在内核驱动中,获得到当前进程的全路径

最新推荐文章于 2024-01-13 19:20:29 发布
最新推荐文章于 2024-01-13 19:20:29 发布
阅读量1.6k 收藏
点赞数
分类专栏: windows内核 文章标签: 内核

版权所有,转载请注明出处:【在内核驱动中,获得到当前进程的全路径】http://www.3600safe.com/?post=129
引用: http://www.3600safe.com/tb.php?sc=f23899&id=129

 

在内核驱动中,获得到当前进程的全路径

作者: A盾电脑防护 ⁄ 时间:2012年08月14日 ⁄ 分类: 进程/进程对象 评论:0

作者:guijc

 

在应用层想要获得一个进程的全路径,有一个很简单的API函数,但是在内核中却没有提供这样的函数,上次看了一位前辈的帖子,根据他的思路写出了下面的代码,欢迎大家的评论

 

代码思路如下:

1. 利用ZwQueryInformationProcess得到当前进程的NT路径

2. 用ZwOpenFile打开NT路径,获得进程的句柄

3. 用ObReferenceObjectByHandle获得内核对象(FileObj)

4. 获得盘符(C:\),RtlVolumeDeviceToDosName(FileObj->DeviceObject, &DosName);

5. 拼接路径,RtlAppendUnicodeStringToString(&ImageName, &FileObj->FileName);

 

好了废话不多,直接上代码:

 

void GetProcessImageName(PANSI_STRING ImageFileName)
{  
    UNICODE_STRING  ImageName = {0};
    PUNICODE_STRING Buffer = NULL;
    ULONG ReturnLength = 0;
    NTSTATUS status = 0;  

    HANDLE FileHandle = NULL;
    OBJECT_ATTRIBUTES ObjectAttributes = {0};
    IO_STATUS_BLOCK IoStatusBlock = {0};
    PFILE_OBJECT FileObj = NULL;
    UNICODE_STRING DosName = {0};

    status = ZwQueryInformationProcess(
                            NtCurrentProcess(),
                            ProcessImageFileName, 
                            NULL, 
                            0, 
                            &ReturnLength);

    if(STATUS_INFO_LENGTH_MISMATCH != status ||  0 == ReturnLength){
        return;
    }

    Buffer = ExAllocatePool(NonPagedPool, ReturnLength);
    if(NULL == Buffer){
        goto Clean;
    }
    
    status = ZwQueryInformationProcess(
                            NtCurrentProcess(),
                            ProcessImageFileName, 
                            Buffer, 
                            ReturnLength, 
                            &ReturnLength);

    if(!NT_SUCCESS(status)){
        goto Clean;
    }

    InitializeObjectAttributes( &ObjectAttributes,
                            Buffer,
                            OBJ_KERNEL_HANDLE,
                            NULL,
                            NULL );

    status = ZwOpenFile(&FileHandle, 0, &ObjectAttributes, &IoStatusBlock, 0, 0);
    if (!NT_SUCCESS (status)){
       goto Clean; 
    }

    status = ObReferenceObjectByHandle(FileHandle, 0, NULL, KernelMode, &FileObj, NULL);
    if (!NT_SUCCESS (status)){
       goto Clean; 
    }

    if(FileObj->DeviceObject && FileObj->FileName.Buffer){
    
        RtlVolumeDeviceToDosName(FileObj->DeviceObject, &DosName);

        ImageName.MaximumLength = DosName.Length + FileObj->FileName.Length;
        ImageName.Buffer = ExAllocatePool(NonPagedPool, ImageName.MaximumLength);        

        RtlCopyUnicodeString(&ImageName, &DosName);
        RtlAppendUnicodeStringToString(&ImageName, &FileObj->FileName);
        
        RtlUnicodeStringToAnsiString(ImageFileName ,&ImageName, TRUE);
        RtlFreeUnicodeString(&ImageName);
        RtlFreeUnicodeString(&DosName);
    }
    
Clean:

    if(Buffer){
        ExFreePool (Buffer);
    }

    if(FileHandle){
        ZwClose(FileHandle); 
    }    

    if(FileObj){
        ObDereferenceObject(FileObj);
    }

}

 

