判断进程是否是.Net Core及其版本

最新推荐文章于 2022-04-28 14:16:45 发布
最新推荐文章于 2022-04-28 14:16:45 发布
阅读量527 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q6771020/article/details/118165509
版权

阅读Process Hacker的代码发现存在两种做法;

参见函数 \phlib\native.c PhGetProcessIsDotNetEx 

1、

NtOpenSection尝试打开 L"\\BaseNamedObjects\\Cor_Private_IPCBlock_v4_" .Net Core 4.0

NtOpenSection尝试打开 L"\\BaseNamedObjects\\Cor_Private_IPCBlock_" .Net Core 2.0

NtOpenFile 打开 L"\\Device\\NamedPipe\\" ,NtQueryDirectoryFile遍历当前打开的命名管道,是否存在类似 L"dotnet-diagnostic-$pid$" 的,则为 .Net Core 3.0 / 4.0

NTSTATUS PhGetProcessIsDotNetEx(
    _In_ HANDLE ProcessId,
    _In_opt_ HANDLE ProcessHandle,
    _In_ ULONG InFlags,
    _Out_opt_ PBOOLEAN IsDotNet,
    _Out_opt_ PULONG Flags
    )
{
    if (InFlags & PH_CLR_USE_SECTION_CHECK)
    {
        NTSTATUS status;
        HANDLE sectionHandle;
        SIZE_T returnLength;
        OBJECT_ATTRIBUTES objectAttributes;
        UNICODE_STRING objectNameUs;
        PH_STRINGREF objectNameSr;
        PH_FORMAT format[2];
        WCHAR formatBuffer[0x80];

        // Most .NET processes have a handle open to a section named
        // \BaseNamedObjects\Cor_Private_IPCBlock(_v4)_<ProcessId>. This is the same object used by
        // the ICorPublish::GetProcess function. Instead of calling that function, we simply check
        // for the existence of that section object. This means:
        // * Better performance.
        // * No need for admin rights to get .NET status of processes owned by other users.

        // Version 4 section object

        PhInitFormatS(&format[0], L"\\BaseNamedObjects\\Cor_Private_IPCBlock_v4_");
        PhInitFormatU(&format[1], HandleToUlong(ProcessId));

        if (PhFormatToBuffer(format, RTL_NUMBER_OF(format), formatBuffer, sizeof(formatBuffer), &returnLength))
        {
            objectNameSr.Length = returnLength - sizeof(UNICODE_NULL);
            objectNameSr.Buffer = formatBuffer;

            PhStringRefToUnicodeString(&objectNameSr, &objectNameUs);
        }
        else
        {
            RtlInitEmptyUnicodeString(&objectNameUs, NULL, 0);
        }

        InitializeObjectAttributes(
            &objectAttributes,
            &objectNameUs,
            OBJ_CASE_INSENSITIVE,
            NULL,
            NULL
            );
        status = NtOpenSection(
            &sectionHandle,
            SECTION_QUERY,
            &objectAttributes
            );

        if (NT_SUCCESS(status) || status == STATUS_ACCESS_DENIED)
        {
            if (NT_SUCCESS(status))
                NtClose(sectionHandle);

            if (IsDotNet)
                *IsDotNet = TRUE;

            if (Flags)
                *Flags = PH_CLR_VERSION_4_ABOVE;

            return STATUS_SUCCESS;
        }

        // Version 2 section object

        PhInitFormatS(&format[0], L"\\BaseNamedObjects\\Cor_Private_IPCBlock_");
        PhInitFormatU(&format[1], HandleToUlong(ProcessId));

        if (PhFormatToBuffer(format, RTL_NUMBER_OF(format), formatBuffer, sizeof(formatBuffer), &returnLength))
        {
            objectNameSr.Length = returnLength - sizeof(UNICODE_NULL);
            objectNameSr.Buffer = formatBuffer;

            PhStringRefToUnicodeString(&objectNameSr, &objectNameUs);
        }
        else
        {
            RtlInitEmptyUnicodeString(&objectNameUs, NULL, 0);
        }

