NT5/NT6上的获取进程全路径

最新推荐文章于 2019-01-13 23:29:47 发布
最新推荐文章于 2019-01-13 23:29:47 发布
阅读量4.6k 收藏 3
点赞数
分类专栏: 驱动学习 文章标签: 进程全路径 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/51136650
版权
本文探讨了在NT5/NT6系统上获取进程全路径的内核级别方法,涉及EPROCESS结构、PsReferenceProcessFilePointer函数、IoQueryFileDosDeviceName以及PEB结构中的相关信息。通过代码示例展示了不同途径,包括使用Process->SeAuditProcessCreationInfo.ImageFileName、PsReferenceProcessFilePointer结合IoQueryFileDosDeviceName,以及PEB中的ImagePathName、CommandLine、WindowTitle、FullDllName等字段。文章提醒注意数据可能在用户模式下被修改,建议谨慎使用。
摘要由CSDN通过智能技术生成

前面说过使用一大堆函数获取全路径

PID->eprocess->KeStackAttachProcess->ZwQueryInformationProcess->ProcessImageFileName->ZwCreateFile

->ObReferenceObjectByHandle->RtlVolumeDeviceToDosName
->ZwQueryInformationFile


code:

NTKERNELAPI NTSTATUS 
PsLookupProcessByProcessId(
	IN HANDLE ProcessId,
	OUT PEPROCESS *Process
);


/*NTSTATUS  
IoQueryFileDosDeviceName(  
    IN PFILE_OBJECT FileObject,  
    OUT POBJECT_NAME_INFORMATION *ObjectNameInformation  
); */


NTSTATUS
NTAPI
ZwQueryInformationProcess(
						  __in HANDLE ProcessHandle,
						  __in PROCESSINFOCLASS ProcessInformationClass,
						  __out_bcount(ProcessInformationLength) PVOID ProcessInformation,
						  __in ULONG ProcessInformationLength,
						  __out_opt PULONG ReturnLength
    );


NTSTATUS  GetProcessFullNameByPid(HANDLE nPid, PUNICODE_STRING  FullPath)
{

    HANDLE               hFile      = NULL;
    ULONG                nNeedSize	= 0;
    NTSTATUS             nStatus    = STATUS_SUCCESS;
    NTSTATUS             nDeviceStatus = STATUS_DEVICE_DOES_NOT_EXIST;
    PEPROCESS            Process    = NULL;
    KAPC_STATE           ApcState   = {0};			
    PVOID                lpBuffer   = NULL;
    OBJECT_ATTRIBUTES	 ObjectAttributes = {0};
    IO_STATUS_BLOCK      IoStatus   = {0}; 
    PFILE_OBJECT         FileObject = NULL;
    PFILE_NAME_INFORMATION FileName = NULL;   
    WCHAR                FileBuffer[MAX_PATH] = {0};
    DECLARE_UNICODE_STRING_SIZE(ProcessPath,MAX_PATH);
    DECLARE_UNICODE_STRING_SIZE(DosDeviceName,MAX_PATH);
    
    PAGED_CODE();

    nStatus = PsLookupProcessByProcessId(nPid, &Process);
    if(NT_ERROR(nStatus))
    {
        KdPrint(("%s error PsLookupProcessByProcessId.\n",__FUNCTION__));
        return nStatus;
    }



    __try
    {

        KeStackAttachProcess(Process, &ApcState);
        
        nStatus = ZwQueryInformationProcess(
            NtCurrentProcess(),
            ProcessImageFileName,
            NULL,
            NULL,
            &nNeedSize
            );

        if (STATUS_INFO_LENGTH_MISMATCH != nStatus)
        {
            KdPrint(("%s NtQueryInformationProcess error.\n",__FUNCTION__)); 
            nStatus = STATUS_MEMORY_NOT_ALLOCATED;
            __leave;

