zwCreateProcess获得目标进程名

最新推荐文章于 2023-09-27 13:48:05 发布
最新推荐文章于 2023-09-27 13:48:05 发布
阅读量3k 收藏 1
点赞数 1
分类专栏: 驱动 文章标签: object path null string 测试 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/trents/article/details/7255522
版权

参数KeyHandle 为SectionHandle。

解决了文件名因为缓冲机制导致的修改文件名,但获得的文件名是老名的问题。

有两种文件对象控制区域,DataSection 和 ImageSection

ImageSection :文件映像,进程退出时没被释放,而被放到空闲内存区域,以被重用
DataSection   :  数据副本, 进程退出,被释放

在获得文件对象方法中,添加了

 pFile = ((PFILE_OBJECT)pFile)->SectionObjectPointer->DataSectionObject;
 pFile =(PVOID)*(ULONG   *)((char   *)pFile+36);  

在2003上测试过,vista以上版本还没测试。


但还有一点疑问,在打开文件时,记录了文件FileObject,这里得到的FileObject还是和打开时不同,还有映像的FileObject也和打开对象不同,比较奇怪。


NTSTATUS   GetFullName(HANDLE     KeyHandle,char   *fullname)   

{   
    NTSTATUS   ns;   
    PVOID   pKey=NULL,pFile=NULL;   
    UNICODE_STRING                   fullUniName;   
    ANSI_STRING                           akeyname;   
    ULONG   actualLen;   
    UNICODE_STRING   dosName;   
    //char name_c[260] = {0};
//    PVOID datafile;
    
    UNREFERENCED_PARAMETER(actualLen);
    fullUniName.Buffer=NULL;   
    fullUniName.Length=0;   
    fullname[0]=0x00;   
    ns=   ObReferenceObjectByHandle(   KeyHandle,   0,   NULL,   KernelMode,   &pKey,   NULL   )   ;   
    if(   !NT_SUCCESS(ns))   
    {
        return   ns;   
    }

    
    
    fullUniName.Buffer   =   ExAllocatePool(   PagedPool,   MAX_PATH_LEN*2);//1024*2   
    fullUniName.MaximumLength   =   MAX_PATH_LEN*2;   
    
    __try   
    {   
        // KdPrint(("GetFullName 0\r\n"));
        pFile=(PVOID)*(ULONG   *)((char   *)pKey+20);   
        pFile=(PVOID)*(ULONG   *)((char   *)pFile);   
        pFile=(PVOID)*(ULONG   *)((char   *)pFile+36);   

        //add------ not test for vista
         //因为有缓存机制,需要重datasection中获得文件名
        pFile = ((PFILE_OBJECT)pFile)->SectionObjectPointer->DataSectionObject;
        pFile =(PVOID)*(ULONG   *)((char   *)pFile+36);   
        //added-------
        
        
        ObReferenceObjectByPointer(pFile,   0,   NULL,   KernelMode);   
        
        
        //RtlVolumeDeviceToDosName(((PFILE_OBJECT)pFile)->DeviceObject,&dosName);   
        IoVolumeDeviceToDosName(((PFILE_OBJECT)pFile)->DeviceObject,&dosName);   
        //ns=ObQueryNameString(   pFile,   fullUniName,   MAX_PATH_LEN,   &actualLen   );   
        RtlCopyUnicodeString(&fullUniName,   &dosName);   
        RtlAppendUnicodeStringToString(&fullUniName,&((PFILE_OBJECT)pFile)->FileName);   
        ObDereferenceObject(pFile);   
        ObDereferenceObject(pKey   );   
        
        RtlUnicodeStringToAnsiString(   &akeyname,   &fullUniName,   TRUE   );   
        if(akeyname.Length<MAX_PATH_LEN)     
        {   
            memcpy(fullname,akeyname.Buffer,akeyname.Length);   
            fullname[akeyname.Length]=0x00;   
        }   
        else   
        {   
            memcpy(fullname,akeyname.Buffer,MAX_PATH_LEN);   
            fullname[MAX_PATH_LEN-1]=0x00;   
        }   
        
        RtlFreeAnsiString(   &akeyname   );   
        ExFreePool(dosName.Buffer);   
        ExFreePool(   fullUniName.Buffer   );   
        
        return   STATUS_SUCCESS;   
        
    }   
    
    __except(1)   
    {   
           KdPrint(("GetFullName except\r\n"));
           if(fullUniName.Buffer)   ExFreePool(   fullUniName.Buffer     );   
           if(pKey)   ObDereferenceObject(pKey   );   
           return   STATUS_SUCCESS;   
           