        InitializeObjectAttributes(
            &objectAttributes,
            &objectNameUs,
            OBJ_CASE_INSENSITIVE,
            NULL,
            NULL
            );
        status = NtOpenSection(
            &sectionHandle,
            SECTION_QUERY,
            &objectAttributes
            );

        if (NT_SUCCESS(status) || status == STATUS_ACCESS_DENIED)
        {
            if (NT_SUCCESS(status))
                NtClose(sectionHandle);

            if (IsDotNet)
                *IsDotNet = TRUE;

            if (Flags)
                *Flags = PH_CLR_VERSION_2_0;

            return STATUS_SUCCESS;
        }

        // .NET Core 3.0/.NET 5.0

        PhInitFormatS(&format[0], L"dotnet-diagnostic-");
        PhInitFormatU(&format[1], HandleToUlong(ProcessId));

        if (PhFormatToBuffer(format, RTL_NUMBER_OF(format), formatBuffer, sizeof(formatBuffer), &returnLength))
        {
            HANDLE directoryHandle;
            IO_STATUS_BLOCK isb;
            ULONG pipeNameHash;
            PH_ARRAY pipeArray;

            objectNameSr.Length = returnLength - sizeof(UNICODE_NULL);
            objectNameSr.Buffer = formatBuffer;
            pipeNameHash = PhHashStringRef(&objectNameSr, TRUE);

            RtlInitUnicodeString(&objectNameUs, DEVICE_NAMED_PIPE);
            InitializeObjectAttributes(
                &objectAttributes,
                &objectNameUs,
                OBJ_CASE_INSENSITIVE,
                NULL,
                NULL
                );

            status = NtOpenFile(
                &directoryHandle,
                GENERIC_READ | SYNCHRONIZE,
                &objectAttributes,
                &isb,
                FILE_SHARE_READ | FILE_SHARE_WRITE,
                FILE_SYNCHRONOUS_IO_NONALERT
                );

            if (NT_SUCCESS(status))
            {
                PhInitializeArray(&pipeArray, sizeof(PHP_PIPE_NAME_HASH), 512);

                status = PhEnumDirectoryFile(
                    directoryHandle,
                    NULL,
                    PhpDotNetCorePipeHashCallback,
                    &pipeArray
                    );

                if (NT_SUCCESS(status))
                {
                    status = STATUS_UNSUCCESSFUL;

                    for (ULONG i = 0; i < pipeArray.Count; i++)
                    {
                        PPHP_PIPE_NAME_HASH entry = PhItemArray(&pipeArray, i);

                        if (entry->Hash == pipeNameHash)
                        {
                            status = STATUS_SUCCESS;
                            break;
                        }
                    }
                }

                PhDeleteArray(&pipeArray);
                NtClose(directoryHandle);
            }

            // NOTE: The .NET 5 process diagnostics are disabled when querying the pipe file attributes. The pipe will return STATUS_PIPE_NOT_AVAILABLE
            // for all callers until restarting the process. This also prevents dotnet-counters, dotnet-diagnostics and other tools from working. (dmex)
            //
            //FILE_BASIC_INFORMATION fileInfo;
            //
            //objectNameSr.Length = returnLength - sizeof(UNICODE_NULL);
            //objectNameSr.Buffer = formatBuffer;
            //
            //PhStringRefToUnicodeString(&objectNameSr, &objectNameUs);
            //InitializeObjectAttributes(
            //    &objectAttributes,
            //    &objectNameUs,
            //    OBJ_CASE_INSENSITIVE,
            //    NULL,
            //    NULL
            //    );
            //
            //status = NtQueryAttributesFile(&objectAttributes, &fileInfo)
            //status == STATUS_PIPE_NOT_AVAILABLE ? status = STATUS_SUCCESS;
        }

        if (NT_SUCCESS(status))
        {
            if (IsDotNet)
                *IsDotNet = TRUE;
            if (Flags)
                *Flags = PH_CLR_VERSION_4_ABOVE | PH_CLR_CORE_3_0_ABOVE;

            return STATUS_SUCCESS;
        }

        return status;
    }
    else
    {
        NTSTATUS status;
        HANDLE processHandle = NULL;
        ULONG flags = 0;
#ifdef _WIN64
        BOOLEAN isWow64;
#endif

        if (!ProcessHandle)
        {
            if (!NT_SUCCESS(status = PhOpenProcess(&processHandle, PROCESS_QUERY_LIMITED_INFORMATION | PROCESS_VM_READ, ProcessId)))
                return status;

