windbg(GetProcessFullName)

最新推荐文章于 2021-10-30 23:33:46 发布
最新推荐文章于 2021-10-30 23:33:46 发布
阅读量60 收藏
点赞数
文章标签: 运维

kd> dt_EPROCESS
nt!_EPROCESS
   +0x1b0 Peb              : Ptr32 _PEB


kd> dt_peb
nt!_PEB
   +0x010 ProcessParameters : Ptr32 _RTL_USER_PROCESS_PARAMETERS

kd> dt _RTL_USER_PROCESS_PARAMETERS
nt!_RTL_USER_PROCESS_PARAMETERS
   +0x038 ImagePathName    : _UNICODE_STRING
 

 

kd> dt _UNICODE_STRING
nt!_UNICODE_STRING
   +0x000 Length           : Uint2B
   +0x002 MaximumLength    : Uint2B
   +0x004 Buffer           : Ptr32 Uint2B

kd> !peb
PEB at 7ffdb000

kd> dd 7ffdb000+0x10
7ffdb010  00020000 00000000 00150000 7c99e4c0

kd> dd 0x00020000 +0x038 + 0x4
0002003c  00020650 00720070 000206c0 00010000

 

kd> db 00020650
00020650  43 00 3a 00 5c 00 50 00-72 00 6f 00 67 00 72 00  C.:.\.P.r.o.g.r.
00020660  61 00 6d 00 20 00 46 00-69 00 6c 00 65 00 73 00  a.m. .F.i.l.e.s.
00020670  5c 00 56 00 4d 00 77 00-61 00 72 00 65 00 5c 00  \.V.M.w.a.r.e.\.
00020680  56 00 4d 00 77 00 61 00-72 00 65 00 20 00 54 00  V.M.w.a.r.e. .T.
00020690  6f 00 6f 00 6c 00 73 00-5c 00 56 00 4d 00 77 00  o.o.l.s.\.V.M.w.
000206a0  61 00 72 00 65 00 53 00-65 00 72 00 76 00 69 00  a.r.e.S.e.r.v.i.
000206b0  63 00 65 00 2e 00 65 00-78 00 65 00 00 00 00 00  c.e...e.x.e.....

 

kd> dt 0x00020000 +0x038 _UNICODE_STRING
nt!_UNICODE_STRING
 "C:\Program Files\VMware\VMware Tools\VMwareService.exe"
   +0x000 Length           : 0x6c
   +0x002 MaximumLength    : 0x6e
   +0x004 Buffer           : 0x00020650  "C:\Program Files\VMware\VMware Tools\VMwareService.exe"

