[求助]请问ring0 HOOK了ntCreateProcessEx 怎么获取被创建的进程名-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 2 楼拜托我不是在原帖回你了吗，用得着再发新帖吗？再说了论坛里搜索一下这个问题就有答案了…… 2009-11-29 22:02 0
ejoyc 雪币： 211 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	ejoyc 3 楼下面的代码可以在应该可以在lz的程序中稳定运行 PFILE_OBJECT FileObject; POBJECT_NAME_INFORMATION wcFilePath; if (NT_SUCCESS(ObReferenceObjectByHandle(FileHandle,0,NULL,KernelMode,&FileObject,NULL)))//获取文件对象 { if (IoQueryFileDosDeviceName(FileObject,&wcFilePath)==STATUS_SUCCESS)//获取文件对象所对应的文件Dos设备名称,即是全路径 { DbgPrint("%ws\r\n",wcFilePath->Name.Buffer); ExFreePool(wcFilePath); } ObDereferenceObject(FileObject); } 上面的代码证明是不对的。十分对不住lz } 2009-11-29 22:49 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 4 楼 IoQueryFileDosDeviceName 哇，我很怕怕，我看到了好多蓝屏和死机。 2009-11-30 01:51 0
ejoyc 雪币： 211 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	ejoyc 5 楼回楼上：的确IoQueryFileDosDeviceName任意BSOD，但是我在自己的inlinehookntCreateProcessEx和ntcreatesection中调用还是比较稳定的。不过在hook tcpip.sys的派遣函数时，必蓝屏(PsReferenceProcessFilePointer+IoQueryFileDosDeviceName还是很稳定的）。我也是小菜，回复的内容不当，请高手见谅 2009-11-30 08:45 0
ndbmz 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	ndbmz 6 楼谢谢 ejoyc 我去试试哈 2009-11-30 12:36 0
ndbmz 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	ndbmz 7 楼哎菜就是菜啊 RING0学习东西太多了请问如何得到PFILE_OBJECT FileObject;这个文件的句柄啊 2009-11-30 13:30 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 8 楼 http://bbs.pediy.com/showthread.php?t=102087第10楼……看来你是个绝对不回头看的人，我明明说了在你的原帖回过了。 2009-11-30 17:17 0
ejoyc 雪币： 211 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	ejoyc 9 楼 http://bbs.pediy.com/showthread.php?p=432627这是sudami曾经的帖子惭愧！轩辕小聪解释得很到位！是我看错了lz的帖子！的确我的方法无法工作。向lz和轩辕小聪道歉。 2009-11-30 18:03 0
ejoyc 雪币： 211 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	ejoyc 10 楼 lz，下面的代码可以工作了。至少在win2003sp2ent上稳定运行。 PFILE_OBJECT FileObject; PVOID SectionObject; POBJECT_NAME_INFORMATION wcFilePath; if (NT_SUCCESS(ObReferenceObjectByHandle(SectionHandle,0,NULL,KernelMode,&SectionObject,NULL)))//获取文件对象 { _try { FileObject = (PFILE_OBJECT)(((ULONG )SectionObject + 5)); // PSEGMENT FileObject = (PFILE_OBJECT )FileObject; // CONTROL_AREA FileObject = (PFILE_OBJECT )((ULONG)FileObject + 36); // FILE_OBJECT ObReferenceObjectByPointer((PVOID)FileObject, 0, NULL, KernelMode); if (IoQueryFileDosDeviceName(FileObject,&wcFilePath)==STATUS_SUCCESS)//获取文件对象所对应的文件Dos设备名称,即是全路径 { DbgPrint("%ws \r\n",wcFilePath->Name.Buffer); ExFreePool(wcFilePath);//IoQueryFileDosDeviceName获取的OBJECT_NAME_INFORMATION 需要手动释放 } else { KdPrint(("[ScanFunc] MmCreatePeb is called by [Path=%ws]\r\n",FileObject->FileName.Buffer)); } ObDereferenceObject(FileObject); } _except(EXCEPTION_EXECUTE_HANDLER) { DbgPrint("catch error\r\n"); } ObDereferenceObject(SectionObject); } 2009-11-30 22:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 2 楼拜托我不是在原帖回你了吗，用得着再发新帖吗？再说了论坛里搜索一下这个问题就有答案了…… 2009-11-29 22:02 0
