【转】[内核/驱动]驱动中获取进程全路径和注册表全路径

最新推荐文章于 2018-12-16 19:18:55 发布
最新推荐文章于 2018-12-16 19:18:55 发布
阅读量194 收藏
点赞数
文章标签: 操作系统
原文链接:http://www.cnblogs.com/Lthis/p/4491442.html
版权

转载地址: http://blog.sina.com.cn/s/blog_60a1a51d0100e78g.html

2008.07.05 
    经过这几天的努力,注册表保护驱动已经基本稳定。很多人都在网上问如何获取访问注册表的进程全路径和被访问的注册表的全路径,下面就将部分代码贴出来。


//驱动中获取被访问注册表的全路径
BOOLEAN GetRegFullPath(HANDLE KeyHandle,
       PUNICODE_STRING pRegFullPath)
{
    POBJECT pKey = NULL;
    BOOLEAN bSucc = TRUE;


    //由句柄得到对象指针
    pKey = GetPointer(KeyHandle);
    if (NULL == pKey)
    {
        bSucc = FALSE;
        goto BeforeLeave;
    }


    //减少引用计数
    ReleasePointer(pKey);


    ULONG uActualLen = 0;
    __try
    {
        //查询注册表项(注意这里是项)全路径
        if(!NT_SUCCESS(ObQueryNameString(pKey,
            (OBJECT_NAME_INFORMATION*)pRegFullPath, 
            MAXPATHLEN,
            &uActualLen)))
        {
            bSucc = FALSE;
            goto BeforeLeave;
        }
    }
    __except(EXCEPTION_EXECUTE_HANDLER)
    {
        KdPrint(("GetRegFullPath ObQueryNameString Exception!"));
        bSucc = FALSE;
        goto BeforeLeave;
    }


    BeforeLeave:
        return bSucc;
}


//由句柄得到对象指针
POBJECT GetPointer(HANDLE KeyOrHandle)
{
    POBJECT pKey = NULL;


    if(!KeyOrHandle)
    {
        return NULL;
    }


    // Make sure that we're not going to access
    // the kernel handle table from a non-system process
    //
    if((LONG)(ULONG_PTR) KeyOrHandle < 0 &&
        ExGetPreviousMode() != KernelMode) 
    {
        return NULL;
    }


    if(!NT_SUCCESS(ObReferenceObjectByHandle(KeyOrHandle, 
        0, 
        NULL, 
        KernelMode,
        &pKey, 
        NULL))) 
    {
        KdPrint(("Error %x getting key pointer\n"));
        pKey = NULL;
    } 


    return pKey;
}


//减少引用计数
VOID ReleasePointer(POBJECT object)
{
    if(object) ObDereferenceObject(object);
}
 
//使用方法
……
PUNICODE_STRING pRegFullPath = (PUNICODE_STRING)ExAllocatePoolWithTag(NonPagedPool,
    MAXPATHLEN * sizeof(WCHAR) + 2 * sizeof(ULONG),
    'abcd');
GetRegFullPath(pRegFullPath );
KdPrint(("%wZ", pRegFullPath ));
ExFreePoolWithTag(pRegFullPath, 'abcd');
……
//至于为什么要这样申请内存,下面这个链接给出了解释:
http://hi.baidu.com/1ian9yu/blog/item/a41cbadd73576adf8c102931.html
 

 
//驱动中获取访问注册表的进程全路径
有好几种方法:有一篇博文写的很清楚,下面是链接:http://hi.baidu.com/30571/blog/item/a718e52252e2304cac34de7d.html
下面给出我试过的两种方法:
第一种:EPROCESS->PEB->ProcessParameters->ImagePathName
要想很好地理解下面的代码,建议在WinDbg下使用命令 dt _EPROCESS(更详细的命令请查help)等查看相关结构,自己算一下面代码中的偏移量。这段代码在Windows 2000 / Windows XP 下都可以使用,缺点在上面那个链接里面写的很清楚。
PWCHAR GetProcessFullPath()
{
    if(KeGetCurrentIrql() != PASSIVE_LEVEL)
    {
        return NULL;
    }