weixin_34396103
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
NT5/NT6上的获取进程全路径
zhuhuibeishadiao
04-12 4707
前面说过使用一大堆函数获取全路径 PID->eprocess->KeStackAttachProcess->ZwQueryInformationProcess->ProcessImageFileName->ZwCreateFile ->ObReferenceObjectByHandle->RtlVolumeDeviceToDosName ->ZwQueryInformationF
Minifilter过滤,功能实现对驱动目录的监控,包括创建,重命名,删除并实现hips
zhuhuibeishadiao
05-02 1万+
注意下:我的这套过滤只能用在nt6系统上 原因是使用一个nt6上才有的函数 见函数 PsGetProcessFullName 其实没必要自己来写获取全路径 因为minifilter已经给我们提供了获取全路径的函数 FltGetFileNameInformation 我就不改了,哈哈 说说遇到的问题吧 在监控创建的时候,我在卸载post中的,我拒绝后,在弹窗,2-3
驱动中获取进程完整路径名
xum2008的专栏
05-01 3637
原文地址:http://www.osronline.com/article.cfm?id=472     Over the years developers have needed or wanted to know the name of the image executing in a given process. Traditionally, this was o
通过GetProcessNameByProcessId得到进程路径
kernweak的博客
07-19 3938
写主防时,为了拿到进程路径,所以查询发现一种发现一种方式是通过PID,调用PsLookupProcessByProcessId(ProcessId, &ProcessObj)拿到进程的EPROCESS,然后PsGetProcessImageFileName(ProcessObj)拿到进程进程路径。 现在看下PsLookupProcessByProcessId资料 kd> u P...
获取进程全路径
zyorz的博客
04-19 1733
先获取进程PID,通过PID获取eprocess结构后调用KeStackAttachProcess附加到该结构上,然后调用ZwQueryInformationProcess查询进程ProcessImageFileName结构找到进程全路径。封装函数如下,调用入口为GetProcessFullNameByPidNTSTATUS GetProcessFullNameByPid(HANDLE nPid,
WinDbg Download
09-06
WinDbg 主要功能. Windbg是Microsoft公司免费调试器调试集合中的GUI的调试器,支持Source和Assembly两种模式的调试。 Windbg不仅可以调试应用程序,还可以进行Kernel Debug。结合Microsoft的Symbol Server,可以获取...
windbg安装包
12-20
Windbg,全名Windows Debugger,是由微软开发的一款强大的调试工具,广泛用于系统级调试、内核模式调试以及用户模式应用程序的故障排查。它在IT行业中是开发者、系统管理员和安全专家的重要工具,尤其是在处理崩溃 ...
Windbg中文调试手册
04-26
**Windbg中文调试手册概述** Windbg是一款强大的调试器,主要用作分析故障转储、实时用户模式和内核模式代码的调试工具。它具备现代的界面设计,完善了脚本功能,支持可扩展的调试数据模型,以及内置的时程调试...
windbg预览版
04-21
Windbg预览版是一款强大的Windows调试工具,专为高级用户和开发者设计,它在Windows 10商店中提供,带来了更为便捷的使用体验。这款工具主要用于诊断和分析系统崩溃、性能问题以及内存泄漏等复杂问题,是软件开发、...
Windbg插件 pykd
最新发布
11-07
python pykd
内核中获取进程全路径
qq_41490873的博客
09-17 519
#include<ntifs.h> #include<ntddk.h> #include <ntstrsafe.h> #define MAX_PATH 260 NTSTATUS NTAPI ZwQueryInformationProcess( __in HANDLE ProcessHandle, __in PROCESSINFOCLASS ProcessInformationClass, __out_bcount(ProcessInformationLength) P
驱动加载监控x86
zhuhuibeishadiao
04-10 1112
Hook_ZwLoadDriver HOOK_ZwSetSystemInformation NTSTATUS NTAPI HOOK_NtSetSystemInformation ( IN ULONG SystemInformationClass, IN OUT PVOID SystemInformation, IN ULONG SystemInformationLength )
PsGetProcessImageFileName - 获取进程的主模块路径
死胖子的博客
08-24 1万+
/** 向前声明 */ NTKERNELAPI UCHAR * PsGetProcessImageFileName(__in PEPROCESS Process); 声明后即可使用
golang get process name by pid
期待幸福
10-30 1086
一个很好的问题:How golang to get process name by process id (pid)? 目前看来go api并没有提供通过pid获取进程名称的方法,可以通过 /proc/<pid>/cmdline来获取对应的进程名称,也可以通过 readlink /proc/6530/exe 来获取 /proc/<pid>/cmdline 获取的为运行进程的名称,通常包含一些特殊字符。例如 "-bash\x00",sshd: root@pts/0 readlin.
驱动下通过进程PID获得进程名 (动态获取ImageFileName在EPROCESS结构体中的相对偏移)...
weixin_30828379的博客
01-31 859
思路   进程EPROCESS结构体中含有进程名ImageFileName(需求处ImageFileName在EPROCESS结构体中的相对偏移)——》获得进程EPROCESS——》通过进程句柄获得EPROCESS——》通过进程PID打开进程获得进程句柄 计算ImageFileName在EPROCESS结构体中的相对偏移     方法一 来个判断操作系统,再利用windbg调试得到相...
通过GetProcessImageFileName函数获取进程路径
热门推荐
陌路缘
04-24 2万+
由于函数GetModuleFileName() 和 函数GetModuleFileNameEx()都是通过PE文件头信息获取进程文件路径,所以它们只能工作于与调用进程相同位数的进程,比如:调用进程32位时,这两个函数只对32位进程有效,64位同理。所以在64位进程与32位进程并存的64位机器中,只能通过GetProcessImageFileName()函数获取进程的DOS文件路径
WinDbg命令行完全指南
"WinDBG命令行大全,涵盖了调试器的各种操作,包括内置帮助命令、异常处理、变量信息、调试会话管理、表达式计算、DML语言、核心扩展、符号处理、线程和进程信息、内存操作、调用栈查看、源代码相关、寄存器查看、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值