            ProcessHandle = processHandle;
        }

#ifdef _WIN64
        if (InFlags & PH_CLR_NO_WOW64_CHECK)
        {
            isWow64 = !!(InFlags & PH_CLR_KNOWN_IS_WOW64);
        }
        else
        {
            isWow64 = FALSE;
            PhGetProcessIsWow64(ProcessHandle, &isWow64);
        }

        if (isWow64)
        {
            flags |= PH_CLR_PROCESS_IS_WOW64;
            status = PhEnumProcessModules32(ProcessHandle, PhpIsDotNetEnumProcessModulesCallback, &flags);
        }
        else
        {
#endif
            status = PhEnumProcessModules(ProcessHandle, PhpIsDotNetEnumProcessModulesCallback, &flags);
#ifdef _WIN64
        }
#endif

        if (processHandle)
            NtClose(processHandle);

        if (IsDotNet)
            *IsDotNet = (flags & PH_CLR_VERSION_MASK) && (flags & (PH_CLR_MSCORLIB_PRESENT | PH_CLR_JIT_PRESENT));

        if (Flags)
            *Flags = flags;

        return status;
    }
}

2、枚举模块


BOOLEAN NTAPI PhpIsDotNetEnumProcessModulesCallback(
    _In_ PLDR_DATA_TABLE_ENTRY Module,
    _In_opt_ PVOID Context
    )
{
    static PH_STRINGREF clrString = PH_STRINGREF_INIT(L"clr.dll");
    static PH_STRINGREF clrcoreString = PH_STRINGREF_INIT(L"coreclr.dll");
    static PH_STRINGREF mscorwksString = PH_STRINGREF_INIT(L"mscorwks.dll");
    static PH_STRINGREF mscorsvrString = PH_STRINGREF_INIT(L"mscorsvr.dll");
    static PH_STRINGREF mscorlibString = PH_STRINGREF_INIT(L"mscorlib.dll");
    static PH_STRINGREF mscorlibNiString = PH_STRINGREF_INIT(L"mscorlib.ni.dll");
    static PH_STRINGREF clrjitString = PH_STRINGREF_INIT(L"clrjit.dll");
    static PH_STRINGREF frameworkString = PH_STRINGREF_INIT(L"\\Microsoft.NET\\Framework\\");
    static PH_STRINGREF framework64String = PH_STRINGREF_INIT(L"\\Microsoft.NET\\Framework64\\");
    PH_STRINGREF baseDllName;

    if (!Context)
        return TRUE;

    PhUnicodeStringToStringRef(&Module->BaseDllName, &baseDllName);

    if (
        PhEqualStringRef(&baseDllName, &clrString, TRUE) ||
        PhEqualStringRef(&baseDllName, &mscorwksString, TRUE) ||
        PhEqualStringRef(&baseDllName, &mscorsvrString, TRUE)
        )
    {
        PH_STRINGREF fileName;
        PH_STRINGREF systemRoot;
        PPH_STRINGREF frameworkPart;

#ifdef _WIN64
        if (*(PULONG)Context & PH_CLR_PROCESS_IS_WOW64)
        {
#endif
            frameworkPart = &frameworkString;
#ifdef _WIN64
        }
        else
        {
            frameworkPart = &framework64String;
        }
#endif

