驱动层怎样获得当前进程全路径名(1)

最新推荐文章于 2018-12-16 19:18:55 发布
最新推荐文章于 2018-12-16 19:18:55 发布
阅读量1.4k 收藏
点赞数
文章标签: database struct 数据结构 module table blog
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/linux868/article/details/408629
版权

1 VXD

   在win98中文操作系统第二版试验通过,使用VTLOOLSD。需要知道如下数据结构,这些结构在<<win95

系统奥秘>>有详细介绍,可参照kendiv的blog。

1.1 进程控制结构

typedef struct _PROCESS_DATABASE {
 DWORD   Type;               //00h
 DWORD   cReference;         //04h
 DWORD   un1;                //08h
 DWORD   someEvent;          //0Ch
 DWORD   TerminationStatus;  //10h
 DWORD   un2;                //14h
 DWORD   DefaultHeap;        //18h
 DWORD   MemoryContext;      //1Ch
 DWORD   flags;              //20h
 DWORD   pPSP;               //24h
 WORD    PSPSelector;        //28h
 WORD    MTEIndex;           //2Ah
 WORD    cThreads;           //2Ch
 WORD    cNotTermThreads;    //2Eh
 WORD    un3;                //30h
 WORD    cRing0Threads;      //32h
 HANDLE  HeapHandle;         //34h
 HTASK   W16TDB;             //38h
 DWORD   MemMapFiles;        //3Ch
 PEDB    pEDB;               //40h
 PHANDLE_TABLE pHandleTable; //44h
 PPDB    ParentPDB;          //48h
 PMODREF MODREFlist;         //4Ch
 DWORD   ThreadList;         //50h
 DWORD   DebuggeeCB;         //54h
 DWORD   LocalHeapFreeHead;  //58h
 DWORD   InitialRing0ID;     //5Ch
 CRITICAL_SECTION    crst;   //60h
 DWORD   pConsole;           //84h
 DWORD   tlsInUseBits1;      //88h
 DWORD   tlsInUseBits2;      //8Ch
 DWORD   ProcessDWORD;       //90h
 PPDB    ProcessGroup;       //94h
 PMODREF pExeMODREF;         //98h 指向当前进程模块描述符的指针
 DWORD   TopExcFilter;       //9Ch
 DWORD   BasePriority;       //A0h
 DWORD   HeapOwnList;        //A4h
 DWORD   HeapHandleBlockList;//A8h
 DWORD   pSomeHeapPtr;       //ACh
 DWORD   pConsoleProvider;   //B0h
 WORD    EnvironSelector;    //B4h
 WORD    ErrorMode;          //B6H
 DWORD   pevtLoadFinished;   //B8h
 WORD    UTState;            //BCh
} *PPDB, PROCESS_DATABASE, *PPROCESS_DATABASE;

    每个进程一个PDB,PDB的地址实际就是VWIN32_GetCurrentProcessHandle()的返回值。

1.2 模块描述符

typedef struct _MODREF
{
    PMODREF         pNextModRef;    //00h
    DWORD           un1;            //04h
    DWORD           un2;            //08h
    DWORD           un3;            //0Ch
    WORD            mteIndex;       //10h 该模块在全局模块列表的索引
    WORD            un4;            //12h
    DWORD           un5;            //14h
    PVOID           ppdb;           //18h
    DWORD           un6;            //1Ch
    DWORD           un7;            //20h
    DWORD           un8;            //24h
} MODREF, *PMODREF;

   进程的每一个Module都用一个这样的结构来描述

1.3 全局模块数组

typedef struct _IMTE
{
    DWORD           un1;            //00h
    PIMAGE_NT_HEADERS   pNTHdr;     //04h
    DWORD           un2;            //08h
    PSTR            pszFileName;    //0Ch 模块全路径名
    PSTR            pszModName;     //10h
    WORD            cbFileName;     //14h
    WORD            cbModName;      //16h
    DWORD           un3;            //18h
    DWORD           cSections;      //1Ch
    DWORD           un5;            //20h
    DWORD           baseAddress;    //24h
    WORD            hModule16;      //28h
    WORD            cUsage;         //2Ah
    DWORD           offset;        //2Ch
    PSTR            pszFileName2;   //30h
    WORD            cbFileName2;    //34h
    DWORD           pszModName2;    //36h
    WORD            cbModName2;     //3Ah
} IMTE, *PIMTE;

PIMTE ImteTable[];

系统维护一个全局数组,每加载一个模块系统在该数组添加一项,反之删除一项.该全局数组的地址在我的

测试系统上保存在0xBFFCAD24里.

1.4 获得进程名

   如果使用上述结构注意使用PACK(0)来声明
  
   PPDB pdb = (PPDB)VWIN32_GetCurrentProcessHandle();
   PIMTE ** imte = (PIMTE  **)0xBFFCAD24;
   char * FullPath = ((* imte)[pdb->pExeMODREF->mteIndex])->pszFil

