-
-
一个很有意思的进程路径问题
-
发表于: 2013-8-15 09:52
-
1、运行C:\path1\test.exe,关闭它。
2、把C:的path1目录重命名为path2。
3、运行C:\path2\test.exe
用xt看进程路径:
在procexp.exe进程路径,这个是用应用层枚举进程路径的。
用windbg看看eprocess信息,路径确实是path1.
kd> dt _eprocess 863a7020
nt!_EPROCESS
..
+0x174 ImageFileName : [16] "test.exe"
..
+0x1f4 SeAuditProcessCreationInfo : _SE_AUDIT_PROCESS_CREATION_INFO
kd> dt _SE_AUDIT_PROCESS_CREATION_INFO 863a7020+0x1f4
nt!_SE_AUDIT_PROCESS_CREATION_INFO
+0x000 ImageFileName : 0x86126420 _OBJECT_NAME_INFORMATION
kd> dt _OBJECT_NAME_INFORMATION 0x86126420
nt!_OBJECT_NAME_INFORMATION
+0x000 Name : _UNICODE_STRING "\Device\HarddiskVolume1\path1\test.exe"
请问各位大侠,这是啥子情况?如何在驱动层得取正确的path2路径?
2、把C:的path1目录重命名为path2。
3、运行C:\path2\test.exe
用xt看进程路径:
在procexp.exe进程路径,这个是用应用层枚举进程路径的。
用windbg看看eprocess信息,路径确实是path1.
kd> dt _eprocess 863a7020
nt!_EPROCESS
..
+0x174 ImageFileName : [16] "test.exe"
..
+0x1f4 SeAuditProcessCreationInfo : _SE_AUDIT_PROCESS_CREATION_INFO
kd> dt _SE_AUDIT_PROCESS_CREATION_INFO 863a7020+0x1f4
nt!_SE_AUDIT_PROCESS_CREATION_INFO
+0x000 ImageFileName : 0x86126420 _OBJECT_NAME_INFORMATION
kd> dt _OBJECT_NAME_INFORMATION 0x86126420
nt!_OBJECT_NAME_INFORMATION
+0x000 Name : _UNICODE_STRING "\Device\HarddiskVolume1\path1\test.exe"
请问各位大侠,这是啥子情况?如何在驱动层得取正确的path2路径?
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
我不是问路径的转换
|
|
|
我错了。。。。
|
|
|
|