    }   
    


trents
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
修改目标进程的父进程
Richard的专栏
03-10 7430
 来源:http://pjf.blogone.net作者:pjf(jfpan20000@sina.com)  让小师弟测一下1.06的进程规则,他试了试问:“为什么里面有源进程和父进程两项?不就是指创建目标进程的那个进程,它们不是一个意思吗?”  因为很简单,略略回答了一下,因为好多天没在http://pjf.blogone.net上添东西了,敲下来充数,有点不好意思。   windows下的
通过Hook ZwCreateProcess获取进程全路径(缓存问题解决方案)
博客模版
06-01 2549
环境:WinXP 我们在拦截进程启动时,会去拦截ZwCreateProcess函数,然后在中间获取启动进程的了全路径,判断进程是否合法。 首先看下ZwCreateProcess函数的原型如下: 其中我们主要是利用SectionHandle参数,通过ObReferenceObjectByHandle获取文件对象,然后再利用ObQueryNameString函数进行刷新文件缓存
使用Native API 创建进程
misterliwei的专栏
08-18 5452
<!--v/:* {behavior:url(#default#VML);}o/:* {behavior:url(#default#VML);}w/:* {behavior:url(#default#VML);}.shape {behavior:url(#default#VML);}--> Normal 0 7.8 磅 0 2
ring0层下实现的文件强制删除
zz_strive_2012的专栏
07-21 484
文件强删 在日常生活使用电脑的过程中,遇到删不掉的文件的时候,我们总会通过一些软件提供的强制删除文件功能来删除顽固的文件。文件强删技术对于杀软来说是清楚病毒木马的武器,在扫描器检测出恶意文件的时候,就需要强删功能来清除恶意文件。而对于病毒木马来说,反过来可以用强删技术来强制删除系统保护文件或是受杀软保护的文件。 本文将会介绍文件强删技术,即使文件正在运行,也能强制删除本地文件。 实现过程 当文件是PE文件而且已经被加载到内存中的时候,正常情况下是无法通过资源管理器explorer.exe来删除本地文
Windows驱动开发技术详解第六章(Windows内核函数)
冰糖葫芦的夏天的博客
02-28 297
字符串操作 DDK中CHAR对应char,WCHAR对应wchar_t DDK中也是用strcpy,sprintf,strcat等操作字符串,但并不推荐使用 这些字符串操作函数被ntoskrsl.exe导出 DDK推荐使用功能相同的宏 DDK不鼓励使用C语言的字符串,建议使用ANSI_STRING和UNICODE_STRING typedef struct _STRING { USHORT Length; //字符串的长度 USHORT MaximumLength; //字符串缓冲区的最大长度 P
HideProcessHookMDL.rar_HideProcessHookMDL_ROOT_进程隐藏
09-24
在这里,其目标是找到与进程管理相关的系统服务,如 ZwCreateProcessZwOpenProcess,然后在这些服务上调设钩子,当有以"_root_"开头的进程创建时,钩子代码会改变其可见性,使得它们在任务管理器等工具中不可见...
易语言驱动进程保护源码-易语言
06-13
通过这种方式,驱动可以防止未经授权的程序对目标进程进行操作。 3. **系统调用拦截**:在Windows中,驱动程序可以通过I/O控制请求(IOCTL)或系统调用来实现对其他进程的控制。源码中可能包括了对` ...
SSDT钩子 隐藏进程_SSDT HOOK没用汇编代码修改CR0的第16位,修改SSDT进程列表及进程的时间属性值.zip
01-28
例如,一个恶意程序可能通过钩住" ZwCreateProcess "服务来隐藏自己的进程,使得它不会出现在任务管理器中。 描述中提到的“没用汇编代码修改CR0的第16位”,这涉及到保护模式的切换。CR0寄存器是x86架构处理器中的...
SuperMuch-Win7/XP进程多开器.成品+源代码(驱动级)
07-02
在SuperMuch中,可能通过hook相关函数,如CreateProcessZwCreateProcess等,来实现在进程创建时的干预,从而实现多开。 至于"SuperMuch.exe"和"DuoKai.sys"这两个文件,前者很可能是程序的主执行文件,包含了...
内核层x64位全系统禁止进程创建-易语言
06-14
例如,可以hook `NtCreateProcess`或` ZwCreateProcess`等关键系统调用,当这些函数被调用时,驱动可以阻止进程的创建。 5. **日志记录和报告**:为了审计和调试,驱动应记录所有的尝试创建进程的事件,包括失败和...
扩展内核函数 PsSetCreateProcessNotifyRoutine 等的蹲坑数量
12-01
扩展内核函数 PsSetCreateProcessNotifyRoutine 等的蹲坑数量
(一)(Driver)驱动开发环境搭建(VisualStudio2022)
最新发布
Elaine的博客
09-27 2555
驱动开发环境搭建VS2022
