Windows Minifilter驱动 - 获取进程ID, 进程名字和线程ID

最新推荐文章于 2023-07-06 15:50:54 发布
最新推荐文章于 2023-07-06 15:50:54 发布
阅读量450 收藏 1
点赞数
原文链接:http://www.cnblogs.com/endenvor/p/9067933.html
版权

https://blog.csdn.net/zj510/article/details/39476171

Windows Minifilter驱动 - 获取进程ID, 进程名字和线程ID 

 

在minifilter里面可能有好几种获取调用进程id,名字和线程的办法。我这里有一种:

使用

PsSetCreateProcessNotifyRoutine 和

PsSetLoadImageNotifyRoutine

这是两个API,我们可以借助它们获取进程信息。具体看:http://msdn.microsoft.com/en-us/library/windows/hardware/ff559951(v=vs.85).aspx

 

PsSetLoadImageNotifyRoutine

可以使用这个函数设置一个通知回调,每当操作系统新加载一个影像文件的时候,回调函数会被调用。

比如在DriverEntry里面调用:

 

[cpp]  view plain  copy
 
  1. PsSetLoadImageNotifyRoutine(MyMiniFilterLoadImage);  

回调函数:

 

 

[cpp]  view plain  copy
 
  1. VOID   
  2. MyMiniFilterLoadImage( __in_opt PUNICODE_STRING FullImageName, __in HANDLE ProcessId, __in PIMAGE_INFO ImageInfo )  
  3. {  
  4.     UNREFERENCED_PARAMETER(ImageInfo);  
  5.   
  6.     if (FullImageName)  
  7.     {  
  8.         DbgPrint("MyMiniFilterLoadImage, image name: %wZ, pid: %d\n", FullImageName, ProcessId);  
  9.     }  
  10.     else  
  11.         DbgPrint("MyMiniFilterLoadImage, image name: null, pid: %d\n", ProcessId);  
  12. }  

这样,当用户新启动一个进程的时候,这个函数就会被调用,里面可以获取进程名和进程id,还有个ImageInfo。

 

 

PsSetCreateProcessNotifyRoutine

我们可以使用这个函数来设置一个回调函数。每当操作系统创建一个进程或者关闭一个进程的时候,回调都会被调用。

DriverEntry调用:

 

[cpp]  view plain  copy
 
  1. PsSetCreateProcessNotifyRoutine(MyMiniFilterProcessNotify, FALSE);  


具体回调:

 

 

[cpp]  view plain  copy
 
  1. VOID  
  2. MyMiniFilterProcessNotify(  
  3. IN HANDLE  ParentId,  
  4. IN HANDLE  ProcessId,  
  5. IN BOOLEAN  Create  
  6. )  
  7. {  
  8.     DbgPrint("MyMiniFilterProcessNotify, pid: %d, tid: %d, create: %d\n", ParentId, ProcessId, Create);  
  9. }  

 

 

IRP Event中获取进程ID和线程ID

比如在IRP_MJ_WRITE中获取:

 

[cpp]  view plain  copy
 
  1. ULONG ProcessId = FltGetRequestorProcessId(Data);  
  2. ULONG ThreadId = (ULONG)PsGetThreadId(Data->Thread);  
  3.   
  4. DbgPrint("IRP_MJ_WRITE, pid: %d, tid: %d\n", ProcessId, ThreadId);  

注意:PsGetThreadId是个未公开API。调用需要小心一些。

 

 

如果我们想在IRP回调中获取进程名字。有个办法就是在PsSetLoadImageNotifyRoutine的回调函数里面把进程名和进程ID保存下来,比如保存到一个list。这样,在IRP回调里面可以用进程ID来获取进程名。

 

取消回调

在驱动被卸载之前,需要取消回调。不然会蓝屏。比如可以在FilterUnload那里取消。

 

[cpp]  view plain  copy
 
    1. PsSetCreateProcessNotifyRoutine(MyMiniFilterProcessNotify, TRUE);  
    2.     PsRemoveLoadImageNotifyRoutine(MyMiniFilterLoadImage);  

