[求助]SSDT hook 了NtLoadDriver 如何能知道进程加载的驱动文件的路径呢?-编程技术-看雪-安全社区|安全招聘|kanxue.com

0

[求助]SSDT hook 了NtLoadDriver 如何能知道进程加载的驱动文件的路径呢?

发表于: 2013-8-7 15:34 7463

[求助]SSDT hook 了NtLoadDriver 如何能知道进程加载的驱动文件的路径呢?

shinck

活跃值

2013-8-7 15:34

7463

SSDT hook 了NtLoadDriver 如何能知道进程加载的驱动文件的路径呢?

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

int MyNtLoadDriver(IN PUNICODE_STRING DriverServiceName)
{
    int nEProcess;
    nEProcess=(int)PsGetCurrentProcess();
 
    PSE_AUDIT_PROCESS_CREATION_INFO FullName;
    FullName=(PSE_AUDIT_PROCESS_CREATION_INFO)(nEProcess+0x1f4);
    RtlUnicodeStringToAnsiString(&ImagePathName,&(FullName->ImageFileName->Name),TRUE);
     
    if (FangORlan==1)
    {
        return RealNtLoadDriver(DriverServiceName);
    }
 
 
    return STATUS_ACCESS_DENIED; 
}

在上面代码中 FullName 可以得到加载驱动的进程怎么得到加载的是哪个模块呢?

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！

收藏・0

免费

支持

分享

最新回复 (7)
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 1 关注私信	遗失灵魂 2 楼 IN PUNICODE_STRING DriverServiceName 2013-8-7 17:08 0
evilor 雪币： 297 活跃值： (280) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 3 楼我擦。。参数呗。。。 2013-8-7 17:38 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 4 楼 DriverServiceName是驱动服务在注册表中的路径，拿着这个路径，去打开注册表，获取ImagePath键值就是驱动文件的路径了。 2013-8-7 17:48 0
永驻零一雪币： 46 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 337 粉丝 0 关注私信	永驻零一 5 楼参数就参数呗你擦个什么 2013-8-7 18:13 0
libocdf 雪币： 119 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 297 粉丝 0 关注私信	libocdf 6 楼呵呵呵。。。。 2013-8-7 19:58 0
evilor 雪币： 297 活跃值： (280) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 7 楼你觉得呢？呵呵 2013-8-8 16:45 0
永驻零一雪币： 46 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 337 粉丝 0 关注私信	永驻零一 8 楼擦黑板~~~ 2013-8-8 18:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

shinck

发帖

回帖

RANK

他的文章

[求助]SSDT hook 了NtLoadDriver 如何能知道进程加载的驱动文件的路径呢? 7464

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区