    //返回的是PEPROCESS类型
    //dwAddress是EPROCESS的地址
    DWORD dwAddress = (DWORD)PsGetCurrentProcess();
    if(dwAddress == 0 || dwAddress == 0xFFFFFFFF)
    {
        return NULL;
    }
    //dwAddress是EPROCESS中PEB*成员的地址
    dwAddress += 0x1B0;
    //dwAddress是PEB*
    if((dwAddress = *(DWORD*)dwAddress) == 0)
    {
        return 0;
    }
    //dwAddress是PEB中的ProcessParameters(PRTL_USER_PROCESS_PARAMETERS类型)的地址
    dwAddress += 0x10;
    //dwAddress是ProcessParameters(PRTL_USER_PROCESS_PARAMETERS类型)
    if((dwAddress = *(DWORD*)dwAddress) == 0)
    {
        return 0;
    }
    //dwAddress是ImagePathName(UNICODE_STRING)的地址
    dwAddress += 0x3C;
    //dwAddress是ImagePathName(UNICODE_STRING)
    if((dwAddress = *(DWORD*)dwAddress) == 0) 
    {
        return 0;
    }


    return (PWCHAR)dwAddress; 
}


第二种:
自己写了一段测试代码,比较乱哈,但这种方法确实是可行的,不过貌似只能在Windows XP上使用。
DWORD GetCurrentProcessFullPath(WCHAR *pImageName)
{
    KIRQL CurIRQL;
    NTSTATUS QueryStatus;
    ULONG returnedLength;
    PVOID buffer = NULL;
    UNICODE_STRING ImageName;
    DWORD dwRet = 0;
    NTSTATUS CreateStatus;
    HANDLE FileHandle = NULL;
    OBJECT_ATTRIBUTES ObjAttrib;
    IO_STATUS_BLOCK IoStatusBlock;
    PFILE_OBJECT pFileObj;
    NTSTATUS ReferenceStatus;
    NTSTATUS DeviceToDosStatus;
    WCHAR wcVolume;
    WCHAR wszDeviceNameTemp[10] = L"\\??\\X:";
    WCHAR wszDeviceName[10] = {0};
    UNICODE_STRING DeviceName;
    OBJECT_ATTRIBUTES ob;
    HANDLE LinkHandle;
    ULONG rt;
    UNICODE_STRING VolumeName;
    WCHAR BufferVolume[32] = L"";
    UNICODE_STRING FullPath;
    WCHAR BufferPath[MAXPATHLEN] = L"";


    PAGED_CODE(); // this eliminates the possibility of the IDLE Thread/Process


    CurIRQL = KeGetCurrentIrql();
        if (PASSIVE_LEVEL != CurIRQL)
    {   
        dwRet = 1;
        goto BeforeLeave;
    }


    __try
    {
        if (!MmIsAddressValid(pImageName))
        {
            dwRet = 1;
            goto BeforeLeave;
        }
    }
    __except(EXCEPTION_EXECUTE_HANDLER)
    {
        dwRet = 1;
        goto BeforeLeave;
    }

    if (NULL == ZwQueryInformationProcess) 
    {
        //获取ZwQueryInformationProcess函数的地址
        UNICODE_STRING routineName;
        RtlInitUnicodeString(&routineName, L"ZwQueryInformationProcess");
        ZwQueryInformationProcess = (ZWQUERYINFORMATIONPROCESS)MmGetSystemRoutineAddress(&routineName);
        if (NULL == ZwQueryInformationProcess)
        {
            dwRet = 1;
            goto BeforeLeave;
        }
    }


    //获取保存进程路径需要的buffer长度
    QueryStatus = ZwQueryInformationProcess(NtCurrentProcess(),
        ProcessImageFileName,
        NULL,
        0,
        &returnedLength);


    if (STATUS_INFO_LENGTH_MISMATCH != QueryStatus)
    {
        dwRet = 1;
        goto BeforeLeave;
    }


    buffer = ExAllocatePoolWithTag(NonPagedPool,
        returnedLength,
        'ipgD');


    if (NULL == buffer)
    {
        dwRet = 1;
        goto BeforeLeave;
    }


    __try
    {
        QueryStatus = ZwQueryInformationProcess(NtCurrentProcess(),
            ProcessImageFileName,
            buffer,
            returnedLength,
            &returnedLength);


        if (!NT_SUCCESS(QueryStatus))
        {
            dwRet = 1;
            goto BeforeLeave;
        }


        InitializeObjectAttributes(&ObjAttrib,
            (PUNICODE_STRING)buffer,
            OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,
            NULL,
            NULL);


        CreateStatus = ZwCreateFile(&FileHandle,
            GENERIC_READ,
            &ObjAttrib,
            &IoStatusBlock,
            NULL,
            FILE_ATTRIBUTE_NORMAL,
            0,
            FILE_OPEN,
            FILE_SYNCHRONOUS_IO_NONALERT,
            NULL,
            0);


        if (!NT_SUCCESS(CreateStatus) || !FileHandle)
        {
            dwRet = 1;
            goto BeforeLeave;
        }


