windows 内核中获取当前进程路径

最新推荐文章于 2021-08-29 17:11:36 发布
最新推荐文章于 2021-08-29 17:11:36 发布
阅读量714 收藏 2
点赞数
分类专栏: windows kenel c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/d2262272d/article/details/105269870
版权

 

BOOLEAN getCurProcPath( PEPROCESS curproc, PUNICODE_STRING uni_ImagePathName )
{
    /*
	wdbg cmd : dt _EPROCESS 0xFFFFFA801AB1D940
	0xFFFFFA801AB1D940 == curproc
	+0x3e8 Peb              : 0x000007f6`f713e000 _PEB
	wdbg cmd : dt _PEB 0x000007f6`f713e000
	+0x020 ProcessParameters : 0x00000000`001f1210 _RTL_USER_PROCESS_PARAMETERS
	wdbg cmd : dt _RTL_USER_PROCESS_PARAMETERS  0x00000000`001f1210
	+0x060 ImagePathName    : _UNICODE_STRING "C:\Windows\Explorer.EXE"
	+0x070 CommandLine      : _UNICODE_STRING "C:\Windows\Explorer.EXE"
	*/
	PPEB		curPeb = NULL;
	ULONG_PTR  ProcessParameters = NULL;

	KAPC_STATE ApcState;

	curPeb = PsGetProcessPeb( curproc );

	KeStackAttachProcess( curproc, &ApcState );   // 切入进程地址空间 
	ProcessParameters = *( ULONG_PTR* )( ( ULONG_PTR )curPeb + 0x20 );
	
	RtlAppendUnicodeToString( uni_ImagePathName, L"\\??\\" );

	RtlAppendUnicodeStringToString( uni_ImagePathName, ( PUNICODE_STRING )( ( ULONG_PTR )ProcessParameters + 0x60 ) );
	KeUnstackDetachProcess( &ApcState );      // 切出进程 
	return TRUE;
}

使用方法如下

    PEPROCESS	curproc =PsGetCurrentProcess();
    UNICODE_STRING uni_ImagePathName = { 0};
    uni_ImagePathName.Length = 0;
	uni_ImagePathName.MaximumLength = MAX_PATH;
	uni_ImagePathName.Buffer = ( PWCH )ExAllocatePoolWithTag( NonPagedPool, MAX_PATH, NULL );
	getCurProcPath( curproc, &uni_ImagePathName );

同样的方法,还可以获取到很多值,根据注释里面的方法,慢慢研究吧,朋友!

 

