XP,win7下拿到完整路径名

最新推荐文章于 2023-06-23 17:07:34 发布
最新推荐文章于 2023-06-23 17:07:34 发布
阅读量1.4k 收藏
点赞数
分类专栏: 驱动内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xum2008/article/details/8560472
版权 
记录一下:

NTSTATUS GetProcessImageName(PUNICODE_STRING ProcessImageName)
{
  NTSTATUS status;
  ULONG returnedLength;
  ULONG bufferLength;
  PVOID buffer;
  PUNICODE_STRING imageName;

  PAGED_CODE(); // this eliminates the possibility of the IDLE Thread/Process
  if (NULL == ZwQueryInformationProcess) {
    UNICODE_STRING routineName;
    RtlInitUnicodeString(&routineName, L"ZwQueryInformationProcess");
    ZwQueryInformationProcess = 
      (QUERY_INFO_PROCESS) MmGetSystemRoutineAddress(&routineName);
    if (NULL == ZwQueryInformationProcess) {
      KdPrint(("Cannot resolve ZwQueryInformationProcess\r\n"));
    }
  }
  //
  // Step one - get the size we need
  //
  status = ZwQueryInformationProcess( NtCurrentProcess(), 
    ProcessImageFileName,
    NULL, // buffer
    0, // buffer size
    &returnedLength);
  if (STATUS_INFO_LENGTH_MISMATCH != status) {
    return status;
  }
  //
  // Is the passed-in buffer going to be big enough for us?  
  // This function returns a single contguous buffer model...
  //
  bufferLength = returnedLength - sizeof(UNICODE_STRING);

  if (ProcessImageName->MaximumLength < bufferLength) {
    ProcessImageName->Length = (USHORT) bufferLength;
    KdPrint(("ProcessImageName's Buffer Is Toooo small\r\n"));
    return STATUS_BUFFER_OVERFLOW;

  }
  //
  // If we get here, the buffer IS going to be big enough for us, so 
  // let's allocate some storage.
  //
  buffer = ExAllocatePoolWithTag(NonPagedPool, returnedLength, 'ipgD');
  if (NULL == buffer) {
    return STATUS_INSUFFICIENT_RESOURCES;

  }
  //
  // Now lets go get the data
  //
  status = ZwQueryInformationProcess( NtCurrentProcess(), 
    ProcessImageFileName,
    buffer,
    returnedLength,
    &returnedLength);
  if (NT_SUCCESS(status)) {
    //
    // Ah, we got what we needed
    //
    imageName = (PUNICODE_STRING) buffer;
    
    RtlCopyUnicodeString(ProcessImageName, imageName);

  }
  //
  // free our buffer
  //
  ExFreePool(buffer);
  //
  // And tell the caller what happened.
  //    
  return status;