        }

        lpBuffer = ExAllocatePoolWithTag(NonPagedPool, nNeedSize,'GetP');
        if (lpBuffer == NULL)
        {
            KdPrint(("%s ExAllocatePoolWithTag error.\n",__FUNCTION__));
            nStatus = STATUS_MEMORY_NOT_ALLOCATED;
            __leave; 
        }

       nStatus =  ZwQueryInformationProcess(
           NtCurrentProcess(),
           ProcessImageFileName, 
           lpBuffer, 
           nNeedSize,
           &nNeedSize
           );

       if (NT_ERROR(nStatus))
       {
           KdPrint(("%s NtQueryInformationProcess error2.\n",__FUNCTION__));
           __leave;
       }

       RtlCopyUnicodeString(&ProcessPath,(PUNICODE_STRING)lpBuffer);
       InitializeObjectAttributes(
           &ObjectAttributes,
           &ProcessPath,
           OBJ_CASE_INSENSITIVE,
           NULL,
           NULL
           );

       nStatus = ZwCreateFile(
           &hFile,
           FILE_READ_ATTRIBUTES,
           &ObjectAttributes,
           &IoStatus,
           NULL,
           FILE_ATTRIBUTE_NORMAL,
           0,
           FILE_OPEN,
           FILE_SYNCHRONOUS_IO_NONALERT | FILE_NON_DIRECTORY_FILE,
           NULL,
           0
           );  

       if (NT_ERROR(nStatus))
       {
           hFile = NULL;
           __leave;
       }

