022-07-27 05:42:55 发布
最新推荐文章于 2022-07-27 05:42:55 发布
阅读量3.6k 收藏 1
点赞数
分类专栏: 驱动 文章标签: buffer object string file
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenhui530/article/details/3053049
版权

 程序演示了在Ring0下通过FILE_OBJECT获取文件路径(至于怎么从EPROCESS获取FILE_OPBJECT就不要再问我了)

 

BOOLEAN GetProcessImageName(PFILE_OBJECT FileObject,LPSTR ProcessImageName)
{
 NTSTATUS ntStatus=STATUS_BUFFER_OVERFLOW;
 ULONG uSize=1;
 UNICODE_STRING ustrDosName={0};
 PFILE_NAME_INFORMATION NameInfo = NULL;
 BOOLEAN blnRet=FALSE;
 if (!ProcessImageName ||
  !MmIsAddressValid(FileObject) ||
  !MmIsAddressValid(FileObject->DeviceObject))
  return FALSE;
 NameInfo = ExAllocatePool(PagedPool,uSize * 0x200);
 if (!NameInfo) return FALSE;
 ntStatus=IrpQueryInformationFile(FileObject,NameInfo,uSize * 0x200,FileNameInformation);
 while (ntStatus==STATUS_BUFFER_OVERFLOW)
 {
  ExFreePool(NameInfo);
  uSize++;
  NameInfo = ExAllocatePool(PagedPool,uSize * 0x200);
  ntStatus=IrpQueryInformationFile(FileObject,NameInfo,uSize * 0x200,FileNameInformation);
 }
 if (NT_SUCCESS(ntStatus))
 {
  if (KeGetCurrentIrql()==PASSIVE_LEVEL)
  {
   ntStatus=RtlVolumeDeviceToDosName(FileObject->DeviceObject,&ustrDosName);
   if (NT_SUCCESS(ntStatus))
   {
    WCHAR strFileName[260]={0};
    UNICODE_STRING ustrFileName;
    STRING astrFileName={0};
    wcscpy(strFileName,ustrDosName.Buffer);
    if (NameInfo->FileNameLength<512)
    {
     wcscat(strFileName,NameInfo->FileName);
    }
    else
    {
     memcpy(&strFileName[2],NameInfo->FileName,511);
    }
    RtlInitUnicodeString(&ustrFileName,strFileName);
    if (RtlUnicodeStringToAnsiString(&astrFileName,&ustrFileName,TRUE)==STATUS_SUCCESS)
    {
     strcpy(ProcessImageName,astrFileName.Buffer);
     RtlFreeAnsiString(&astrFileName);
     DbgPrint("路径:%s/n",ProcessImageName);
     blnRet=TRUE;
    }
    RtlFreeUnicodeString(&ustrDosName);
   }
  }
 }
 if (NameInfo) ExFreePool(NameInfo);
 return blnRet;
}

