驱动中获取进程名的正确方法

最新推荐文章于 2024-05-03 01:32:54 发布
最新推荐文章于 2024-05-03 01:32:54 发布
阅读量6.8k 收藏 5
点赞数 1
这是个古老的话题,没有技术含量,只不过看到网上很多驱动代码在获取进程名时总喜欢去读偏移 EPROCESS.ImageFileName,感觉比较误导新人。

这个方法其实很不科学,硬编码偏移带来的兼容性问题以及16字节截断的问题(Win7过后是15字节)就不用说了,关键是这个 EPROCESS.ImageFileName 其实并不靠谱

咱们可以做个实验,随便打开一个程序,比如记事本notepad.exe。然后看看ImageFileName:

procname1.png


似乎没什么问题。接下来关闭这个notepad.exe,再将可执行程序改个名,比如改成xxx.exe:

procname2.png


再次双击运行,再看看ImageFileName:

procname3.png


发现问题了吧?在内核中 EPROCESS.ImageFileName 只不过是个参考信息,准确的路径在 EPROCESS.SeAuditProcessCreationInfo.ImageFileName 这个地方:

procname4.png


不过硬编码偏移始终不是一个好方法,正确的方法是召唤 ZwQueryProcessInformation(其实原理就是EPROCESS.SeAuditProcessCreationInfo.ImageFileName)。下面贴一段我自己常用的进程名获取函数(其实从某个主动防御的代码中逆向出来的): 


  
  
  1. PUNICODE_STRING GetProcNameByEproc(IN PEPROCESS pEproc) 
  2. /*++ 
  3.  
  4. Routine Description: 
  5.  
  6.     获取指定进程的完整进程名 
  7.  
  8.  
  9. Arguments: 
  10.  
  11.     pEproc - 指定进程的EPROCESS地址 
  12.  
  13.  
  14. Return Value: 
  15.      
  16.     成功则返回进程名,失败返回NULL 
  17.  
  18.  
  19. Comments: 
  20.  
  21.     该函数返回的进程名,由调用则负责释放(ExFreePool)。 
  22.  
  23.  
  24. --*/ 
  25. { 
  26.     NTSTATUS NtStatus; 
  27.     HANDLE hProc = NULL; 
  28.     PBYTE pBuf = NULL; 
  29.     ULONG ulSize = 32; 
  30.      
  31.     PAGED_CODE(); 
  32.  
  33.     // 
  34.     // 1. pEproc --> handle 
  35.     // 
  36.     NtStatus = ObOpenObjectByPointer( pEproc,  
  37.                                         OBJ_KERNEL_HANDLE,  
  38.                                         NULL,  
  39.                                         0,  
  40.                                         NULL,  
  41.                                         KernelMode,  
  42.                                         &hProc 
  43.                                     ); 
  44.  
  45.     if (!NT_SUCCESS(NtStatus)) 
  46.         return NULL; 
  47.  
  48.     // 
  49.     // 2. ZwQueryInformationProcess 
  50.     // 
  51.     while ( TRUE ) 
  52.     { 
  53.         pBuf = ExAllocatePoolWithTag(NonPagedPool, ulSize, ALLOC_TAG); 
  54.         if ( !pBuf ) { 
  55.             ZwClose(hProc); 
  56.             return NULL; 
  57.         } 
  58.  
  59.         NtStatus = ZwQueryInformationProcess( hProc, 
  60.                                                 ProcessImageFileName,  
  61.                                                 pBuf,  
  62.                                                 ulSize,  
  63.                                                 &ulSize); 
  64.         if ( NtStatus != STATUS_INFO_LENGTH_MISMATCH ) 
  65.             break; 
  66.  
  67.         ExFreePool(pBuf); 
  68.     } 
  69.  
  70.     ZwClose(hProc); 
  71.  
  72.     if ( !NT_SUCCESS(NtStatus) ) { 
  73.         ExFreePool(pBuf); 
  74.         return NULL; 
  75.     }    
  76.  
  77.     // 
  78.     // 3. over 
  79.     // 
  80.     return (PUNICODE_STRING)pBuf; 
  81. }