linux868
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
易语言 取进程路径.ec 模块
05-13
3. **进程路径**:进程的可执行文件在硬盘上的完整路径,包含了驱动器、目录和文件名。 在使用"取进程路径"函数时,我们通常需要以下几个步骤: 1. **获取进程信息**:首先,我们需要获取目标进程进程ID。这可以...
[windows 驱动] 获取当前进程
LYSM
03-25 1665
PEPROCESS ep = NULL; if (STATUS_SUCCESS == PsLookupProcessByProcessId(PsGetCurrentProcessId(), &ep)) { char* name = PsGetProcessImageFileName(ep); if (strcmp(name, "notepad.exe") == 0) { // do something ... } }
如何在驱动程序(SYS)得到当前进程的完整路径和进程名?
xstudio的专栏
05-08 2140
 首先利用PsGetCurrentProcess或IoGetCurrentProcess函数得到当前进程的句柄,这个句柄是指向_EPROCESS结构的指针,_EPROCESS的结构如下:typedef struct _EPROCESS    {    KPROCESS                     Pcb;    NTSTATUS                    
驱动获取进程名的正确方法
求索
04-29 6869
这是个古老的话题,没有技术含量,只不过看到网上很多驱动代码在获取进程名时总喜欢去读偏移 EPROCESS.ImageFileName,感觉比较误导新人。 这个方法其实很不科学,硬编码偏移带来的兼容性问题以及16字节截断的问题(Win7过后是15字节)就不用说了,关键是这个 EPROCESS.ImageFileName 其实并不靠谱。 咱们可以做个实验,随便打开一个程序,比如记事本notep
Windows 驱动获取当前进程
IamRainLiang的专栏
01-25 6867
 这是一个比较简单的问题,在 REGON 的源码可以找到实现的相关代码,我只是把它们整理封装了一下。//// Process name max length: by bytes// (This value is 16 bytes in RegMon) //#define MAX_PROC_NAME_LEN 256//// This is the offset into a KPEB of t
商业编程-源码-如何获取某个进程的主窗口以及创建进程的程序名.zip
06-23
- 调用`QueryFullProcessImageName`函数,传入进程句柄,它可以返回进程的完整可执行文件路径,包括驱动器、路径和文件名。 - 如果`QueryFullProcessImageName`不可用(可能在旧版本的Windows),可以使用`...
枚举进程和PID_枚举进程和PID_
09-30
3. **GetProcessImageFileName**: 使用进程句柄,你可以调用此函数来获取进程的可执行文件路径,这可以帮助识别进程。 4. **QueryProcessInformation**: 这个API允许你获取进程的各种信息,如进程名、优先级、...
8. Linux驱动开发-mplayer播放器开发.pdf
最新发布
07-10
这里假设有一个名为Tiny4412的开发板,声卡驱动可能包含在特定的压缩包。我们需要将压缩包解压到开发板的根文件系统,运行声卡启动脚本来启用音频输出。在播放视频时,可以使用mplayer的参数如`-zoom -x 800 -y ...
查看哪个进程打开了哪些文件(显示进程打开的文件句柄handle
10-25
句柄是进程与系统交互时使用的内部引用,不是文件的实际路径,但通过句柄,进程可以执行读写操作、关闭文件或者进行其他相关操作。 要查看进程打开的文件句柄,我们可以使用一些工具,比如题目提到的"HRSword火绒...
ring0 ssdt hook sys驱动 得到进程路径.zip
01-24
ring0 ssdt hook sys驱动 得到进程路径.zip
支持2000以后系统的驱动获取进程的详细信息如:用户名、进程路径、进程名,获取隐藏进程信息
03-29
支持2000以上系统,主要是通过驱动获取进程名称、路径和用户名,能获取到隐藏的进程
获得系统所有进程的路径
05-10
获得系统所有进程的路径献给辞职的好兄弟。。。。
热敏打印机控制程序动态库
03-25
热敏打印机控制程序动态库:打印控制程序,打印动态库,支持暂停、取消等(含源码)
在内核驱动获得当前进程路径
jianghui3132749的专栏
09-05 1619
版权所有,转载请注明出处:【在内核驱动获得当前进程路径】http://www.3600safe.com/?post=129 引用: http://www.3600safe.com/tb.php?sc=f23899&id=129   在内核驱动获得当前进程路径 作者:A盾电脑防护 ⁄ 时间:2012年08月14日 ⁄ 分类: 进程/进程对象 ⁄ 评论:
驱动获取进程路径
leon
07-19 3082
本文转自 http://xiabl.blog.ccidnet.com/blog.php?do=showone&itemid=129339&typ=blog仅作收藏  在驱动获取进程路径系统具备:WinDbg, Windows Symbol Packages (http://www.microsoft.com/whdc/devtools/debugging/symbolpkg.msp
驱动得到进程的完整路径
weixin_30337251的博客
09-02 294
在得到进程EProcess之后,对于进程完整路径的获得一般有两种方法,一种是访问的进程的PEB结构,在PEB结构保存有进程的完整路径,另一种方法就是采用访问_FILE_OBJECT的方法。   访问PEB的方法便存在线程靠挂的问题,因为运行于Ring0线程是无法去访问用户地址空间的,需要将线程暂时靠挂到目标呢进程,进而去访问进程的PEB结构。我一般都采用的访问_FILE_OBJE...
windows驱动 获取进程路径
feixi7358的博客
12-16 1790
这个是在网上找的,自己合成了一下 typedef NTSTATUS (*QUERY_INFO_PROCESS) ( __in HANDLE ProcessHandle, __in PROCESSINFOCLASS ProcessInformationClass, __out_bcount(ProcessInformationLength) PVOID ProcessInforma...
驱动获取进程完整路径名
xum2008的专栏
05-01 3632
原文地址:http://www.osronline.com/article.cfm?id=472     Over the years developers have needed or wanted to know the name of the image executing in a given process. Traditionally, this was o
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值