}


专注成就专业_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NT5/NT6上的获取进程全路径
zhuhuibeishadiao
04-12 4696
前面说过使用一大堆函数获取全路径 PID->eprocess->KeStackAttachProcess->ZwQueryInformationProcess->ProcessImageFileName->ZwCreateFile ->ObReferenceObjectByHandle->RtlVolumeDeviceToDosName ->ZwQueryInformationF
详解PID到进程名的转换及伪装
05-15 1808
作者:天杀 很多时候我们都要用到从PID到进程名的转换。先总结一下相关的一些常用函数。GetCurrentProcessIdGetWindowProcessID这是两个最常用的获得PID的函数。再看看如何通过PID获得进程名先用OpenProcess把进程打开,然后一般用下面的一些方法来获得1.用快照函数CreateToolhelp32Snapshot,然后枚举进程,比较        Creat
windows文件操作简单笔记
研究源码的最底层,只持有正确的仓位
01-15 1206
 windows中文件操作:   copyfile-&gt;copyfileexw(fileopcr.c)-&gt;BasepCopyFileExW(检查源文件是否存在,看是否是链接文件   NtQueryInformationFile查询文件拷贝的大小)-&gt;BaseCopyStream(查询原文件时间和属性,新建目的文件,做目的文件的句柄处理,拷贝数据,处理the reparse p...
详细讲解了 揭露进程伪装术
06-12
详细讲解了揭露进程伪装术,很好,很值得下载
进程路径
huanongying131的博客
01-13 818
转:https://www.pediy.com/kssd/pediy12/129136.html 有问题找看雪 进程完整路径获取方式详解 标 题:进程完整路径获取方式详解 作 者:zyhfut 时 间:2011-02-10 20:23:50  链 接:http://bbs.pediy.com/showthread.php?t=129136 标 题: 【原创】进程完整路径获取方式详解 作 者...
内核断链(ActiveProcessLinks)
最新发布
qq_45844442的博客
06-23 204
3.在这个程序中没有直接使用EPROCESS+0xE8是为了兼容所有系统,而且通过搜寻特征的方法可以躲避各种检测。2.将其转换为大写匹配是否是目标程序,如果是则通过寻找目标EPROCESS结构体的。1.首先通过遍历所有的PID,使用。函数得到目标进程的全路径名称。
获得进程映像文件 (中)
Tommy(凌飞)的专栏
09-13 1214
NTSTATUSPsReferenceProcessFilePointer (    IN PEPROCESS Process,    OUT PVOID *OutFileObject    )/*++Routine Description:    This routine returns a referenced pointer to the FilePointer of Process.   
WIN下 修改,伪装进程路径。支持XP,WIN7 WIN764
01-07
Windows XPWindows 7以及Windows 7 64位系统中,实现这一功能通常需要深入到Windows API层面。以下是一些关键的技术点: 1. **注入DLL**:通过注入DLL到目标进程中,可以修改进程的内存,包括进程的模块列表,...
WIN xp完整符号表,用于xp系统内调试
04-25
标题中的"WIN xp完整符号表"指的是Windows XP操作系统的全套调试符号文件。这些文件通常由微软提供,以帮助开发者和系统管理员在调试过程中解析内核级问题。在Windows XP的时代,由于系统内核和驱动程序的复杂性,...
修改、伪装进程路径。支持XP,WIN7 WIN764
03-29
Windows XPWindows 7(包括64位版本)中,这个功能的实现通常涉及到以下知识点: 1. **进程创建**:在Windows中,进程是通过CreateProcess函数创建的。这个函数允许开发者指定进程的执行文件路径和工作目录。...
获取执行文件路径(win7,xp)
09-18
本知识点主要讲解如何在Windows XPWindows 7上利用API函数`GetModuleFileName`来获取当前进程的完整路径。 `GetModuleFileName`是Windows API提供的一种功能,用于获取指定模块的完整文件名。这里的“模块”通常...
用VC在XPWin7下显示模式切换
07-29
针对标题和描述中的内容,我们将详细讨论如何在XPWin7下进行显示模式的切换,以及使用`SetDisplayConfig`函数在Win7下进行操作。 在Windows XP中,显示模式的切换主要依赖于`ChangeDisplaySettings`函数。这个...
[内核驱动] VS2012+WDK 8.0 Minifilter实现指定扩展名文件拒绝访问
weixin_34221773的博客
10-31 317
转载:http://blog.csdn.net/C0ldstudy/article/details/51585708 转载:http://blog.csdn.net/zj510/article/details/39344889 转载:http://blog.csdn.net/zj510/article/details/39345479 转载:http://www.cnblogs.com/js...
[Rootkit] - 进程伪装
LYSM
08-20 1496
背景 欺骗任务管理器等行为工具,"隐藏"进程的另一种方法。原理是修改 EPROCESS 中的成员。 驱动层进程伪装 以下代码来自:https://github.com/zhuhuibeishadiao/PathModification PathModification.h #ifndef _PATH_MODIFICATION_H_ #define _PATH_MODIFICATION_H_ 1 //NTSTATUS PsGetTarProcessInfo(HANDLE pid); // //BOOLEAN
驱动中获取进程名的正确方法
求索
04-29 6865
这是个古老的话题,没有技术含量,只不过看到网上很多驱动代码在获取进程名时总喜欢去读偏移 EPROCESS.ImageFileName,感觉比较误导新人。 这个方法其实很不科学,硬编码偏移带来的兼容性问题以及16字节截断的问题(Win7过后是15字节)就不用说了,关键是这个 EPROCESS.ImageFileName 其实并不靠谱。 咱们可以做个实验,随便打开一个程序,比如记事本notep
minifilter框架监控文件创建框架
Cosmopolitan的博客
09-20 1367
#include <fltKernel.h> #include <dontuse.h> #include <suppress.h> #pragma prefast(disable:__WARNING_ENCODE_MEMBER_FUNCTION_POINTER, "Not valid for kernel mode drivers") PFLT_FILT...
通过GetProcessImageFileName函数获取进程路径
热门推荐
陌路缘
04-24 2万+
由于函数GetModuleFileName() 和 函数GetModuleFileNameEx()都是通过PE文件头信息获取进程文件路径,所以它们只能工作于与调用进程相同位数的进程,比如:调用进程32位时,这两个函数只对32位进程有效,64位同理。所以在64位进程与32位进程并存的64位机器中,只能通过GetProcessImageFileName()函数获取进程的DOS文件路径
获得进程映像文件(上)
Tommy(凌飞)的专栏
09-13 742
获得进程映像文件kd> dt _EPROCESS 0x8204c9c0   +0x000 Pcb              : _KPROCESS   +0x078 ProcessLock      : _EX_PUSH_LOCK   +0x080 CreateTime       : _LARGE_INTEGER 0x1c83cc8`95c2bd34   +0x088 ExitTime    

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值