进程名使用完毕后记得 ExFreePool。


其实非要用硬编码的话,除了 EPROCESS.ImageFileNameEPROCESS 和 PROCESS.SeAuditProcessCreationInfo.ImageFileName 还有其它地方也可以获得进程名,例如 PEB 里的ldr。具体可以参考我以前写的彻底改掉进程名》。

wzsy
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
驱动遍历获取完整进程
Misaka10046的博客
04-14 357
WIN7 X86。
支持2000以后系统的驱动获取进程的详细信息如:用户进程全路径、进程获取隐藏进程信息
03-29
支持2000以上系统,主要是通过驱动获取进程称、全路径和用户,能获取到隐藏的进程
看我一波,Android获取进程函数,代码优化到极致的操作!
最新发布
2401_84122902的博客
05-03 369
在这里小编整理了一份Android大厂常见面试题,和一些Android架构视频解析,都已整理成文档,全部都已打包好了,希望能够对大家有所帮助,在面试能顺利通过。喜欢本文的话,不妨顺手给我点个小赞、评论区留言或者转发支持一下呗网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化学习资料的朋友,可以戳这里获取一个人可以走的很快,但一群人才能走的更远!
驱动下通过进程PID获得进程 (动态获取ImageFileName在EPROCESS结构体的相对偏移)...
weixin_30828379的博客
01-31 857
思路   进程EPROCESS结构体含有进程ImageFileName(需求处ImageFileName在EPROCESS结构体的相对偏移)——》获得进程EPROCESS——》通过进程句柄获得EPROCESS——》通过进程PID打开进程获得进程句柄 计算ImageFileName在EPROCESS结构体的相对偏移     方法一 来个判断操作系统,再利用windbg调试得到相...
内核驱动程序获取当前用户进程进程的一种方法
A00553344的专栏
01-29 7433
内核驱动程序获取当前用户进程进程的一种方法在内核驱动程序,可以通过PsGetCurrentProcess函数来获取当前调用驱动进程的EPROCESS结构的地址.很多文章都说在EPROCESS结构的0x174偏移处存放着进程.这里提供另外一种方法获取这个进程.思路如下:驱动程序的加载函数DriverEntry是运行在System进程的.通过PsGetCurrentProce
驱动获取进程全路径
leon
07-19 3081
本文转自 http://xiabl.blog.ccidnet.com/blog.php?do=showone&itemid=129339&typ=blog仅作收藏  在驱动获取进程全路径系统具备:WinDbg, Windows Symbol Packages (http://www.microsoft.com/whdc/devtools/debugging/symbolpkg.msp
驱动编程获取系统正在运行的进程
yellow的博客
10-07 813
直接贴代码了,在VS2010上面运行通过,记得用Dbgview查看输出 #include "ntddk.h" #define SYSTEMPROCESSINFORMATION 5 //处理进程信息,需要用到这两个结构体 typedef struct _SYSTEM_THREADS { LARGE_INTEGER KernelTime; ...
Windows内核驱动EPROCESS遍历进程模块
12-14
1. **获取进程列表**:首先,你需要获取系统的所有进程。这可以通过遍历全局的进程链表(PsActiveProcessHead)来实现。每个进程都有一个EPROCESS结构,它们通过链表链接在一起。 2. **访问EPROCESS结构**:遍历...
ring0驱动级 隐藏进程 的源代码_在驱动层通过替换ssdt地址表的api函数来隐藏进程
01-25
本文将讨论如何在驱动层通过替换System Service Dispatch Table (SSDT) 地址表的API函数来实现隐藏进程。 SSDT是Windows内核的一个关键结构,它存储了系统服务函数的入口点。当用户模式的应用程序调用系统服务...
进程监控驱动,源码
04-01
3. **事件处理**:在回调函数,我们可以调用`NtQueryInformationProcess`等函数获取进程的信息,如进程ID、父进程ID、进程等,然后根据这些信息决定如何响应。 4. **安全与兼容性**:由于内核模式驱动有很高...
商业编程-源码-如何获取某个进程的主窗口以及创建进程的程序.zip
06-23
以上是获取进程主窗口和创建进程的程序的基本方法,具体实现会涉及更多的Windows API函数和内存操作。在商业编程,这样的功能可能会被用于监控、调试、自动化测试等场景。理解并掌握这些技术对于提升系统级编程...
5种方法得到所有进程(包括隐藏进程
11-07
VB使用5种方法得到所有进程(包括隐藏进程),2000系统下可能不能使用,判断系统版本如果是2K以下的系统就报错退出,获取Debug权限这是必须的。获取常规下的进程,打印进程判断指定进程是否为隐藏进程……   以下5种方法在Windows NT各个版本上都有:   NT 5.1 新增的:   获取KdVersionBlock,从内核空间拷贝到用户空间,或者从用户空间拷贝到用户空间,但是不能从用户空间拷贝到内核空间,从物理地址拷贝到用户空间,不能写到内核空间,读写处理器相关控制块,读写端口,读写总线数据,枚举Kernel Module函数,判断Nt系列函数是否调用成功,创建一个ACE,允许当前用户读写PhysicalMemory