ejoyc 雪币： 211 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	ejoyc 3 楼下面的代码可以在应该可以在lz的程序中稳定运行 PFILE_OBJECT FileObject; POBJECT_NAME_INFORMATION wcFilePath; if (NT_SUCCESS(ObReferenceObjectByHandle(FileHandle,0,NULL,KernelMode,&FileObject,NULL)))//获取文件对象 { if (IoQueryFileDosDeviceName(FileObject,&wcFilePath)==STATUS_SUCCESS)//获取文件对象所对应的文件Dos设备名称,即是全路径 { DbgPrint("%ws\r\n",wcFilePath->Name.Buffer); ExFreePool(wcFilePath); } ObDereferenceObject(FileObject); } 上面的代码证明是不对的。十分对不住lz } 2009-11-29 22:49 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 4 楼 IoQueryFileDosDeviceName 哇，我很怕怕，我看到了好多蓝屏和死机。 2009-11-30 01:51 0
ejoyc 雪币： 211 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	ejoyc 5 楼回楼上：的确IoQueryFileDosDeviceName任意BSOD，但是我在自己的inlinehookntCreateProcessEx和ntcreatesection中调用还是比较稳定的。不过在hook tcpip.sys的派遣函数时，必蓝屏(PsReferenceProcessFilePointer+IoQueryFileDosDeviceName还是很稳定的）。我也是小菜，回复的内容不当，请高手见谅 2009-11-30 08:45 0
ndbmz 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	ndbmz 6 楼谢谢 ejoyc 我去试试哈 2009-11-30 12:36 0
ndbmz 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	ndbmz 7 楼哎菜就是菜啊 RING0学习东西太多了请问如何得到PFILE_OBJECT FileObject;这个文件的句柄啊 2009-11-30 13:30 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 8 楼 http://bbs.pediy.com/showthread.php?t=102087第10楼……看来你是个绝对不回头看的人，我明明说了在你的原帖回过了。 2009-11-30 17:17 0
ejoyc 雪币： 211 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	ejoyc 9 楼 http://bbs.pediy.com/showthread.php?p=432627这是sudami曾经的帖子惭愧！轩辕小聪解释得很到位！是我看错了lz的帖子！的确我的方法无法工作。向lz和轩辕小聪道歉。 2009-11-30 18:03 0
ejoyc 雪币： 211 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	ejoyc 10 楼 lz，下面的代码可以工作了。至少在win2003sp2ent上稳定运行。 PFILE_OBJECT FileObject; PVOID SectionObject; POBJECT_NAME_INFORMATION wcFilePath; if (NT_SUCCESS(ObReferenceObjectByHandle(SectionHandle,0,NULL,KernelMode,&SectionObject,NULL)))//获取文件对象 { _try { FileObject = (PFILE_OBJECT)(((ULONG )SectionObject + 5)); // PSEGMENT FileObject = (PFILE_OBJECT )FileObject; // CONTROL_AREA FileObject = (PFILE_OBJECT )((ULONG)FileObject + 36); // FILE_OBJECT ObReferenceObjectByPointer((PVOID)FileObject, 0, NULL, KernelMode); if (IoQueryFileDosDeviceName(FileObject,&wcFilePath)==STATUS_SUCCESS)//获取文件对象所对应的文件Dos设备名称,即是全路径 { DbgPrint("%ws \r\n",wcFilePath->Name.Buffer); ExFreePool(wcFilePath);//IoQueryFileDosDeviceName获取的OBJECT_NAME_INFORMATION 需要手动释放 } else { KdPrint(("[ScanFunc] MmCreatePeb is called by [Path=%ws]\r\n",FileObject->FileName.Buffer)); } ObDereferenceObject(FileObject); } _except(EXCEPTION_EXECUTE_HANDLER) { DbgPrint("catch error\r\n"); } ObDereferenceObject(SectionObject); } 2009-11-30 22:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复