       nStatus = ObReferenceObjectByHandle(
           hFile, 
           NULL,
           *IoFileObjectType,
最低0.47元/天 解锁文章
zhuhuibeishadiao
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
bootmgr添加引导linux,总结一下bootmgr的引导模式(引导dos,nt5,nt6,grub4dos等)
weixin_42497633的博客
05-15 2038
bootmgr和grub4dos都是很好启动管理器,两者都能相互调用,功能互相补充。grub4dos很强大,讲怎么用它引导的文章已经很多了,这里就不讨论了。下面讲一下通过bcdedit编辑bcd文件来实现bootmgr引导dos,nt5(xp/xpe包括winpe1.X版本),nt6(vista/2008/win7包括winpe2.0及以后的版本,wim和vhd文件),和grub4dos(以及li...
在NT / Win9x上枚举进程
04-11
它包含`CreateToolhelp32Snapshot`函数,用于创建一个进程快照,以及`Process32First`和`Process32Next`函数,用于遍历快照并获取进程信息。 另一方面,`PSAPI`库在Windows NT及以后的版本中更为常见,它提供了一组...
NT6_x和NT5_x 双系统启动修复
04-10
NT6_x和NT5_x 双系统重装某系统恢复系统启动文件和选项菜单的简单方法
驱动中获取进程完整路径
xum2008的专栏
05-01 3630
原文地址:http://www.osronline.com/article.cfm?id=472     Over the years developers have needed or wanted to know the name of the image executing in a given process. Traditionally, this was o
windbg(GetProcessFullName)
weixin_34396103的博客
11-10 57
kd> dt_EPROCESSnt!_EPROCESS   +0x1b0 Peb              : Ptr32 _PEB kd> dt_pebnt!_PEB   +0x010 ProcessParameters : Ptr32 _RTL_USER_PROCESS_PARAMETERS kd> dt _RTL_USER_PROCESS_PARAMETERSnt!_R...
windows驱动写日志,有Zw和Flt,记录操作某一文件夹的进程
12-16
在Windows驱动中,获取进程路径通常需要通过`PsLookupProcessByProcessId`函数得到进程对象,再调用`PsGetProcessImageFileName`获取进程的映像文件名。接着,可以结合` ZwQueryInformationProcess`或`...
cmd.exe的源代码,nt4的
05-12
在描述中提到的"\nt4\private\windows\cmd"路径,这可能是指源代码在文件系统中的位置。"zk代码中没发现cmd目录"这部分可能是指在某个名为"zk"的代码库或项目中,没有找到cmd.exe的源代码,暗示cmd.exe的源代码可能...
VB读取内存得到所有进程名(包括隐藏进程
05-12
内容索引:VB源码,系统相关,内存,... 以下5个在Windows NT各个版本上都有  SysDbgGetTraceInformation = 1  SysDbgSetInternalBreakpoint = 2  SysDbgSetSpecialCall = 3  SysDbgClearSpecialCalls = 4  SysDbgQue
获取其他进程启动参数方法
07-21
5. 调用`QueryFullProcessImageName`获取进程的完整路径和启动参数。 另外,还有一些第三方工具和API可以帮助我们实现这一功能。例如,`Psapi.dll`库中的`GetProcessImageFileNameW`函数也可以用来获取进程的完整...
进程路径
huanongying131的博客
01-13 816
转:https://www.pediy.com/kssd/pediy12/129136.html 有问题找看雪 进程完整路径获取方式详解 标 题:进程完整路径获取方式详解 作 者:zyhfut 时 间:2011-02-10 20:23:50  链 接:http://bbs.pediy.com/showthread.php?t=129136 标 题: 【原创】进程完整路径获取方式详解 作 者...
驱动中获取进程名的正确方法
求索
04-29 6853
这是个古老的话题,没有技术含量,只不过看到网上很多驱动代码在获取进程名时总喜欢去读偏移 EPROCESS.ImageFileName,感觉比较误导新人。 这个方法其实很不科学,硬编码偏移带来的兼容性问题以及16字节截断的问题(Win7过后是15字节)就不用说了,关键是这个 EPROCESS.ImageFileName 其实并不靠谱。 咱们可以做个实验,随便打开一个程序,比如记事本notep
驱动下通过进程PID获得进程名 (动态获取ImageFileName在EPROCESS结构体中的相对偏移)...
weixin_30828379的博客
01-31 856
思路   进程EPROCESS结构体中含有进程ImageFileName(需求处ImageFileName在EPROCESS结构体中的相对偏移)——》获得进程EPROCESS——》通过进程句柄获得EPROCESS——》通过进程PID打开进程获得进程句柄 计算ImageFileName在EPROCESS结构体中的相对偏移     方法一 来个判断操作系统,再利用windbg调试得到相...
Windows驱动获得当前进程路径的方法
trents的专栏
02-20 3094
方法: 通过ZwQueryInformationProcess函数查询ImageFileName 支持的系统:XP以上操作系统 具体方法如下: BOOL  GetProcessPathNameByHandle(HANDLE ProcessHandle,char * path)     {         DWORD ret;             ULONG
通过文件句柄获取文件的路径
weixin_34074740的博客
11-03 443
View Code #include "StdAfx.h"#include <stdio.h>#include <windows.h>typedef struct _IO_STATUS_BLOCK{ LONG Status; LONG Information;} IO_STATUS_BLOCK, *PIO_STATUS_BLOCK;typedef str...
内核遍历r3进程模块,获取信息(32,64,WoW64)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
10-24 5149
没什么技术含量,只是突然用到了,然后写出来,又突然想到看雪了,然后又发上来, 一想到长期潜水,看帖不回就羞愧的不要不要的; //通过进程PID来获取目标模块路径; NTSTATUS GetModulesPathByProcessID (IN HANDLE ProcessId, IN WCHAR* ModuleName, OUT WCHAR* ModulesPath) {     t
有点神奇的效果
weixin_30784945的博客
06-08 120
如果Process->SeAuditProcessCreationInfo.ImageFileName有值,NULL掉,并ExFreePool了。 然后再遍历进程(简单zwqueryxxx即可),有神奇效果 PS:进程名先查找Process->SeAuditProcessCreationInfo.ImageFileName,如果为空则obquery获取,并赋值到Process...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值