        ReferenceStatus = ObReferenceObjectByHandle(FileHandle,
            FILE_READ_DATA,
            NULL,
            KernelMode,
            &pFileObj,
            NULL);


        if (!NT_SUCCESS(ReferenceStatus))
        {
            dwRet = 1;
            goto BeforeLeave;
        }


        ObDereferenceObject(pFileObj);
        for (wcVolume = L'A'; wcVolume <= L'Z'; wcVolume++)
        {
            wszDeviceNameTemp[4] = wcVolume;
            DeviceName.Buffer = wszDeviceNameTemp;
            DeviceName.Length = (USHORT)(wcslen(wszDeviceNameTemp) * sizeof(WCHAR));
            DeviceName.MaximumLength = (USHORT)sizeof(wszDeviceNameTemp);
            //KdPrint(("Symbolelic Name %wZ", &DeviceName));
            InitializeObjectAttributes(&ob,
                &DeviceName,
                OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,
                NULL,
                NULL);


            VolumeName.Buffer = BufferVolume;
            VolumeName.Length = 0;
            VolumeName.MaximumLength = MAXPATHLEN;
            ZwOpenSymbolicLinkObject(&LinkHandle, GENERIC_READ, &ob);
            ZwQuerySymbolicLinkObject(LinkHandle, &VolumeName, &rt);


            //KdPrint(("Volume Name %wZ", &VolumeName));


            if (LinkHandle)
            {
                ZwClose(LinkHandle);
            }


            memset(BufferPath, 0, sizeof(BufferPath));
            RtlInitEmptyUnicodeString(&FullPath, BufferPath, MAXPATHLEN);
            RtlCopyUnicodeString(&FullPath, &VolumeName);
            RtlAppendUnicodeStringToString(&FullPath, &(pFileObj->FileName));
            //KdPrint(("%wZ", &FullPath));
            if (0 == RtlCompareUnicodeString(&FullPath, (PUNICODE_STRING)buffer, TRUE))
            {
                pImageName[0] = wcVolume;
                pImageName[1] = L':';
                pImageName[2] = L'\0';
                wcsncat(pImageName, pFileObj->FileName.Buffer, pFileObj->FileName.Length);
                break;
            }
        }


        //不知道什么原因,IoVolumeDeviceToDosName这个函数可能导致系统死锁
        //所以没有使用这个函数
        dwRet = 0;
    }
    __except(EXCEPTION_EXECUTE_HANDLER)
    {
        //KdPrint(("Symbolelic EXCEPTION %wZ"));
        dwRet = 1;
    }
BeforeLeave:
    if (buffer)
    {
        ExFreePoolWithTag(buffer,  'ipgD');
    }


    if (FileHandle)
    {
        ZwClose(FileHandle);
    }


    return dwRet;
 
}

 