jianghui3132749
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何在驱动程序(SYS)得到当前进程的完整路径进程名?
xstudio的专栏
05-08 2139
 首先利用PsGetCurrentProcess或IoGetCurrentProcess函数得到当前进程的句柄,这个句柄是指向_EPROCESS结构的指针,_EPROCESS的结构如下:typedef struct _EPROCESS    {    KPROCESS                     Pcb;    NTSTATUS                    
易语言进程内核操作
07-22
易语言进程内核操作源码,进程内核操作,加载驱动,取SSDT,枚举进程,枚举进程2,枚举线程,调用转向,s7r5jr57d,取进程路径,取进程名,提升进程权限debug,进程结束,内存清零,取文件名,取路径,填充,枚举内核模块,强力打开...
驱动获取进程路径
leon
07-19 3081
本文转自 http://xiabl.blog.ccidnet.com/blog.php?do=showone&itemid=129339&typ=blog仅作收藏  在驱动获取进程路径系统具备:WinDbg, Windows Symbol Packages (http://www.microsoft.com/whdc/devtools/debugging/symbolpkg.msp
从今天开始记录下文件过滤驱动遇到的问题
qq125409446的专栏
04-22 482
BSOD?  今天蓝屏蓝疯了 首先是NTSTATUSRtlVolumeDeviceToDosName(IN PVOID VolumeDeviceObject,OUT PUNICODE_STRING DosName);NTSTATUSIoVolumeDeviceToDosName(IN PVOID VolumeDeviceObject,OUT PUNICODE_STRING DosName);这
windows驱动 获取进程路径
feixi7358的博客
12-16 1787
这个是在网上找的,自己合成了一下 typedef NTSTATUS (*QUERY_INFO_PROCESS) ( __in HANDLE ProcessHandle, __in PROCESSINFOCLASS ProcessInformationClass, __out_bcount(ProcessInformationLength) PVOID ProcessInforma...
易语言枚举内核驱动
07-22
在Windows操作系统内核驱动程序是运行在操作系统内核模式下的程序,它们直接与硬件交互,提供了操作系统对硬件设备的控制接口。枚举内核驱动则是指获取系统已加载的所有内核驱动信息的过程,这对于系统管理和...
windows驱动写日志,有Zw和Flt,记录操作某一文件夹的进程
12-16
在Windows驱动获取进程路径通常需要通过`PsLookupProcessByProcessId`函数得到进程对象,再调用`PsGetProcessImageFileName`获取进程的映像文件名。接着,可以结合` ZwQueryInformationProcess`或`...
chromedriver-谷歌浏览器内核驱动.zip
05-26
`chromedriver-谷歌浏览器内核驱动.zip`这个压缩包包含的主要文件是`chromedriver.exe`,这是一个64位的可执行文件,专门设计用于64位版本的Windows操作系统。这个驱动程序与Chrome浏览器建立了通信桥梁,使得自动...
易语言驱动进程管理
08-21
易语言驱动进程管理源码系统结构:提升进程权限,列表,表项,取模块路径,列调用的模块,结束进程DLL,getpid,getcsrsspid,gettid,killtid,killby_wintopic,postthreadquit,RemoteExitProcess,enum,枚举窗口,Deb
驱动层得到进程的完整路径
weixin_30337251的博客
09-02 293
在得到进程EProcess之后,对于进程完整路径获得一般有两种方法,一种是访问的进程的PEB结构,在PEB结构保存有进程的完整路径,另一种方法就是采用访问_FILE_OBJECT的方法。   访问PEB的方法便存在线程靠挂的问题,因为运行于Ring0层的线程是无法去访问用户地址空间的,需要将线程暂时靠挂到目标呢进程,进而去访问进程的PEB结构。我一般都采用的访问_FILE_OBJE...
linux 内核得到 当前进程 对应的可执行文件的 绝对路径
么刚的专栏
10-28 4350
 标题很拗口。这两天在折腾这个事,把折腾的结果记录一下。 先说在应用层怎么搞这个事,很简单:#include #include int main() { char link[100], path[100]; sprintf(link, "/proc/%d/exe", getpid()); readlink(link, pat
获取进程路径方法(支持xp、win7、win10系统)
深之JohnChen的专栏
06-14 5054
获取进程路径方法(支持xp、win7、win10系统)获取进程路径的函数包括GetModuleFileNameEx、GetProcessImageFileName、QueryFullProcessImageName。这三个函数的原型:DWORD GetModuleFileNameEx(HANDLE hProcess,HMODULE hModule,LPTSTR lpFilename,DWOR...
内核的宏current,指向当前进程的task_struct结构
qq_45465848的博客
10-09 705
查找内核进程调度pid号,查看当前调度的进程
浅析Linux进程管理:current宏实现
最新发布
Aspiresky的专栏
01-13 508
Linux内核在运行时经常需要访问当前运行进程的task_struct指针,于是,系统提供了current宏来查找当前运行进程的task_struct指针。由于体系结构的不同,加上内核版本在不断演进,current宏的实现方式也发生了较大的变化。
Linux 下获取进程所在文件的路径
热门推荐
小立仔
11-02 1万+
Linux 应用层和内核获取进程所在文件的路径的方法
linux根据进程号PID查找启动程序的路径(程序实现根据PID进程号得到进程名字或根据进程名字取得进程号)
sweetfather的博客
04-09 3841
sam9x25-linux login: rootPassword: root@sam9x25-linux:~ cd approot@sam9x25-linux:~/app ps  PID TTY          TIME CMD  749 ttyp2    00:00:00 login  750 ttyp2    00:00:00 sh  752 ttyp2    00:00:00 psroo...
获取当前路径![转]
阿蒙的专栏
08-08 1027
进程对象在.NET表现为System.Diagnostics.Process类,通过调用Process.GetCurrentProcess().MainModule.FileName可获得当前执行的exe的文件名。但是这个方法得到的仅仅是文件名,如果程序运行期间没有切换工作目录,那么可以调用System.IO.Path的方法获取绝对路径。但是当前目录同样可以通过Environment.Curre
获取程序路径
wjr2jwf的专栏
04-01 354
string str1 =Process.GetCurrentProcess().MainModule.FileName;//可获得当前执行的exe 的文件名。 string str2=Environment.CurrentDirectory;//获取和设置当前目录(即该进程启动的目录)的完限定路径。//备注  按照定义,如果该进程在本地或网络驱动器的根目录启动,则此属性的值为驱动器名称
嵌入式Linux内核驱动开发详解
在【标题】"Linux内核驱动开发",我们可以提取出以下几个核心知识点: 1. **嵌入式Linux系统概述**: - **发展历程**:自1991年至今,Linux内核经历了多个版本的迭代,从最初的单CPU支持到多平台、多对称处理器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值