窝米逗佛~
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过驱动名称获取驱动路径加载驱动
fsjaky的专栏
04-20 1829
最近在写一个小工具需要加载驱动。完成后,分享给朋友使用。大家反馈的信息是,无法加载驱动。后来我自己多次测试,没发现什么问题。        前提条件:驱动文件.sys 必须与可执行文件.exe必须在同一目录下面!        我在想是不是运行环境导致的,后来我复制出来到物理机里面测试,同样的问题出现了——驱动无法加载。        在最后,我发现问题了。在网上还是看到的大部分加载与卸载程
windows 内核获取进程路径
10-09 619
windows 内核获取进程路径 思路:1):在EPROCESS结构获取。此时要用到一个导出函数:PsGetProcessImageFileName,申明如下: NTSYSAPI UCHAR * PsGetProcessImageFileName( __in PEPROCESS Process ); 此函数获取的是一个简单的进程名,...
<原创> 通过PEB获得进程路径 (附完整工程)
weixin_34379433的博客
03-09 285
完整工程:http://files.cnblogs.com/files/Gotogoo/%E8%BF%9B%E7%A8%8B%E7%AE%A1%E7%90%86%E5%99%A8%28x86%26%26x64%29.zip PEB(Process Environment Block,进程环境块)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。 PEB地址可以通过函数PsGe...
通过 PEB 改变进程名,实现“穿透”防火墙
01-12 1982
PEB(Process Environment Block)——进程环境块,存放进程信息,每个进程都有自己的 PEB 信息。在 Win 2000 下,进程环境块的地址对于每个进程来说是固定的,在 0x7FFDF000 处,这是用户区内存,所以程序能够直接访问。准确的 PEB 地址应从系统的 EPROCESS 结构的 1b0H 偏移处获得,但由于 EPROCESS 在进程的核心内存区,所以程序不能直
Windows驱动开发学习记录-驱动获取当前驱动文件路径
时空之中的灵魂
08-29 1402
1.背景 学习驱动期间打算做一个驱动,功能需要在驱动启动成功后删除注册表的服务项,关机时再自动添加到注册表启动项以便下次能自动加载驱动。一般情况注册表项目如下,其ImagePath为驱动路径。 这个路径是在注册服务时写进入注册表里的,在DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegistryPath),可以根据第二个参数pRgisterPath对应项读取注册表的Image...
linux通过文件描述符获取文件绝对路径的方法
09-15
在Linux操作系统文件描述符是系统内核用于标识打开文件的一种抽象标识。每个进程都有一个文件描述符表,其包含了进程打开的所有文件的...在其他类Unix系统或者Windows,可能需要采用不同的方法来获取文件路径
寒江独钓-Windows内核安全编程(高清完整版).part4
01-04
8.2.3 得到当前进程的名字 228 8.3 内存映射与文件缓冲 229 8.3.1 记事本的内存映射文件 229 8.3.2 Windows文件缓冲 230 8.3.3 文件缓冲:明文还是密文的选择 232 8.3.4 清除文件缓冲 233 8.4 加密标识 236 8.4.1 ...
Windows内核安全与驱动开发光盘源码
07-11
12.2.3 得到当前进程的名字 256 12.3 内存映射与文件缓冲 257 12.3.1 记事本的内存映射文件 257 12.3.2 Windows文件缓冲 258 12.3.3 文件缓冲:明文还是密文的选择 259 12.3.4 清除文件缓冲 260 12.4 加密...
寒江独钓-Windows内核安全编程(高清完整版).part1
01-04
8.2.3 得到当前进程的名字 228 8.3 内存映射与文件缓冲 229 8.3.1 记事本的内存映射文件 229 8.3.2 Windows文件缓冲 230 8.3.3 文件缓冲:明文还是密文的选择 232 8.3.4 清除文件缓冲 233 8.4 加密标识 236 8.4.1 ...
Windows内核安全驱动开发(随书光盘)
08-02
12.2.3 得到当前进程的名字 256 12.3 内存映射与文件缓冲 257 12.3.1 记事本的内存映射文件 257 12.3.2 Windows文件缓冲 258 12.3.3 文件缓冲:明文还是密文的选择 259 12.3.4 清除文件缓冲 260 12.4 加密...
内核修改进程启动参数源码,可用于学习浏览器劫持
08-11
自己小改一下即可支持x64系统,zip里源码是支持x86的,实际测试很多浏览器都OK,
如何利用WinDbg找出程序崩溃的位置
08-06
该文档讲解了如何利用WinDbg找出程序崩溃的位置,图文说明,对于使用windbg的朋友可以看看。
内核驱动,获得到当前进程的全路径
jianghui3132749的专栏
09-05 1617
版权所有,转载请注明出处:【在内核驱动,获得到当前进程的全路径】http://www.3600safe.com/?post=129 引用: http://www.3600safe.com/tb.php?sc=f23899&id=129   在内核驱动,获得到当前进程的全路径 作者:A盾电脑防护 ⁄ 时间:2012年08月14日 ⁄ 分类: 进程/进程对象 ⁄ 评论:
如何在NT下获取进程路径(增补)
Ackarlix的专栏
08-30 1293
 如何在NT下获取进程路径——获取NT系统进程路径整理:Ackarlix下载源代码一、程序说明  最近整理文档,发现以前写的《如何在NT下获取进程路径》一文还有个问题没有解决:原文的程序无法获取系统进程路径,如:csrss.exe。记得VCKBASE上有位网友说过一个方法:“给枚举的进程增加SE_DEBUG_NAME权限即可”,于是在网上找了些资料,解决了原文的问题。这
进程挂靠后使用PsGetCurrentProcessId获取进程ID不准
Sven的忘却日记
06-01 1785
如题,在使用KeStackAttachProcess挂靠到目标进程后,又调用了一系列子函数,此时并没有把EPROCESS传进去。 PEPROCESS pProcess = NULL; KAPC_STATE apc; NTSTATUS status = PsLookupProcessByProcessId((HANDLE)pid, &pProcess); if (NT_SUCCESS(status)) { KeStackAttachProcess(pProcess, &apc);
Win64 驱动内核编程-7.内核里操作进程
墨鱼菜鸡
12-18 162
内核里操作进程内核里操作进程,相信是很多对WINDOWS内核编程感兴趣的朋友第一个学习的知识点。但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个和进程相关的NATIVEAPI而已(当然了,本文所说的进程操作,还包括对线程和DLL模块的操作...
Windows驱动获得当前进程路径的方法
trents的专栏
02-20 3089
方法: 通过ZwQueryInformationProcess函数查询ImageFileName 支持的系统:XP以上操作系统 具体方法如下: BOOL  GetProcessPathNameByHandle(HANDLE ProcessHandle,char * path)     {         DWORD ret;             ULONG
LoadDll详解----衔接于上篇的DLL装载
For Geek
05-12 3973
根据我们上次所讲,其大概流程是差不多理清了,但是还有具体的一些细节和一个Tls的大头还没阐述,先把LoadDll的具体细节讲完,这里推荐大家去看毛德操先生的著作《内核情景分析》,这本书对ReactOS(一种也是基于NT的内核,但是不同于Windows,它是完全开源的)的解析入木三分,我读完这个DLL的装载后大有所获,所以强烈推荐这本好书!!! 好了,接下来就是我们的正题了先复习下调用流程。 Ldr...
Windows C语言内核获取进程进程参数
最新发布
05-30
Windows内核获取进程参数可以使用PsGetProcessWow64Process和PsLookupProcessByProcessId函数来实现。 首先,使用PsLookupProcessByProcessId函数获取进程句柄,例如: ``` PEPROCESS process; if (NT_SUCCESS(PsLookupProcessByProcessId(ProcessId, &process))) { // 进程句柄获取成功,可以进行后续操作 } ``` 然后,使用PsGetProcessWow64Process函数获取进程参数,例如: ``` PVOID processParams = PsGetProcessWow64Process(process); ``` 其,processParams指针指向了进程参数的起始地址。可以根据具体需要,进一步解析这些参数。 需要注意的是,PsGetProcessWow64Process只对32位进程有效。对于64位进程,可以使用PsGetProcessPeb函数获取进程环境块(PEB),然后从PEB获取进程参数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值