[求助]Ring0获取进程名，老梗新问。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
xed 雪币： 129 活跃值： (333) 能力值： ( LV3，RANK：20 ) 在线值：发帖 17 回帖 215 粉丝 2 关注私信	xed 2 楼 Eprocess结构里面有完整的路径内核加个dpc定时器取路径来更新。 pe文件加载并运行内存中可改名的话，则它要先断开引用的自身磁盘文件对象。内核取进程全路径，也许楼主用的到。主要是文件对象获取。这是以前写的老代码。或许可以优化下。通过挂钩ntcreateprocessex函数获取进程路径。createfile和open file没试过。不知可行与否。这是windows xp 32bit sp3。反汇编ntcreateprocessex函数。可看到如下代码。 mov ebx,[ebp+1ch] //父进程ID 此处ebx需要转换为handle数据类型。 ns = ObReferenceObjectByHandle( ebx，0, NULL, KernelMode, &pKey, NULL ); pFile = (PFILE_OBJECT)(ULONG)( ( char* )pKey + 20 ); pFile = (PFILE_OBJECT)(ULONG)( ( char* )pFile ); pFile = (PFILE_OBJECT)(ULONG)( ( char* )pFile + 36 ); RtlVolumeDeviceToDosName( pFile->DeviceObject, &usDosName ); RtlCopyUnicodeString( &usFullName, &usDosName ); ExFreePool( usDosName.Buffer ); RtlAppendUnicodeStringToString( &usFullName, &(pFile->FileName) ); RtlUnicodeStringToAnsiString( &akeyname, &usFullName, TRUE ); 参数akeyname就是全路径。 2016-2-2 01:23 0
dsqyg 雪币： 1258 活跃值： (598) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	dsqyg 3 楼是这个路径么？ Process->SeAuditProcessCreationInfo.ImageFileName SeLocateProcessImageName 这个API就是靠获取EPROCESS的结构得到的路径，但是获取不到镜像改名后的路径 2016-2-2 08:51 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 4 楼我有个很蠢的办法.....R0取个大概...R3匹配就是了.... 2016-2-2 14:54 0
dsqyg 雪币： 1258 活跃值： (598) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	dsqyg 5 楼这个，没有办法的办法的了不过绕了一大圈，进程多的时候，会不会出现效率问题？ 2016-2-2 16:59 0
蚯蚓降龙雪币： 4938 活跃值： (977) 能力值： ( LV9，RANK：175 ) 在线值：发帖 3 回帖 248 粉丝 3 关注私信	蚯蚓降龙 6 楼 http://bbs.pediy.com/showthread.php?t=96427 应该满足你了吧 2016-2-2 17:21 0
赵建新雪币： 8 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 156 回帖 410 粉丝 1 关注私信	赵建新 7 楼看看学学 2016-2-6 16:16 0
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 6 关注私信	KiDebug 4 8 楼一个ring3的API都可以获取到改名后的文件名： GetMappedFileName 楼主试一下 2016-2-10 19:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
xed 雪币： 129 活跃值： (333) 能力值： ( LV3，RANK：20 ) 在线值：发帖 17 回帖 215 粉丝 2 关注私信	xed 2 楼 Eprocess结构里面有完整的路径内核加个dpc定时器取路径来更新。 pe文件加载并运行内存中可改名的话，则它要先断开引用的自身磁盘文件对象。内核取进程全路径，也许楼主用的到。主要是文件对象获取。这是以前写的老代码。或许可以优化下。通过挂钩ntcreateprocessex函数获取进程路径。createfile和open file没试过。不知可行与否。这是windows xp 32bit sp3。反汇编ntcreateprocessex函数。可看到如下代码。 mov ebx,[ebp+1ch] //父进程ID 此处ebx需要转换为handle数据类型。 ns = ObReferenceObjectByHandle( ebx，0, NULL, KernelMode, &pKey, NULL ); pFile = (PFILE_OBJECT)(ULONG)( ( char* )pKey + 20 ); pFile = (PFILE_OBJECT)(ULONG)( ( char* )pFile ); pFile = (PFILE_OBJECT)(ULONG)( ( char* )pFile + 36 ); RtlVolumeDeviceToDosName( pFile->DeviceObject, &usDosName ); RtlCopyUnicodeString( &usFullName, &usDosName ); ExFreePool( usDosName.Buffer ); RtlAppendUnicodeStringToString( &usFullName, &(pFile->FileName) ); RtlUnicodeStringToAnsiString( &akeyname, &usFullName, TRUE ); 参数akeyname就是全路径。 2016-2-2 01:23 0
dsqyg 雪币： 1258 活跃值： (598) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	dsqyg 3 楼是这个路径么？ Process->SeAuditProcessCreationInfo.ImageFileName SeLocateProcessImageName 这个API就是靠获取EPROCESS的结构得到的路径，但是获取不到镜像改名后的路径 2016-2-2 08:51 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 4 楼我有个很蠢的办法.....R0取个大概...R3匹配就是了.... 2016-2-2 14:54 0
dsqyg 雪币： 1258 活跃值： (598) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	dsqyg 5 楼这个，没有办法的办法的了不过绕了一大圈，进程多的时候，会不会出现效率问题？ 2016-2-2 16:59 0
蚯蚓降龙雪币： 4938 活跃值： (977) 能力值： ( LV9，RANK：175 ) 在线值：发帖 3 回帖 248 粉丝 3 关注私信	蚯蚓降龙 6 楼 http://bbs.pediy.com/showthread.php?t=96427 应该满足你了吧 2016-2-2 17:21 0
赵建新雪币： 8 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 156 回帖 410 粉丝 1 关注私信	赵建新 7 楼看看学学 2016-2-6 16:16 0
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 6 关注私信	KiDebug 4 8 楼一个ring3的API都可以获取到改名后的文件名： GetMappedFileName 楼主试一下 2016-2-10 19:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复