首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]SSDT hook 了NtLoadDriver 如何能知道进程加载的驱动文件的路径呢?
发表于: 2013-8-7 15:34 7388

[求助]SSDT hook 了NtLoadDriver 如何能知道进程加载的驱动文件的路径呢?

shinck 活跃值
2013-8-7 15:34
7388
SSDT hook 了NtLoadDriver 如何能知道进程加载的驱动文件的路径呢?

int MyNtLoadDriver(IN PUNICODE_STRING DriverServiceName)
{
	int nEProcess;
	nEProcess=(int)PsGetCurrentProcess();

	PSE_AUDIT_PROCESS_CREATION_INFO FullName;
	FullName=(PSE_AUDIT_PROCESS_CREATION_INFO)(nEProcess+0x1f4);
	RtlUnicodeStringToAnsiString(&ImagePathName,&(FullName->ImageFileName->Name),TRUE);
	
	if (FangORlan==1)
	{
		return RealNtLoadDriver(DriverServiceName);
	}


	return STATUS_ACCESS_DENIED; 
}


在上面代码中 FullName 可以得到加载驱动的进程 怎么得到加载的是哪个模块呢?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (7)
遗失灵魂
雪    币: 220
活跃值: (117)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
2
IN PUNICODE_STRING DriverServiceName
2013-8-7 17:08
0
evilor
雪    币: 297
活跃值: (265)
能力值: ( LV4,RANK:55 )
在线值:
发帖
回帖
粉丝
私信
3
我擦。。参数呗。。。
2013-8-7 17:38
0
ITSailor
雪    币: 4817
活跃值: (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
DriverServiceName是驱动服务在注册表中的路径,拿着这个路径,去打开注册表,获取ImagePath键值就是驱动文件的路径了。
2013-8-7 17:48
0
永驻零一
雪    币: 46
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
参数就参数呗
你擦个什么
2013-8-7 18:13
0
libocdf
雪    币: 119
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
呵呵呵。。。。
2013-8-7 19:58
0
evilor
雪    币: 297
活跃值: (265)
能力值: ( LV4,RANK:55 )
在线值:
发帖
回帖
粉丝
私信
7
你觉得呢?呵呵
2013-8-8 16:45
0
永驻零一
雪    币: 46
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
擦黑板~~~
2013-8-8 18:20
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//