[求助]Ring0截获内核API的调用进程全路径-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]Ring0截获内核API的调用进程全路径 0.00雪花

发表于: 2012-9-10 19:47 2145

[旧帖] [求助]Ring0截获内核API的调用进程全路径 0.00雪花

hhstudy

活跃值

1

2012-9-10 19:47

2145

本人菜鸟，刚学驱动。做了一个SSDT Hook
Hook了NtLoadDriver这个函数，现在能拦截到NtLoadDriver的操作，可是不知道是哪个进程调用了这个API，现在想获取这个进程的全路径。求大神指点，木有慧根，希望大神能说得详细一些

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

分享

最新回复 (2)
huiyi 雪币： 22 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	huiyi 2 楼 PsGetProcessImageFileName(IoGetCurrentProcess()) 取得当前进程的名字 2012-9-14 15:13 0
hhstudy 雪币： 65 活跃值： (452) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 32 粉丝 4 关注私信	hhstudy 1 3 楼原来表述得不是很清楚，应该说拦截到的文件路径都是service.exe 搞清楚了，很多程序加载驱动都是通过NtRequestWaitReplyPort 丢给 service.exe做的所以要拿全路径得在NtRequestWaitReplyPort 里面拿还是谢谢楼上朋友了 2012-11-11 23:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

hhstudy

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//