通过进程id获取用户名

最新推荐文章于 2023-05-21 11:58:09 发布
最新推荐文章于 2023-05-21 11:58:09 发布
阅读量860 收藏 1
点赞数
分类专栏: windows inners 文章标签: windows 驱动开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pureman_mega/article/details/128430612
版权

在一个样本中看到的:通过进程id获取对应的用户名,来确定需要注入的目标进程。通过ProcessHacker工具可以查看进程对应的用户名,如下图:

 可以看到,User name这一栏里面,有NT AUTHORITY\SYSTEM,NT AUTHORITY\LOCAL SERVICE,HKS\1909等。不同的用户名拥有不同的权限。下面的代码获取的用户名与ProcessHacker的结果有一点不同。下面代码获取的是SYSTEM,LOCAL SERVICE,1909等,如下图:

 实际结果中SYSTEM对应的是HKS$(HKS是设备名称,后面跟着'$‘,来表示SYSTEM);

 

其他的LOCAL SERVICE,1909是一样的。

代码如下:

NTSTATUS GetProcessUserName(HANDLE pid)
{
    NTSTATUS status = STATUS_SUCCESS;
    PEPROCESS TargetProcess = NULL;
    PACCESS_TOKEN ProcessToken = NULL;
    LUID AuthenticationId = { 0 };
    PSecurityUserData UserInfo = NULL;

    DbgPrint("pid:%d\n", pid);

    status = PsLookupProcessByProcessId((HANDLE)pid, &TargetProcess);
    if (NT_SUCCESS(status))
    {
        ProcessToken = PsReferencePrimaryToken(TargetProcess);
        if (ProcessToken)
        {
            status = SeQueryAuthenticationIdToken(ProcessToken, &AuthenticationId);



            if (NT_SUCCESS(status))
            {
                status = GetSecurityUserInfo(&AuthenticationId, UNDERSTANDS_LONG_NAMES, &UserInfo);

                if (NT_SUCCESS(status))
                {
                    DbgPrint("UserInfo->UserName:%wZ\n", &(UserInfo->UserName));

                    LsaFreeReturnBuffer(UserInfo);
                }
                else
                {
                    DbgPrint("GetSecurityUserInfo fails,status:0x%x\n", status);
                }
            }
            else
            {
                STATUS_ACCESS_DENIED;
                DbgPrint("SeQueryAuthenticationIdToken fails,status:0x%x\n", status);
            }
        }
    }
    else
    {
        DbgPrint("PsLookupProcessByProcessId fails,status:0x%x\n", status);
    }


    if (ProcessToken)
    {
        PsDereferencePrimaryToken(ProcessToken);
    }
    if (TargetProcess)
    {
        ObDereferenceObject(TargetProcess);
    }