转载于:https://www.cnblogs.com/endenvor/p/9067933.html

weixin_33955681
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
windows驱动写日志,有Zw和Flt,记录操作某一文件夹的进程
12-16
windows驱动写日志,可以获取进程的全路径(包含进程全名),有Zw系列函数的实现也有Flt系列函数的实现,用minifilter实现的
驱动获取进程名的正确方法
求索
04-29 6755
这是个古老的话题,没有技术含量,只不过看到网上很多驱动代码在获取进程名时总喜欢去读偏移 EPROCESS.ImageFileName,感觉比较误导新人。 这个方法其实很不科学,硬编码偏移带来的兼容性问题以及16字节截断的问题(Win7过后是15字节)就不用说了,关键是这个 EPROCESS.ImageFileName 其实并不靠谱。 咱们可以做个实验,随便打开一个程序,比如记事本notep
进程获取进程ID的方法及实现
fz835304205的专栏
11-22 1899
获取进程ID的方法: 我知道和实践过的有这么三种:  ps -A |grep "cmdname"| awk '{print $1}'  pidof "cmdname"  pgrep "cmdname" 这三种在bash和busybox ash里面的运行结果稍有不同, 第一种完全相同,但是因为调用命令次数较多,性能上是不行的。 第二种: pidof 只能获取程序
Windows Minifilter驱动 - 获取进程ID, 进程名字线程ID (5)
zj510的专栏
09-22 8343
minifilter里面可能有好几种获取调用进程id名字线程的办法。我这里有一种: 使用 PsSetCreateProcessNotifyRoutine 和 PsSetLoadImageNotifyRoutine 这是两个API,我们可以借助它们获取进程信息。具体看:http://msdn.microsoft.com/en-us/library/windows/hardware/
进程名取得进程ID
paradox_1_0的博客
09-08 1762
1.此处进程名是指进程可执行文件的名称(任务管理器进程列表中显示的映像名称); 2.windows下没有现成的API,实现思路采用CreateToolhelp32Snapshot函数创建进程快照然后依次遍历比较; 3.使用CreateToolhelp32Snapshot函数需要包含头文件#include<tlhelp32.h> 4.具体原理讲解: HANDLE WINAPI ...
如何从进程名获得进程ID
Tommy(凌飞)的专栏
08-24 1801
#include #include "ntifs.h"HANDLE RetrivePID( char* ProcessName ){ PEPROCESS PeProcess = NULL; PLIST_ENTRY pNextEntry, pListHead; PeProcess = PsGetCurrentProcess(); if(!PeProcess)
MiniFilter进程运行监控
02-26
MiniFilter微文件过滤框架监控程序产生的文件,备份被程序删除的文件,同时进行注册表监控。VS2008+WinDDK7600编译。
Scavenger:minifilter驱动程序会保留所有修改和删除的文件
05-21
它将所有已修改的文件和一些要删除的文件复制到C:\ Windows \ Scavenger \目录。 重要的 它最初是为了使自己熟悉微型过滤器驱动程序而开发的,不太可能比使用其他开放源代码工具(例如或具有任何明显的优势。 ...
windows内科安全与驱动开发,minifilter禁止txt文件打开demo
08-13
《寒江独钓 Windows内核安全编程》的miniflter简单介绍和使用,Minifilter驱动文件,用Minifilter.inf安装 UseMinifilter,应用层 Minifilter_dll ,应用层(客户程序和驱动层通信)
基于minifilter的分布式驱动级文件透明加解密案例
09-28
这是我参加中国软件杯比赛时写的基于驱动的文件透明加...驱动在系统内核级别对磁盘文件进行加密和解密,客户端实现了驱动的管理和通信,服务器端实现了加解密策略的定制,访问授权等。现在共享给需要研究驱动的同学。
【C++】根据进程获取进程ID
AAADiao的博客
07-06 2296
Windows下根据进程名称查找进程,若查到则返回PID,若未查到则返回-2;
驱动开发:内核操作进线程与模块
CSDN
10-21 5490
进程就是活动起来的程序,每一个进程在内核里,都有一个名为EPROCESS的结构记录它的详细信息,其中就包括进程名,PID,PPID进程路径等,通常在应用层枚举进程只列出所有进程的编号即可,不过在内核层需要把它的 EPROCESS 地址给列举出来。
[windows 驱动] 获取当前进程
LYSM
03-25 1590
PEPROCESS ep = NULL; if (STATUS_SUCCESS == PsLookupProcessByProcessId(PsGetCurrentProcessId(), &ep)) { char* name = PsGetProcessImageFileName(ep); if (strcmp(name, "notepad.exe") == 0) { // do something ... } }
windows驱动里通过进程ID获得进程名和所属用户
fanxiushu的专栏
07-03 6510
windows驱动中,通过 进程ID,可以获得进程完整路径和进程名, 也可以获得进程所属的用户名。 以下代码是整理出来完成这些功能的 两个实现函数。 // By fanxiushu 2013-07-02 ///获得进程名 NTSTATUS get_process_name(int pid, PWCHAR* out_fullpath, PWCHAR* out_name
驱动遍历获取完整进程
Misaka10046的博客
04-14 332
WIN7 X86。
驱动下通过进程PID获得进程名 (动态获取ImageFileName在EPROCESS结构体中的相对偏移)...
weixin_30828379的博客
01-31 831
思路   进程EPROCESS结构体中含有进程名ImageFileName(需求处ImageFileName在EPROCESS结构体中的相对偏移)——》获得进程EPROCESS——》通过进程句柄获得EPROCESS——》通过进程PID打开进程获得进程句柄 计算ImageFileName在EPROCESS结构体中的相对偏移     方法一 来个判断操作系统,再利用windbg调试得到相...
[转]驱动获取进程完整路径名
热门推荐
农家小舍
04-01 1万+
Submitted by boxcounter on 2009, July 23, 6:55 PM. windows编程(R0)在OSR上无意中看到一篇文章,关于获取进程完整路径的。贴过来,最后有一点小调整。原文地址:http://www.osronline.com/article.cfm?id=472 Over the years developers
windows 驱动实现进程枚举
全栈胖叔叔
05-08 922
因为最近有需求写windows平台下的发外挂模块,需要实现对进程的监控,其中一个线程需要匹配进程名,那么问题来了,这就需要获取所有进程名称。 在用户层ring3下,枚举进程的方法主要有: 1.CreateToolhelp32Snapshot 通过快照枚举,x86和x64,winxp-win10 均可获取进程名称。 2.通过 Psapi.dll,LoadLibrary(“PSAPI.DLL”),调用其EnumProcesses()枚举进程,x86和x64,winxp-win10 均可获取进程名称,但是这个
minifilter 下载
最新发布
09-11
WDK或Windows SDK是微软提供的一套开发工具,它包含了开发Windows驱动程序所需的一系列工具、示例代码、库文件和文档等,可以用于minifilter开发及其他相关驱动程序的开发。 一般来说,在微软官网上可以找到WDK或...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值