[讨论]如何从进程中提取出其打开的文件的路径？比如从WINWORD.EXE中得到“X:\XX\XXX.docx”-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]如何从进程中提取出其打开的文件的路径？比如从WINWORD.EXE中得到“X:\XX\XXX.docx”

2012-12-15 06:53 13622

[讨论]如何从进程中提取出其打开的文件的路径？比如从WINWORD.EXE中得到“X:\XX\XXX.docx”

wrgg

活跃值

2012-12-15 06:53

13622

如题。算是讨论，也算求助吧。GetCommandLine只能获得当前进程的可执行文件路径，GetModuleFileNameEx也只得到进程文件路径，还有一些其它方法也试了，无果……
“X:\XX\XXX.docx”

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・3

点赞・0

打赏

分享

最新回复 (19)
王下邀月雪币： 96 活跃值： (27) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 51 粉丝 0 关注私信	王下邀月 1 2012-12-15 10:43 2 楼 0 能不能设置关于打开某一类型文件的钩子？然后如果是你要监控的进程调用的就记录下来？
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 12 回帖 347 粉丝 4 关注私信	RootSuLe 4 2012-12-15 11:28 3 楼 0 PEB->RTL_USER_PROCESS_PARAMETERS->CommandLine
死鱼高达雪币： 480 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 36 粉丝 0 关注私信	死鱼高达 2012-12-15 13:40 4 楼 0 枚举这个进程的文件句柄即可
网络游侠雪币： 9 活跃值： (939) 能力值： ( LV3，RANK：30 ) 在线值：发帖 20 回帖 976 粉丝 11 关注私信	网络游侠 2012-12-15 16:05 5 楼 0 WINWORD.EXE中得到“X:\XX\XXX.docx” 简单HOOK 目标进程 LoadLibraryA
wrgg 雪币： 134 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 366 粉丝 0 关注私信	wrgg 2012-12-15 22:33 6 楼 0 感谢大家的回复。PEB之前试过，没调试成功，我再试试。钩子应该可以，但为什么是HOOK LoadLibrary，而不是CreateFile、CreateMapFile之类？还有，枚举进程中的句柄可以，如何进一步枚举文件句柄？除了主进程句柄外，枚举出来的都是“……ntdll.dll”这些，找不到所要的文件句柄啊。肿麽办？
迷死人雪币： 179 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 31 粉丝 0 关注私信	迷死人 2012-12-16 01:09 7 楼 0 看看支持你
wrgg 雪币： 134 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 366 粉丝 0 关注私信	wrgg 2012-12-16 07:09 8 楼 0 谢谢你的鼓励和支持
仙湖小混雪币： 224 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	仙湖小混 1 2012-12-16 08:14 9 楼 0 1：ZwQuerySystemInformation SystemHandleInformation得到进程打开的句柄 2：ZwQueryObject根据句柄得到文件名称
wrgg 雪币： 134 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 366 粉丝 0 关注私信	wrgg 2012-12-22 00:17 10 楼 0 调了好几天了没有预期的结果有点想用驱动做了有点担心驱动太难调试了
thinkingn 雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	thinkingn 2012-12-25 09:06 11 楼 0 这基本不可行。一个程序可以打开一个文件读取后就closehandle，这时间可能很长也可能读完就close ，自己写个小程序试试
古河雪币： 820 活跃值： (380) 能力值： ( LV12，RANK：310 ) 在线值：发帖 24 回帖 132 粉丝 31 关注私信	古河 6 2012-12-25 09:40 12 楼 0 枚举进程打开的文件句柄，然后: http://msdn.microsoft.com/en-us/library/aa366789%28VS.85%29.aspx
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 249 粉丝 3 关注私信	blackwhite 1 2012-12-25 17:14 13 楼 0 如果是winword可以dde hook
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 249 粉丝 3 关注私信	blackwhite 1 2012-12-25 17:17 14 楼 0 如果是在shellcode中还是用暴力穷举句柄然后比较大小吧.或者用ZwQueryVirtualMemory 不知道你具体的目的,总之办法n多
wrgg 雪币： 134 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 366 粉丝 0 关注私信	wrgg 2013-1-10 22:56 15 楼 0 由于忙于其它事没来看回复感谢大家的热心帮助我会尽快搞定
小P孩儿雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 484 粉丝 0 关注私信	小P孩儿 2013-1-10 22:59 16 楼 0 wmic>process
小华子雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	小华子 2013-1-11 11:28 17 楼 0 这是对的..根据文件句柄进行枚举..对于OFFICE来说是可以用的..因为OFFICE在操作文档后会一直有这个文件的句柄信息..可以通过procexp.exe程序来看.. 另外得看你想做什么功能了. 你可以通过HOOK CreateFileW函数来对你关心的文件保存,等你需要用的时候,再从里面找..
wrgg 雪币： 134 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 366 粉丝 0 关注私信	wrgg 2013-1-15 23:20 18 楼 0 其实我只是想从运行的WINWORD.EXE中知道其打开了哪些个文档（如果存在已打开的文档的话）并对该文档进行操作控制 zw*这样的驱动级函数到现在也没实现能力有限啊寒假充下电先
chinester 雪币： 238 活跃值： (375) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 83 粉丝 0 关注私信	chinester 2013-1-18 23:56 19 楼 0 不用那么深吧。。。用NTQuerySystemInformation NTQueryObject 也是可以取得进程信息的。当然也包括了所有的句柄
wrgg 雪币： 134 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 366 粉丝 0 关注私信	wrgg 2013-1-19 06:23 20 楼 0 谢谢 NTQuerySystemInformation NTQueryObject我试过不过没成功我的问题等考完试把她弄出来
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

返回

wrgg

发帖

回帖

RANK

关注

他的文章

[讨论]如何从进程中提取出其打开的文件的路径？比如从WINWORD.EXE中得到“X:\XX\XXX.docx”

[求助]关于获取word文档绝对路径……

[讨论][讨论]快转正了啊哈哈

关于雪币

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区