内核中获取操作系统安装盘路径

最新推荐文章于 2021-08-29 17:11:36 发布
最新推荐文章于 2021-08-29 17:11:36 发布
阅读量537 收藏
点赞数
分类专栏: 内核开发 文章标签: 内核 驱动 系统安装路径
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cssxn/article/details/103089036
版权 
NTSTATUS GetSystemRootPath(PUNICODE_STRING pusSystemRoot)
{
	NTSTATUS status = STATUS_UNSUCCESSFUL;
	PFILE_OBJECT pFileObject = NULL;
	POBJECT_NAME_INFORMATION pObjectNameInformation = NULL;
	HANDLE hFile = NULL;
	IO_STATUS_BLOCK ioStausBlock = { 0 };
	OBJECT_ATTRIBUTES oa = { 0 };
	UNICODE_STRING usFileName = { 0 };

	do
	{
		if (!pusSystemRoot)
		{
			status = STATUS_INVALID_PARAMETER;
			break;
		}

		// Get SystemRoot via ZwOpenFile
		RtlInitUnicodeString(&usFileName, L"\\SystemRoot");
		InitializeObjectAttributes(&oa, &usFileName, OBJ_KERNEL_HANDLE, NULL, NULL);
		status = ZwOpenFile(&hFile, SYNCHRONIZE, &oa, &ioStausBlock, FILE_SHARE_READ, FILE_DIRECTORY_FILE | FILE_SYNCHRONOUS_IO_NONALERT);
		if (!NT_SUCCESS(status))
		{
			KdPrint(("ZwOpenFile failed! status = 0x%X\n", status));
			break;
		}

		status = ObReferenceObjectByHandle(hFile, FILE_ALL_ACCESS, *IoFileObjectType, KernelMode, &pFileObject, NULL);
		if (!NT_SUCCESS(status))
		{
			KdPrint(("***(%s line: %d***)\n\t%s failed with code %#x\n\n", __FILE__, __LINE__, "ObReferenceObjectByHandle", status));
			break;
		}

		status = IoQueryFileDosDeviceName(pFileObject, &pObjectNameInformation);
		if (!NT_SUCCESS(status))
		{
			KdPrint(("***(%s line: %d***)\n\t%s failed with code %#x\n\n", __FILE__, __LINE__, "IoQueryFileDosDeviceName", status));
			break;
		}

		if (pObjectNameInformation->Name.Length > pusSystemRoot->Length)
		{
			KdPrint(("***(%s line: %d***)\n\t%s failed with code %#x\n\n", __FILE__, __LINE__, "pwsSystemRoot Buffer is too small", status));
			status = STATUS_BUFFER_TOO_SMALL;
			break;
		}

		KdPrint(("SystemRoot Path:  %wZ\n", &pObjectNameInformation->Name));
		RtlCopyUnicodeString(pusSystemRoot, &pObjectNameInformation->Name);
		

	} while (FALSE);

