如何获取进程/目标对象的全路径?

最新推荐文章于 2021-04-30 05:11:46 发布
最新推荐文章于 2021-04-30 05:11:46 发布
阅读量1.9k 收藏 2
点赞数 1
分类专栏: 驱动学习 杂谈 文章标签: 内核 进程全路径
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/51108868
版权
本文详细介绍了如何通过EPROCESS结构和PEB结构获取Windows进程的全路径。从EPROCESS的ImageFileName、SeAuditProcessCreationInfo、SectionObject到PEB的ProcessParameters和LDR模块列表,逐一解析了各种方法,包括NtQueryInformationProcess和冰刃等工具所使用的途径。同时,也提到了快捷方式路径和VAD结构在获取进程路径中的作用。
摘要由CSDN通过智能技术生成

PID->eprocess->KeStackAttachProcess->ZwQueryInformationProcess->ProcessImageFileName->ZwCreateFile

->ObReferenceObjectByHandle->RtlVolumeDeviceToDosName
->ZwQueryInformationFile


如何获取目标对象的全路径?

Handle
ObReferenceObjectByHandleIoQueryFileDosDeviceName
ObReferenceObjectByHandleObQueryNameString(强删文件例子里)
IRP查询(FILEMON4.34中FilemonQueryFile函数)
FltGetName(minifilter)

我知道的方法:


参考小伟同学的《伪造进程初探》一文

进程全路径:

1.EPROCESS->ImageFileName(进程名)

最低0.47元/天 解锁文章
zhuhuibeishadiao
关注
专栏目录
2021-09-26
qq_25843323的博客
09-26 1万+
面试二问了整个项目的整体的流程,为什么选择某些技术或者基础组件 1.自我介绍 2.挑一个项目,画项目的架构图 Kafka发送数据之后立即返回还是等待ACK之后才返回? Kafka工作流程: producter先从Zookeeper获取分区的leader producter将消息发送给leader Leader将消息写入本地文件 followers从leader pull消息 followers将消息写入本地后向leader发送ACK leader收到所有副本的A
获取进程路径
11-28
获取正在运行进程的完整路径 function EnabledDebugPrivilege(const bEnabled: Boolean): Boolean; var hToken: THandle; tp: TOKEN_PRIVILEGES; a: DWORD; const SE_DEBUG_NAME = 'SeDebugPrivilege'; begin Result := False; if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, hToken)) then begin tp.PrivilegeCount := 1; LookupPrivilegeValue(nil, SE_DEBUG_NAME, tp.Privileges[0].Luid); if bEnabled then tp.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED else tp.Privileges[0].Attributes := 0; a := 0; AdjustTokenPrivileges(hToken, False, tp, SizeOf(tp), nil, a); Result := GetLastError = ERROR_SUCCESS; CloseHandle(hToken); end; end;
获取进程路径
fengkuangfj的专栏
01-19 2994
BOOL GetProcPath( __in BOOL bCurrentProc, __in ULONG ulPid, __inout LPTSTR lpProcPath, __in ULONG ulProcPathBufLen ) { BOOL bRet = FALSE; HMODULE hModule = NULL; HANDLE hProc
根据进程获取进程路径函数(原创):
唐古拉山的专栏
05-25 4922
这个问题在论坛上被很多人问过,我这里写个函数,公开源代码:对应CSDN论坛帖子为:http://community.csdn.net/Expert/topic/4035/4035607.xml?temp=.353039源代码:Private Declare Function OpenProcess Lib "kernel32.dll" (ByVal dwDesiredAccess As Long,
VS++ 获取进程路径
墨痕诉清风的博客
05-30 682
CString strLocalPath; CString strFileName; GetModuleFileName(NULL, strLocalPath.GetBufferSetLength(MAX_PATH + 1), MAX_PATH + 1); PathRemoveFileSpec(strIsLocalPath); int nPos = strLocalPath.ReverseFi...
C#编程如何获取进程主窗口以及创建进程的执行程序?
03-16
下面是一个简单的示例,展示如何获取进程的主窗口标题和执行文件路径: ```csharp using System; using System.Diagnostics; public class Program { static void Main() { Process[] processes = Process...
Windows编程-杀死指定路径程序文件的进程
12-17
总结起来,杀死指定路径程序文件的进程在Windows编程中有多种实现方式。使用`taskkill`命令简单直接,但可能受到系统环境和权限限制。而通过WMI则提供了更灵活、更强大的控制,但需要处理更多的COM细节。在实际开发...
API枚举进程文件路径.rar
04-04
4. **OpenProcess**: 要获取进程的文件路径,我们需要打开目标进程的句柄。传入进程ID和所需的访问权限(如 PROCESS_QUERY_INFORMATION),可以获取到一个进程对象。 5. **QueryFullProcessImageName**: 最后,使用...
通过PID获取进程路径
09-29
vs2010代码,支持获通过PID 获取32位,64位程序路径
获取应用程序路径(进程路径)
02-07
qt代码,可以获取运行的程序的路径。一般人搜索关键字不对,搜进程路径才能百度到相关的代码。资源分不多,感谢支持。
VC 通过进程获取程序所在路径
07-29
VC 通过自己指定进程获取程序所在的路径
java 获取对象路径
freeonsky的专栏
04-04 1122
java 获取对象路径获取对象路径 获取对象路径 public static String getObjectPath(Object obj){ try { return obj.getClass().getProtectionDomain().getCodeSource().getLocation().toURI().getPath(); ...
提权获取进程路径获取进程列表
小米的修行之路
03-13 631
1、进程提权: BOOL CProgressInfo::AdjustPrivileges() { HANDLE hToken = NULL; TOKEN_PRIVILEGES tp = {0}; TOKEN_PRIVILEGES oldtp = {0}; DWORD dwSize = sizeof(TOKEN_PRIVILEGES); LUID luid = {0}; if...
获取进程路径方法(支持xp、win7、win10系统)
深之JohnChen的专栏
06-14 5217
获取进程路径方法(支持xp、win7、win10系统)获取进程路径的函数包括GetModuleFileNameEx、GetProcessImageFileName、QueryFullProcessImageName。这三个函数的原型:DWORD GetModuleFileNameEx(HANDLE hProcess,HMODULE hModule,LPTSTR lpFilename,DWOR...
怎样得到一个进程路径
x86的专栏
04-08 1643
一个进程的命令行保存在文件/proc/pid/cmdline中,参数之间是字节0分隔。下面的小程序举例说明如何去读这个文件。 #include iostream>#include fstream>int main(int argc, char* argv[]) ...{  if(argc != 2) ...{    printf("usage: %s pid ", argv[0]); 
linux下获取进程路径,linux下获取进程绝对路径的方法
weixin_32127545的博客
04-30 174
从网上找到的两种方法1、比较简单的一种,直接利用库函数getcwd()#include char *getcwd(char *buf, size_t size);作用:把当前目录的绝对地址保存到 buf 中,buf 的大小为 size。如果 size太小无法保存该地址,返回 NULL 并设置 errno 为 ERANGE。getcwd(path,size);printf("%s\n",path);...
Windows内存管理:遍历VAD树获取进程DLL
1. 获取目标进程的EPROCESS结构体,可以通过进程ID或进程名称实现。 2. 访问EPROCESS结构体中的VADRoot字段,开始遍历VAD树。 3. 对每个VAD节点,检查其是否表示一个DLL。这通常涉及到检查节点的ControlArea字段,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值