程序博客网 > 网站域名备案查询

驱动中获取进程名的正确方法

来源:互联网 发布:网站域名备案查询 编辑:程序博客网 时间:2024/05/21 20:03
这是个古老的话题,没有技术含量,只不过看到网上很多驱动代码在获取进程名时总喜欢去读偏移 EPROCESS.ImageFileName,感觉比较误导新人。

这个方法其实很不科学,硬编码偏移带来的兼容性问题以及16字节截断的问题(Win7过后是15字节)就不用说了,关键是这个 EPROCESS.ImageFileName 其实并不靠谱

咱们可以做个实验,随便打开一个程序,比如记事本notepad.exe。然后看看ImageFileName:

procname1.png


似乎没什么问题。接下来关闭这个notepad.exe,再将可执行程序改个名,比如改成xxx.exe:

procname2.png


再次双击运行,再看看ImageFileName:

procname3.png


发现问题了吧?在内核中 EPROCESS.ImageFileName 只不过是个参考信息,准确的路径在 EPROCESS.SeAuditProcessCreationInfo.ImageFileName 这个地方:

procname4.png


不过硬编码偏移始终不是一个好方法,正确的方法是召唤 ZwQueryProcessInformation(其实原理就是EPROCESS.SeAuditProcessCreationInfo.ImageFileName)。下面贴一段我自己常用的进程名获取函数(其实从某个主动防御的代码中逆向出来的):

  1. PUNICODE_STRING GetProcNameByEproc(IN PEPROCESS pEproc) 
  2. /*++ 
  3.  
  4. Routine Description: 
  5.  
  6.     获取指定进程的完整进程名 
  7.  
  8.  
  9. Arguments: 
  10.  
  11.     pEproc - 指定进程的EPROCESS地址 
  12.  
  13.  
  14. Return Value: 
  15.      
  16.     成功则返回进程名,失败返回NULL 
  17.  
  18.  
  19. Comments: 
  20.  
  21.     该函数返回的进程名,由调用则负责释放(ExFreePool)。 
  22.  
  23.  
  24. --*/ 
  25. { 
  26.     NTSTATUS NtStatus; 
  27.     HANDLE hProc = NULL; 
  28.     PBYTE pBuf = NULL; 
  29.     ULONG ulSize = 32; 
  30.      
  31.     PAGED_CODE(); 
  32.  
  33.     // 
  34.     // 1. pEproc --> handle 
  35.     // 
  36.     NtStatus = ObOpenObjectByPointer( pEproc,  
  37.                                         OBJ_KERNEL_HANDLE,  
  38.                                         NULL,  
  39.                                         0,  
  40.                                         NULL,  
  41.                                         KernelMode,  
  42.                                         &hProc 
  43.                                     ); 
  44.  
  45.     if (!NT_SUCCESS(NtStatus)) 
  46.         return NULL; 
  47.  
  48.     // 
  49.     // 2. ZwQueryInformationProcess 
  50.     // 
  51.     while ( TRUE ) 
  52.     { 
  53.         pBuf = ExAllocatePoolWithTag(NonPagedPool, ulSize, ALLOC_TAG); 
  54.         if ( !pBuf ) { 
  55.             ZwClose(hProc); 
  56.             return NULL; 
  57.         } 
  58.  
  59.         NtStatus = ZwQueryInformationProcess( hProc, 
  60.                                                 ProcessImageFileName,  
  61.                                                 pBuf,  
  62.                                                 ulSize,  
  63.                                                 &ulSize); 
  64.         if ( NtStatus != STATUS_INFO_LENGTH_MISMATCH ) 
  65.             break; 
  66.  
  67.         ExFreePool(pBuf); 
  68.     } 
  69.  
  70.     ZwClose(hProc); 
  71.  
  72.     if ( !NT_SUCCESS(NtStatus) ) { 
  73.         ExFreePool(pBuf); 
  74.         return NULL; 
  75.     }    
  76.  
  77.     // 
  78.     // 3. over 
  79.     // 
  80.     return (PUNICODE_STRING)pBuf; 
  81. }


进程名使用完毕后记得 ExFreePool。


其实非要用硬编码的话,除了 EPROCESS.ImageFileNameEPROCESS 和 PROCESS.SeAuditProcessCreationInfo.ImageFileName 还有其它地方也可以获得进程名,例如 PEB 里的ldr。具体可以参考我以前写的彻底改掉进程名》。

0 0
网站域名备案查询 网站域名备案查询
原创粉丝点击
热门IT博客
网络直播问题网络直播问题
c语言函数库 查询手册c语言函数库 查询手册
js窗口大小改变事件
3dm软件下载
mac python 文件路径
openresty 部署java
全国网络零售交易额
江西 知乎
otdr自动生成软件
p2p行业实名认证数据
网络传销公司名单2016
java方法转soapenv报文
身体除湿 知乎
淘宝不剪标违法吗
约瑟夫环 数组
stc单片机红外发射
好的变声软件
淘宝专营店会有假货吗
阿里数据研究院
读屏软件 新闻
热门问题 老师的惩罚 人脸识别 我在镇武司摸鱼那些年 重生之率土为王 我在大康的咸鱼生活 盘龙之生命进化 天生仙种 凡人之先天五行 春回大明朝 姑娘不必设防,我是瞎子 廖静文的劣迹 劣迹全文阅读 劣迹周劣孟迹 追杀令 yy的劣迹 陈师行 劣迹斑斑 袁立为什么是劣迹艺人 死而复生 yy的劣迹 哑儿by丫丫的劣迹 蓝田青羊庄支书赵涛劣迹 我准是在地狱 yy的劣迹 劣魔成长日记 一天两更 静中思动 中动玩具 股票中pe动是什么意思 动中有静 朗动中配 动中要 不动产权证 动产 动产抵押 不动产权 有形动产 有形动产租赁税率 动产和不动产 不动产权证书图片 不动产权证书办理流程 动产租赁增值税税率 动产租赁税率 不动产权证好还是房产证好 动产浮动抵押 深圳市不动产权登记中心 房产证不动产权证区别 动产抵押登记 什么是不动产权证 中征动产融资统一登记平台 如何办理不动产权证 房屋不动产权证是什么意思 不动产权证和房产证的区别 不动产权查询 动产所有权转移 不动产权证号在哪个位置

程序博客网,程序员的互联网技术博客家园。csdn论坛精品 msdn技术资料都在这里