转载于:https://www.cnblogs.com/Lthis/p/4491442.html

donghua4539
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何在驱动程序(SYS)得到当前进程的完整路径进程名?
xstudio的专栏
05-08 2110
 首先利用PsGetCurrentProcess或IoGetCurrentProcess函数得到当前进程的句柄,这个句柄是指向_EPROCESS结构的指针,_EPROCESS的结构如下:typedef struct _EPROCESS    {    KPROCESS                     Pcb;    NTSTATUS                    
Windows内核驱动开发(随书光盘)
08-02
10.1.3 注册表和磁盘卷设备过滤驱动 168 10.2 具有还原功能的磁盘卷过滤驱动 168 10.2.1 简介 168 10.2.2 基本思想 169 10.3 驱动分析 169 10.3.1 DriverEntry函数 169 10.3.2 AddDevice函数 170 10.3.3 PnP...
关于驱动和设备的相关注册表键的位置,和相关信息
热门推荐
Vinx Blog
06-07 1万+
关于驱动和设备的相关注册表键的位置,和相关信息MSDN上有了: https://msdn.microsoft.com/en-us/library/windows/hardware/ff549815(v=vs.85).aspx下面是大概翻译整理: 操作系统会将设备和驱动的一些相关重要信息存储进注册表。 注意:一般驱动程序不允许直接访问以下提到的注册表目录项和键。1. 设备和驱动注册表树以下
驱动获取进程名的正确方法
求索
04-29 6715
这是个古老的话题,没有技术含量,只不过看到网上很多驱动代码在获取进程名时总喜欢去读偏移 EPROCESS.ImageFileName,感觉比较误导新人。 这个方法其实很不科学,硬编码偏移带来的兼容性问题以及16字节截断的问题(Win7过后是15字节)就不用说了,关键是这个 EPROCESS.ImageFileName 其实并不靠谱。 咱们可以做个实验,随便打开一个程序,比如记事本notep
Windows驱动获得当前进程路径的方法
trents的专栏
02-20 3073
方法: 通过ZwQueryInformationProcess函数查询ImageFileName 支持的系统:XP以上操作系统 具体方法如下: BOOL  GetProcessPathNameByHandle(HANDLE ProcessHandle,char * path)     {         DWORD ret;             ULONG
内核驱动,获得到当前进程路径
jianghui3132749的专栏
09-05 1601
版权所有,载请注明出处:【在内核驱动,获得到当前进程路径】http://www.3600safe.com/?post=129 引用: http://www.3600safe.com/tb.php?sc=f23899&id=129   在内核驱动,获得到当前进程路径 作者:A盾电脑防护 ⁄ 时间:2012年08月14日 ⁄ 分类: 进程/进程对象 ⁄ 评论:
Windows内核驱动开发光盘源码
07-11
10.1.3 注册表和磁盘卷设备过滤驱动 168 10.2 具有还原功能的磁盘卷过滤驱动 168 10.2.1 简介 168 10.2.2 基本思想 169 10.3 驱动分析 169 10.3.1 DriverEntry函数 169 10.3.2 AddDevice函数 170 10.3.3 PnP...
注册表批量修改权限命令
11-09
跳至 Regedit 指定的注册表路径。 RootkitRevealer 扫描系统以找出基于 Rootkit 的恶意软件。 SDelete 安地覆盖敏感文件,并使用此符合 DoD 的安删除程序清理先前删除文件所在的可用空间。 ShareEnum 扫描网络...
寒江独钓-Windows内核编程(高清完整版).part1
01-04
有助于读者熟悉Windows内核驱动的体系结构,并精通信息安类的内核编程技术。本书的大部分代码具有广泛的兼容性,适合从Windows 2000 一直到目前最新的Windows 7 Beta 版。  本书适合大专院校计算机系的学生、...
Linux怎么通过PID号找到对应的进程名及所在目录方法
09-15
本篇文章主要介绍了Linux怎么通过PID号找到对应的进程名及所在目录方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
ring0 ssdt hook sys驱动 得到进程路径.zip
01-24
ring0 ssdt hook sys驱动 得到进程路径.zip
获得系统所有进程路径
05-10
获得系统所有进程路径献给辞职的好兄弟。。。。
寒江独钓-Windows内核编程(高清完整版).part3
01-04
有助于读者熟悉Windows内核驱动的体系结构,并精通信息安类的内核编程技术。本书的大部分代码具有广泛的兼容性,适合从Windows 2000 一直到目前最新的Windows 7 Beta 版。  本书适合大专院校计算机系的学生、...
windows驱动 获取进程路径
feixi7358的博客
12-16 1747
这个是在网上找的,自己合成了一下 typedef NTSTATUS (*QUERY_INFO_PROCESS) ( __in HANDLE ProcessHandle, __in PROCESSINFOCLASS ProcessInformationClass, __out_bcount(ProcessInformationLength) PVOID ProcessInforma...
驱动获取进程路径
leon
07-19 3065
本文自 http://xiabl.blog.ccidnet.com/blog.php?do=showone&itemid=129339&typ=blog仅作收藏  在驱动获取进程路径系统具备:WinDbg, Windows Symbol Packages (http://www.microsoft.com/whdc/devtools/debugging/symbolpkg.msp
驱动层得到进程的完整路径
weixin_30337251的博客
09-02 283
在得到进程EProcess之后,对于进程完整路径的获得一般有两种方法,一种是访问的进程的PEB结构,在PEB结构保存有进程的完整路径,另一种方法就是采用访问_FILE_OBJECT的方法。   访问PEB的方法便存在线程靠挂的问题,因为运行于Ring0层的线程是无法去访问用户地址空间的,需要将线程暂时靠挂到目标呢进程,进而去访问进程的PEB结构。我一般都采用的访问_FILE_OBJE...
[]驱动获取进程完整路径
农家小舍
04-01 1万+
Submitted by boxcounter on 2009, July 23, 6:55 PM. windows编程(R0)在OSR上无意看到一篇文章,关于获取进程完整路径的。贴过来,最后有一点小调整。原文地址:http://www.osronline.com/article.cfm?id=472 Over the years developers
linux内核驱动重写驱动打印输出路径
最新发布
07-25
要重写Linux内核驱动的打印输出路径,你需要了解和修改内核代码。下面是一个大致的步骤: 1. 获取内核源代码:首先,你需要获取Linux内核的源代码。可以从官方网站下载或使用包管理器安装。 2. 找到驱动代码:在源...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值