        PhUnicodeStringToStringRef(&Module->FullDllName, &fileName);
        PhGetSystemRoot(&systemRoot);

        if (PhStartsWithStringRef(&fileName, &systemRoot, TRUE))
        {
            fileName.Buffer = PTR_ADD_OFFSET(fileName.Buffer, systemRoot.Length);
            fileName.Length -= systemRoot.Length;

            if (PhStartsWithStringRef(&fileName, frameworkPart, TRUE))
            {
                fileName.Buffer = PTR_ADD_OFFSET(fileName.Buffer, frameworkPart->Length);
                fileName.Length -= frameworkPart->Length;

                if (fileName.Length >= 4 * sizeof(WCHAR)) // vx.x
                {
                    if (fileName.Buffer[1] == L'1')
                    {
                        if (fileName.Buffer[3] == L'0')
                            *(PULONG)Context |= PH_CLR_VERSION_1_0;
                        else if (fileName.Buffer[3] == L'1')
                            *(PULONG)Context |= PH_CLR_VERSION_1_1;
                    }
                    else if (fileName.Buffer[1] == L'2')
                    {
                        *(PULONG)Context |= PH_CLR_VERSION_2_0;
                    }
                    else if (fileName.Buffer[1] >= L'4' && fileName.Buffer[1] <= L'9')
                    {
                        *(PULONG)Context |= PH_CLR_VERSION_4_ABOVE;
                    }
                }
            }
        }
    }
    else if (
        PhEqualStringRef(&baseDllName, &mscorlibString, TRUE) ||
        PhEqualStringRef(&baseDllName, &mscorlibNiString, TRUE)
        )
    {
        *(PULONG)Context |= PH_CLR_MSCORLIB_PRESENT;
    }
    else if (PhEqualStringRef(&baseDllName, &clrjitString, TRUE))
    {
        *(PULONG)Context |= PH_CLR_JIT_PRESENT;
    }
    else if (PhEqualStringRef(&baseDllName, &clrcoreString, TRUE))
    {
        *(PULONG)Context |= PH_CLR_JIT_PRESENT;
    }