易语言驱动级取进程结构源码
06-06
在标题提到的“易语言驱动级取进程结构源码”,我们可以理解为这是一个使用易语言编写的驱动程序,其功能是获取操作系统进程结构信息。 驱动程序是操作系统核心的一部分,它们运行在内核模式下,拥有比用户...
Windows Minifilter驱动 - 获取进程ID, 进程字和线程ID
weixin_33955681的博客
05-21 457
https://blog.csdn.net/zj510/article/details/39476171 Windows Minifilter驱动 - 获取进程ID, 进程字和线程ID 在minifilter里面可能有好几种获取调用进程id,字和线程的办法。我这里有一种: 使用 PsSetCreateProcessNotifyRoutine 和 PsSetLoadImageN...
windows驱动里通过进程ID获得进程和所属用户
fanxiushu的专栏
07-03 6585
在windows驱动,通过 进程ID,可以获得进程完整路径和进程, 也可以获得进程所属的用户。 以下代码是整理出来完成这些功能的 两个实现函数。 // By fanxiushu 2013-07-02 ///获得进程 NTSTATUS get_process_name(int pid, PWCHAR* out_fullpath, PWCHAR* out_name
Windows Minifilter驱动 - 获取进程ID, 进程字和线程ID (5)
zj510的专栏
09-22 8395
在minifilter里面可能有好几种获取调用进程id,字和线程的办法。我这里有一种: 使用 PsSetCreateProcessNotifyRoutine 和 PsSetLoadImageNotifyRoutine 这是两个API,我们可以借助它们获取进程信息。具体看:http://msdn.microsoft.com/en-us/library/windows/hardware/
[转]驱动获取进程完整路径
热门推荐
农家小舍
04-01 1万+
Submitted by boxcounter on 2009, July 23, 6:55 PM. windows编程(R0)在OSR上无意看到一篇文章,关于获取进程完整路径的。贴过来,最后有一点小调整。原文地址:http://www.osronline.com/article.cfm?id=472 Over the years developers
驱动编程,通过进程PID获取进程
追逐光芒,追随内心
10-28 804
//功能:进程ID,进程称 PCHAR GetProcessNameByProcessId(HANDLE ProcessId) { NTSTATUS st = STATUS_UNSUCCESSFUL; PEPROCESS ProcessObj = NULL; PCHAR string = NULL; st = PsLookupProcessByProcessId(ProcessId, &ProcessObj); if (NT_SUCCESS(st)) { string = PsG.
进程获取进程ID的方法及实现
fz835304205的专栏
11-22 1944
获取进程ID的方法: 我知道和实践过的有这么三种:  ps -A |grep "cmdname"| awk '{print $1}'  pidof "cmdname"  pgrep "cmdname" 这三种在bash和busybox ash里面的运行结果稍有不同, 第一种完全相同,但是因为调用命令次数较多,性能上是不行的。 第二种: pidof 只能获取程序
Linux设备驱动的并发控制
06-03
在Linux设备驱动,由于多个进程或线程可能会同时访问设备,因此需要进行并发控制以确保设备的正确性和稳定性。以下是一些常用的Linux设备驱动的并发控制方法: 1. 互斥锁(mutex):互斥锁是用于保护临界区的一种机制,当一个进程或线程进入临界区时,其他进程或线程必须等待其退出后才能进入。Linux内核提供了多种不同类型的互斥锁,如spinlock、semaphore等,开发者可以根据实际需求选择不同的锁类型。 2. 读写锁(rwlock):读写锁是一种特殊的互斥锁,它允许同时有多个读者访问共享资源,但只允许一个写者访问。读写锁可以提高并发性能,但也需要考虑读写锁的开销。 3. 自旋锁(spinlock):自旋锁是一种忙等待的锁,当一个进程或线程无法获取锁时,它会一直循环尝试获取锁,直到获取成功。自旋锁对于短时间的临界区保护非常有效,但长时间的自旋会浪费CPU资源。 4. 原子操作(atomic):原子操作是一种不可分割的操作,可以保证操作的完整性和一致性。在Linux设备驱动,原子操作通常用于对共享变量的操作,如增减计数器等。 除了以上方法,还有一些高级的并发控制技术,如RCU、信号量(semaphore)等,它们可以根据具体的应用场景来选择使用。在开发Linux设备驱动时,需要根据实际情况选择合适的并发控制方法,并注意避免死锁和竞争条件等问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值