	if (hFile)
	{
		ZwClose(hFile);
	}

	if (pFileObject)
	{
		ObDereferenceObject(pFileObject);
	}

	if (pObjectNameInformation)
	{
		ExFreePool(pObjectNameInformation);
	}

	return status;
}
FFE4
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows渗透基础大全
谢公子的博客
10-16 7252
目录 Windows发展历史 Windows常见的目录 Windows常见的cmd命令 Windowscmd窗口的文件下载(bitsadmin、certutil、iwr) Windows加载并执行PowerShell脚本 本地加载并执行PowerShell脚本 远程下载并执行PowerShell脚本 Windows的批处理文件 Windows快捷键操作 Window...
VMware Workstation安装(Linux内核)银河麒麟图文教程
01-10
本文为大家分享了VMware ...6.虚拟机安装操作系统选择Linux,下一步。 7.输入虚拟机名称,下一步。 8.默认操作,下一步。 9.点击“完成”。   10. 点击“开启此虚拟机”。 11.启动界面如下图: 12.选择“安
windows下取得系统常用信息方法
clovejava的专栏
09-07 935
 Windows2000/XP内含的任务管理器(Taskmgr)相信大家都熟悉吧,相比之下XP里的要比2000功能更加强大,返回的信息也更加的详细,不过您是否觉得还有很多希望获得的消息没有包含在里面吗?您是否觉得Windows的系统管理工具箱里的东西太分散了吗?下面就让我们看看它们的开发原理,并动手实现一个真正的任务管理器。现在我们是调用Win32API来实现这些功能的,但是大家都说MS隐藏了
如何获取进程/目标对象的全路径
zhuhuibeishadiao
04-10 1897
PID->eprocess->KeStackAttachProcess->ZwQueryInformationProcess->ProcessImageFileName->ZwCreateFile ->ObReferenceObjectByHandle->RtlVolumeDeviceToDosName ->ZwQueryInformationFile 如何获取目标对象的全路径
通过PID获取进程全路径
kernweak的博客
05-30 1267
/* NTKERNELAPI NTSTATUS PsLookupProcessByProcessId( IN HANDLE ProcessId, OUT PEPROCESS *Process ); NTSTATUS IoQueryFileDosDeviceName( IN PFILE_OBJECT FileObject, OUT POBJECT_NAME_INF...
通过暴力搜索PID遍历进程并获取进程信息
墨鱼菜鸡
06-23 256
背景 通常我们在内核使用 ZwQuerySystemInformation 函数来遍历进程模块并获取进程信息,这种是通过正常的进程遍历方式,所以,有很多 Rootkit 程序会 HOOK 这个 ZwQuerySyste...
计算机系统的目录、文件夹 、路径
热门推荐
cnds123的专栏
03-28 2万+
计算机操着系统的目录、文件夹 、路径 目录和文件夹是一个意思,目录是早期的叫法(DOS操作系统时期的称呼),文件夹是后来的叫法 (dir操作系统时期的称呼)。目录可以包括文件,还可以包括目录。 目录的下级目录就称为子目录,子目录的上一级目录是称为父目录。子目录和父目录是相对的。AA\BB\CC,BB是AA子目录,BB是CC的父目录。 当前目录就是你正在使用的目录。 用户在磁盘上寻找文件或子目录...
Windows驱动开发学习记录-驱动获取当前驱动文件路径
时空之中的灵魂
08-29 1341
1.背景 学习驱动期间打算做一个驱动,功能需要在驱动启动成功后删除注册表的服务项,关机时再自动添加到注册表启动项以便下次能自动加载驱动。一般情况注册表项目如下,其ImagePath为驱动的路径。 这个路径是在注册服务时写进入注册表里的,在DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegistryPath),可以根据第二个参数pRgisterPath对应项读取注册表的Image...
Windows内核安全与驱动开发光盘源码
07-11
5.3.4 输入:内核的请求处理的安全检查 84 5.3.5 输出处理与卸载清理 85 第6章 64位和32位内核开发差异 88 6.1 64位系统新增机制 88 6.1.1 WOW64子系统 88 6.1.2 PatchGuard技术 91 6.1.3 64位驱动的编译...
支持2000以后系统的驱动,获取进程的详细信息如:用户名、进程全路径、进程名,获取隐藏进程信息
03-29
支持2000以上系统,主要是通过驱动层获取进程名称、全路径和用户名,能获取到隐藏的进程
LINUX操作系统(电子教案,参考答案)
07-11
芬兰青年Linus Torvalds和其杰作的传奇故事吸引了无数的电脑爱好者尝试去使用Linux,但他们的大多数人却被Unix类操作系统传统的枯燥的字符界面、艰涩难懂的操作命令和数量庞大的基本概念以及基础知识所吓退。...
Windows内核安全驱动开发(随书光盘)
08-02
5.3.4 输入:内核的请求处理的安全检查 84 5.3.5 输出处理与卸载清理 85 第6章 64位和32位内核开发差异 88 6.1 64位系统新增机制 88 6.1.1 WOW64子系统 88 6.1.2 PatchGuard技术 91 6.1.3 64位驱动的编译...
操作系统(内存管理)
09-20
从可用的内存获取一部分内存。 向可用内存池(pool)返回部分内存,以使其可以由程序的其他部分或者其他程序使用。 实现这些需求的程序库称为 分配程序(allocators),因为它们负责分配和回收内存。程序的...
windbg调试符号下载不了
Sven的忘却日记
02-04 8127
微软符号服务器已经很久没ping通了,挂上全局代理可以下载符号,但是又不想总是开着全局代理。 后来找到一种替代方案,可以通过设置系统环境变量,来让下载符号的流量走代理服务器 _NT_SYMBOL_PROXY 设置好代理后,再下载符号,已经有提示下载进度了! ...
PsSetCreateProcessNotifyRoutine监控进程创建
Sven的忘却日记
09-25 5215
PsSetCreateProcessNotifyRoutine函数用来注册一个进程创建的回调函数,当有新从进程被创建时,就把父进程的ID,和子进程(被创建的进程)ID传给回调函数,通过回调函数,可以监控新创建的进程 NTSTATUS PsSetCreateProcessNotifyRoutine( _In_ PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRouti...
手动加载PDB符号文件
Sven的忘却日记
09-27 3059
事件起因 平时需要用到web环境来测试东西时,我会在服务器上用python -m SimpleHTTPServer来启动一个小型web服务,有时为了方便,就没停止服务,一直在服务器上挂着。。 今天登陆服务器,发现几条可疑的访问请求记录,如下图 分析Payload 这个很明显是有人在批量扫描漏洞,并植入木马 103.131.9.85 - - [25/Sep/2019 00:58:05] "GET ...
Wdm.h、Ntddk.h 和 Ntifs.h 的组织结构
Sven的忘却日记
10-13 3038
在 Windows Vista 版本的 WDK 之前,用于驱动程序开发的主要头文件为 Wdm.h、Ntddk.h 和 Ntifs.h,它们包含很多重复声明。 从 Windows Vista 版本的 WDK 开始,Wdm.h、Ntddk.h 和 Ntifs.h 将按层次结构来组织并且不包含重复信息。上层的文件将包含下层的文件。每个函数和结构声明仅出现一次。 Ntifs.h 包含 Ntddk.h,而 ...
WinDbg手动修复堆栈
Sven的忘却日记
09-29 2457
栈被破坏了可一点都不好玩儿!尤其是当你在分析crash dump或者程序发生异常的时候,我猜首先要做的事,可能就是先查看一下儿堆栈调用。 但是发现当前线程的栈被破坏了,你的主要分析工具也无法显示堆栈,这可咋办哩? 尽管如此,有时候也可以修复被破坏的堆栈。我已经出了一些关于.NET和C++调试的教程,但是大家的要求,我也会再展示一个例子 .net 调试:http://sela.co.il/syl/s...
linux安装oracle19c详细步骤
最新发布
05-10
4. 安装依赖包:Oracle 19c 需要安装一些依赖包,如 libaio、libstdc++、gcc等,需要根据操作系统的不同进行安装。 5. 创建 Oracle 用户和组:创建一个新的用户和组,用于安装和运行 Oracle。 6. 修改内核参数:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值