chenhui530
关注
专栏目录
利用32位PEB结构实现从进程ID中得到进程完整路径
nyzdmc的博客
11-20 1290
本程序只使用于32位! 即只能寻找32位进程的完整路径! 使用PEB结构以得到进程的完整路径(包括从进程ID得到进程PEB地址和从PEB结构得到进程完整路径) GetProcessFullPathByProcessID相当于两个函数GetPebByProcessID,GetProcessFullPathByPeb的合并。 从PEB结构中得到进程的完整路径: 通过PEB结构中的RTL_USER_PROCESS_PARAMETERS类型的ProcessParameters成员,ProcessParamet
Ring3/Ring0下注入方法
SR0ad的涅盘地
11-15 3618
Ring3下若干注入方法 一、CreateRemoteThread (NtCreateThreadEx) 1.通过OpenProcess获得目标进程Handle 2.通过VirtualAllocEx在目标进程里申请内存空间,用来写入代码 3.通过WriteProcessMemory,把要注入的DLL全路径写到刚才申请的内存上 4.通过CreateRemoteThread/Lo
进入ring0、ring3
03-06
ring0下众生程序平等。程序转移分为两种: 近转移和远转移 ,其中近转移中又分为相对地址转移和绝对地址转移. 而远转移只有绝对地址转移.。可以通俗的讲,cs发生变化的转移称为远转移,cs不变的转移,我们称为近转移。例如:windows ring3下cs是0x1b , ring0下cs通常是0x08.。 对于近转移,我们不需要进行特权级检查。由于windows是保护模式的操作系统,对于远转移如果跨层则需要进行特权级检查,看是否允许其调用。
(ring0)Windows内核根据PID获取进程路径
09-04 406
最近在写ARK,发现Windows在内核并没有直接提供这样的内核API,没办法,自己手动实现吧。网上搜了一堆,写了个函数 头文件中定义 typedef NTSTATUS(*ZWQUERYINFORMATIONPROCESS) ( __in HANDLE ProcessHandle, __in PROCESSINFOCLASS ProcessInformationClass, ...
通过FileHandle获取FileObject对象
01-07 324
<div id="wrap"> <!-- google_ad_section_start --> NTSTATUS&nbsp;MyNtReadFile(<br>&nbsp;&nbsp;&nbsp;&nbsp;&n...
EPROCESS取进程路径
SomeTimes
01-21 5490
Windows内核中通过PEPROCESS获取进程路径
两种HOOK IDT方法
08-06 1787
IDT :就是系统中断表,是存放Windows的中断和异常的处理函数的表 IDT的数据结构:   typedef struct _IDTENTRY { unsigned short LowOffset; //处理函数的低2字节 unsigned short selector; //处理函数所在的段选择子 unsigned char retent...
ring0 ssdt hook sys驱动 得到进程路径.zip
01-24
ring0 ssdt hook sys驱动 得到进程路径.zip
支持2000以后系统的驱动,获取进程的详细信息如:用户名、进程路径进程名,获取隐藏进程信息
03-29
本话题聚焦于一种特殊的驱动,它具备在Windows 2000及更高版本系统上获取进程详细信息的能力,包括进程名称、全路径以及与之关联的用户名。这一功能对于系统监控、安全分析以及故障排查具有重要意义。 首先,我们要...
基于SSDT HOOK技术的Ring0进程保护组件设计与实现
SR0ad的涅盘地
10-31 1910
一、背景介绍 进程保护这一思想很早就出现,现在大多数的杀毒软件等安全防护软件均带有对自身进程保护的功能,这是为了防止病毒等恶意程序破坏进程的运行。相对的,很多病毒为了防止被发现或终止,提高自己的运行权限,隐藏自己、保护自己不被终止。  然而并不是只有病毒及杀毒软件有对自己的进程进行保护的需求,很多软件,如网吧、机房等的监控系统、计费系统等,以及一些必须确保自身运行过程中不被强行中断,否则会导致
(EPROCESS/KPROCESS/ETHREAD/KTHREAD)进程与线程内核层中的结构
weixin_45678798的博客
07-27 1533
现代操作系统通过中央处理器进行任务执行的操作,通过把时间细分,在适当的时间粒度上轮流执行任务,每个任务都有机会进行执行。通过这种方式用户会认为系统的任务是在同时进行的,这种并行方式被称为伪并行,当然如果存在多个处理器,也可变成真并行。...........................
获取进程路径
zyorz的博客
04-19 1746
获取进程PID,通过PID获取eprocess结构后调用KeStackAttachProcess附加到该结构上,然后调用ZwQueryInformationProcess查询进程ProcessImageFileName结构找到进程路径。封装函数如下,调用入口为GetProcessFullNameByPidNTSTATUS GetProcessFullNameByPid(HANDLE nPid,
windbg下EPROCESS获取进程加载模块
125096
06-28 2707
//查看指定的进程信息 kd> !process 0 0 explorer.exe PROCESS 88adb2b0 SessionId: 1 Cid: 0534 Peb: 7ffdd000 ParentCid: 0520 DirBase: 3eb99280 ObjectTable: 8c033088 HandleCount: 674. Image: explore
UNICODE_STRING
kernweak的博客
05-24 859
typedef struct _UNICODE_STRING { USHORT Length;//字节数,不是字符数,有效的字节数。 USHORT MaximumLength;//字节数,告诉系统函数最多有多少内存可用 #ifdef MIDL_PASS [size_is(MaximumLength / 2), length_is((Length) / 2) ] U...
枚举进程——暴力搜索内存(Ring0
weixin_34273046的博客
03-09 488
上面说过了隐藏进程,这篇博客我们就简单描述一下暴力搜索进程。 一个进程要运行,必然会加载到内存中,断链隐藏进程只是把EPROCESS从链表上摘除了,但它还是驻留在内存中的。这样我们就有了找到它的方法。 在内核中,传入进程ID,通过ZwOpenProcess得到句柄,再传入句柄,通过ObReferenceObjectByHandle,可以获得EPROCESS,既然获得了EPROCESS,问...
EPROCESS取进程路径(xp)
SomeTimes
02-08 1747
上一篇文章在xp下取路径太麻烦 既然规定在了xp系统下,为什么不硬编码呢? 好吧,走起~~~
Delphi 嵌入汇编 进Ring0 360tray.exe
WhoMovedMyCheese的专栏
12-20 2729
unit Unit1;interfaceuses Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms, Dialogs, StdCtrls, TlHelp32;type TForm1 = class(TForm) Button1: TButton;
Windows Ring3层DLL注入技术总结
本文主要探讨的是Windows操作系统中的Dll注入技术,特别是在Ring3层,即用户模式下的注入方法。Dll注入是一种常见的系统操作,常用于调试、监控、篡改或增强应用程序的功能。文章作者将Dll注入分为六种主要技术: 1...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值