    return status;
}

pureman_mega
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
通过进程名称获取进程ID、通过子进程ID获取其父进程ID及通过进程ID获取进程名称
shushuidewoniu的专栏
07-23 3181
最近一个MFC项目里有个需求是:需要根据一个进程名称获取其父进程名称。于是查了些资料整理出来份代码,并进行了些测试结果OK。直接拿来即可当工具类使用,以下贴上代码: 头文件GetProcessInfo.h: #pragma once #include #define ProcessBasicInformation 0 typedef struct { DWORD ExitStatus;
C# 获取系统进程用户名
12-31
需要添加对 System.Management.dll 的引用 代码如下:using System.Diagnostics; using System.Management;static void Main... Console.WriteLine(GetProcessUserName(p.Id)); } Console.ReadKey(); }private stat
获取所有进程用户名(包括NETWORK SERVICE和LOCAL SERVICE)
oldmtn的专栏
02-13 3318
以下代码实现获取某个进程所属的用户名,比如RavMonD.exe的进程PID是1288,那么修改这条语句就OK GetProcessUser(1288,&bs);它的获取结果是:SYSTEM。 ----------------------------------------------------- #include #include #include #include typedef struct _UNICODE_STRING {          USHORT Length;             
通过进程ID得到进程
weixin_34074740的博客
09-20 357
在内核中,通过进程ID,得到进程名称,有多种方法。 我使用了两种方法,第一种是使用ZwOpeProcess得到句柄 然后ObReferenceObjectByHandle函数得到PEPROCESS结构,然后 char *ProcessName = (char*)EProcess + 0x174; 第二种方法是得到PEPROCESS结构之后,使用PsGetProcess...
windows下打开服务,查看服务的启动
虎康的博客
07-18 695
同时按windows键(就是Windows图标那个键)和R键 在弹出框中输入 services.msc 之后会弹出服务窗口
Linux 用户账号管理 - 查看进程是以哪个用户身份在运行
鹅不糊涂的博客
05-21 4427
学会查看进程是以哪个用户身份在运行,对于Linux系统的管理来说非常重要。本文将向你介绍如何在Linux中查看进程所有者、PID和状态等详细信息,帮助你更好地管理你的Linux系统。是Linux初学者必备的基础知识哦!
【API】获取所有进程用户名
weixin_34343689的博客
02-01 479
#include <WtsApi32.h> #pragma comment(lib,"WtsApi32.lib") SID_NAME_USE sUse; WTS_PROCESS_INFO *pProInfo,*pTemp; DWORD dwRes; DWORD dwSize = MAX_PATH; WCH...
根据进程ID获取进程用户名
07-06
根据进程ID号,获取进程用户名,包括系统用户名,系统登录这用户名,LOCALSERVICE NETWORKSERVICE 都可以获取
获取进程用户名.txt
11-03
获取进程用户名.txt
android中SharedPreferences实现存储用户名功能
08-30
- **通过Context的getSharedPreferences()**:需要传入两个参数,第一个参数是文件名,第二个参数是操作模式,如`MODE_PRIVATE`(默认,私有模式)或`MODE_MULTI_PROCESS`(多进程模式)。 - **通过Activity的...
在Spring Security中获取当前用户信息
weixin_42296581的博客
06-05 6004
 最近在学习使用Spring Security 3,搜索了一些有用的东西,记录下来引用来源:http://blog.163.com/tarcy_tw/blog/static/317235320108118119601/如果只是想从页面上显示当前登陆的用户名,可以直接使用Spring Security提供的taglib。&lt;%@ taglib prefix="sec" uri="http://w...
windows驱动里通过进程ID获得进程名和所属用户
fanxiushu的专栏
07-03 6563
windows驱动中,通过 进程ID,可以获得进程完整路径和进程名, 也可以获得进程所属的用户名。 以下代码是整理出来完成这些功能的 两个实现函数。 // By fanxiushu 2013-07-02 ///获得进程名 NTSTATUS get_process_name(int pid, PWCHAR* out_fullpath, PWCHAR* out_name
springboot集成spring-security实现httpbasic
weixin_44281922的博客
06-27 682
httpbasic,spring security,spring boot
进程1:由进程ID获取进程名字
xh_xinhua的博客
09-07 774
#define SVP_RCHMI_PROCESS_NAME "rc_hmi" static pid_t process_pid = 1000; int main() { FILE *fp_handle; SVPChar buf[128] = {'\0'}; SVPChar cmd[128] = {'\0'}; SVPChar dest_path[1
Windows下根据进程id获得进程
MusicMan
05-16 4637
//根据进程id获得进程名 wstring GetModuleName(DWORD dwPid) { HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,dwPid); if (INVALID_HANDLE_VALUE == hSnapshot) { return L""; } PROCESSENTRY32 ...
获取进程用户名
reaL's Blog
05-05 7086
枚举进程,并获取进程用户名
C语言驱动如何获取进程用户名
最新发布
05-27
在 C 语言驱动中,可以使用以下步骤获取当前进程用户名: 1. 获取当前进程进程 ID(PID)。 2. 使用内核函数 `find_task_by_vpid()` 获取进程的 task_struct 结构体指针。 3. 在 task_struct 结构体中,可以通过 `cred` 成员获取进程的用户凭证(cred)结构体指针。 4. 在用户凭证结构体中,可以通过 `uid` 成员获取用户 ID,通过 `gid` 成员获取用户组 ID。 5. 使用内核函数 `get_user()` 或 `get_group()` 根据用户 ID 和用户组 ID 获取对应的用户名和用户组名。 注意:以上步骤仅适用于内核模块或驱动程序中,不能在用户空间的普通应用程序中使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值