    return TRUE;
}

Beyond Your Dad
关注
.net面试题大全(有答案)
霍力强的专栏
02-21 2230
1 (1)面向对象的语言具有__继承性_性、_封装性_性、_多态性 性。 (2)能用foreach遍历访问的对象需要实现 _ IEnumerable 接口或声明_ GetEnumerator 方法的类型。1.c#中的三元运算符是__?:__ 2.当整数a赋值给一个object对象时,整数a将会被__装箱___? 3.类成员有__3__种可访问形式? 4.public static const in
命令行查询.NETCore 版本
最新发布
讯达网络科技的博客
02-18 524
命令行查询.NETCore 版本
命令行查看.net core版本
weixin_34248258的博客
01-17 1万+
2019独角兽企业重金招聘Python工程师标准>>> ...
判定一个 native 程序二进制文件是否为:.NET CoreRT 编译
liulilittle的博客
03-07 278
工具(一):记事本 全文搜索; 1. System. 关键字 2. F:\workspace\_work 关键字,例如:“F:\workspace\_work\1\s\src\Common\src\System\SR.cs” 3. .cs 关键字 4. GCBreakOnOOM 关键字 工具(二): 1. objdump -tT -C 程序文件 | grep System. 2. nm -C Exchanger | grep System. .NET Native 程序符号表上面会存在大量
怎么知道dll文件是哪个net版本
aimengge6193的博客
08-10 643
有时候经常需要查看.dll所使用的.net版本, 因为根本不知道它是使用了1.1还是2.0, 或者是3.0, 这个时候如果需要打开vs.net那又太麻烦, 所以经过长久的摸索, 我找到了一个比较简便的方法.就是SDK自带的ildasm.exe工具, 这是一个反编译工具, 可以查看编译好后的dll的文件.如果你的vs.net安装在D盘, 那这个文件一般在 D:/Program Files/...
NT中直接访问物理内存
11-13 3573
P.bhw98{ PADDING-RIGHT: 0px; PADDING-LEFT: 0px; FONT-SIZE: 9pt; PADDING-BOTTOM: 0px; MARGIN: 10px 0px 5px; LINE-HEIGHT: normal; PADDING-TOP: 0px; FONT-FAMIL
FlowChart.Net Pro v3.2.3 特别版
10-27
FlowChart.Net Pro v3.2.3 是一款专为.NET开发者设计的专业工作流和进程图表创建工具。这个特别版可能包含额外的功能或者无限制的许可证,使得用户能够充分利用其强大的图表构建能力。以下是对这款控件及其核心特点...
csharp进程查看器源码demo
04-26
【C# 进程查看器源码Demo】是基于.NET开发环境的一个实用工具,它允许用户对计算机上的进程进行操作,包括添加、删除、修改和查询。这个项目对于那些正在学习C#编程语言,尤其是对系统级编程和进程管理感兴趣的...
混合静态和动态类型优化的StaDyn编程语言在.Net平台上的性能评估
软件X 20(2022)101211原始软件出版物StaDyn编程语言Francisco Ortina,b,juice,Miguel Garciaa,Baltasar Garcia Perez-Schofieldc,Jose Quirogaaa奥维耶多大学计算机科学系,Federico Garcia Lorca 18,33007...
Nt内核函数大全
huang714的专栏
04-29 1537
Nt内核函数大全 NtLoadDriver 服务控制管理器加载设备驱动. NtUnloadDriver 服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice 加载新驱动文件. NtQueryIntervalProfile 返回数据. NtSetIntervalProfile 指定采样间隔. NtStartProfile 开始取样. NtStopProfile 停止采样...
漫谈兼容内核之十六:Windows的进程间通信
周寅的专栏
03-13 2503
 对于任何一个现代的操作系统,进程间通信都是其系统结构的一个重要组成部分。而说到Windows的进程(线程)间通信,那就要看是在什么意义上说了。因为正如“Windows的跨进程操作”那篇漫谈中所述,在Windows上一个进程甚至可以“打开”另一个进程,并在对方的用户空间分配内存、再把程序或数据拷贝过去,最后还可以在目标进程中创建一个线程、让它为所欲为。显然,这已经不只是进程间的“通信”,而是进程
Windows NT内核函数大全
qq_42577465的博客
06-06 1646
Nt内核函数大全 NtLoadDriver服务控制管理器加载设备驱动. NtUnloadDriver服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice加载新驱动文件. NtQueryIntervalProfile返回数据. NtSetIntervalProfile指定采样间隔. NtStartProfile开始取样. NtStopProfile停止采样...
通过对系统分派表的直接还原,防御内核本地API钩子(翻译)
taianmonkey的专栏
04-18 2432
通过对系统分派表的直接还原,防御内核本地API钩子介绍win32内核rootkit通过挂钩本地内核的API去修改系统的行为。这项技术通常是通过修改内核中的系统服务分派表(System Service Dispatch Table)来实现的。这样的修改确保了通过rootkit安装的一个钩子函数先于本地原始的API被调用。钩子函数通常调用本地原始的API并在返回给用户空间程序之前修改其输出。这
.NET Core.NET Framework 的不同
热门推荐
weixin_50498482的博客
04-28 1万+
一、各自优势 .NET Core的优势: 如果您正在构建一个新应用程序并在 .NET Core.NET Framework 之间进行选择,那么 .NET Core 是您的最佳选择。 微软刚刚发布了 .NET Core v 3.0,它是 .NET Core 的一个大大改进的版本。如果您想为未来学习和构建,那么 .NET Core 就是您的最佳选择。 .NET 3.0 现在支持 WPF 和 Windows 窗体。.NET Core 3.0 还支持 UWP、WPF 和 Windows 窗..
分析360安全卫士HOOK
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
10-24 2019
分析了一下360安全卫士的HOOK(一)  分析了一下360的HOOK,通过直接hook KiFastCallEntry实现对所有系统调用的过滤。  我分析的版本如下:  HookPort.sys版本: 1, 0, 0, 1005  HookPort.sys的TimeStamp: 4A8D4AB8  简单说明:360把所有被hook的系统服务的过滤函数放在了一个表里,索引即对应的系统服务
用友软件复试笔试题解析:进程线程、内存管理与COM
"这篇资料包含了用友软件的复试和笔试题目,主要涉及计算机科学与技术领域的基础知识,包括进程与线程的区别、测试方法、内存管理、.Net框架及其安全性、客户端与Web服务交互、C/C++编程语言特性、COM线程模型、IA32...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值