【转】ZwCreateProcess
okmnji79513的专栏
08-27 1329
http://bbs.pediy.com/showthread.php?t=80403&highlight=%E9%A9%B1%E5%8A%A8+createprocess http://bbs.pediy.com/showthread.php?t=80179 http://hi.baidu.com/heartdbg/blog/item/eb9579deff2f0f5795ee37
内核回调中获取设备,路径,文件信息蓝屏问题
zhuhuibeishadiao
02-12 1499
最近在写一个类似procmon的框架,写完跑了一两天没有什么问题,直到windows defender的一个进程起来之后,过一会驱动必蓝屏 于是很郁闷,看堆栈都是空的,起初以为是栈被破坏了,但是代码里面没有递归等等,基本大的变量都申请了内存,看dump说是irql过高,又看了代码,我习惯都是用非分页内存,所以不存在访问内存的问题,并且代码中都是在psl级别执行的,基本都排除了,异常点是ObpQu...
windows创建进程的用户态和内核态交互----小话windows(1)
Lassewang的成长历程
04-25 1424
作者:陈曦 日期:2012-6-19 12:28:30 环境:[win7旗舰版 SP1  ; Intel i3  x86, 支持64位  ;vs2010  ; wrk-v1.2  ; Virtual PC 2007   windows 2003 server sp1 standard edition镜像 ;WinDbg 6.11.0001.404(x86) ] 转载请注明
od结构体大小_[求助]ZwCreateUserProcess第10个参数结构
weixin_36382073的博客
01-12 452
// privatetypedef enum _PS_ATTRIBUTE_NUM{PsAttributeParentProcess, // in HANDLEPsAttributeDebugPort, // in HANDLEPsAttributeToken, // in HANDLEPsAttributeClientId, // out PCLIENT_IDPsAttributeTebAddre...
读取文件和注册表句柄信息
ccx_john的专栏
10-26 1227
在编写驱动进行HOOK的时候,我们经常会需要从某参数获取相关信息,最常见的就是从进程、文件、注册表句柄中获取相关路径以进行相关保护。其中关于从进程句柄获取信息的方法我已经在《SSDT HOOK实现进程保护》一文中给出了方法,今天我们就给出文件和注册表句柄的处理方法。       下面首先看通过HOOK ZwSetInformationFile保护文件防删除的方法,这个函数的第一个参数File
windows 驱动程序创建进程
07-28
在 Windows 驱动程序中创建进程可以使用 ZwCreateProcess 或 NtCreateProcess 函数。这两个函数是内核级函数,可以在驱动程序中使用。 下面是一个简单的示例代码,展示了如何在驱动程序中使用 ZwCreateProcess 函数创建一个新的进程: ```cpp #include <ntddk.h> NTSTATUS CreateProcessInDriver() { UNICODE_STRING processPath; RtlInitUnicodeString(&processPath, L"\\SystemRoot\\System32\\notepad.exe"); OBJECT_ATTRIBUTES objectAttributes; InitializeObjectAttributes(&objectAttributes, NULL, OBJ_KERNEL_HANDLE, NULL, NULL); HANDLE processHandle; CLIENT_ID clientId; NTSTATUS status = ZwCreateProcess(&processHandle, PROCESS_ALL_ACCESS, &objectAttributes, NtCurrentProcess(), TRUE, NULL, NULL, NULL); if (NT_SUCCESS(status)) { // 成功创建进程,可以对进程进行操作 // ... ZwClose(processHandle); } return status; } NTSTATUS DriverEntry(PDRIVER_OBJECT driverObject, PUNICODE_STRING registryPath) { NTSTATUS status = CreateProcessInDriver(); if (!NT_SUCCESS(status)) { // 进程创建失败,处理错误 // ... } return status; } ``` 请注意,上述代码仅为示例,并未包含完整错误处理和其他必要的步骤。在实际的驱动程序开发中,你需要进行更多的错误处理和适应性调整,以确保代码的正确性和安全性。 另外,请务必牢记在内核级编程中的风险和挑战,确保你有足够的内核编程知识和理解,以避免对系统的不良影响或造成安全风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值