不通过OpenProcess如何获取完整路径？-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
DiamondH 雪币： 1119 活跃值： (2029) 能力值： ( LV4，RANK：40 ) 在线值：发帖 4 回帖 53 粉丝 25 关注私信	DiamondH 2016-6-5 20:03 2 楼 0 枚举全盘文件或者你大神过它驱动，要么从任务管理器跟他嘿嘿嘿
木木的世界雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 3 粉丝 0 关注私信	木木的世界 2016-6-6 17:52 3 楼 0 方法烦烦烦烦烦烦烦烦烦
yifi 雪币： 41 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	yifi 2016-6-7 21:38 4 楼 0 通过EProcess
hzqst 雪币： 12837 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 539 关注私信	hzqst 3 2016-6-14 10:27 5 楼 0 说一个用驱动的方法（摘抄自https://www.0xaa55.com/forum.php?mod=viewthread&tid=1521&extra=page%3D1&page=1）： PEPROCESS Process = NULL; if (NT_SUCCESS(PsLookupProcessByProcessId(ProcessId, &Process))) { KAPC_STATE KApc; KeStackAttachProcess((PRKPROCESS)Process, &KApc); status = GetCurrentProcessName(ProcessName); KeUnstackDetachProcess(&KApc); ObDereferenceObject(Process); } NTSTATUS GetCurrentProcessName(PUNICODE_STRING ProcessName) { NTSTATUS status = STATUS_UNSUCCESSFUL; PVOID ImageBase = PsGetProcessSectionBaseAddress(PsGetCurrentProcess()); PVOID SectionName = ExAllocatePool(NonPagedPool, ProcessName->MaximumLength + sizeof(MEMORY_SECTION_NAME)); if (!SectionName) return status; if (ImageBase && ZwQueryVirtualMemoryRoutine) { MEMORY_BASIC_INFORMATION BasicInfo; status = ZwQueryVirtualMemoryRoutine(NtCurrentProcess(), ImageBase, MemoryBasicInformation, &BasicInfo, sizeof(BasicInfo), NULL); if (NT_SUCCESS(status) && BasicInfo.Type == MEM_IMAGE) { status = ZwQueryVirtualMemoryRoutine(NtCurrentProcess(), ImageBase, MemorySectionName, SectionName, ProcessName->MaximumLength + sizeof(MEMORY_SECTION_NAME), NULL); if (NT_SUCCESS(status)) { RtlCopyUnicodeString(ProcessName, &((PMEMORY_SECTION_NAME)SectionName)->SectionFileName); ExFreePool(SectionName); return STATUS_SUCCESS; } } } ExFreePool(SectionName); return status; } 基本上过任何正常的SSDT HOOK和Object回调保护
赵R天雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 13 粉丝 0 关注私信	赵R天 2016-6-15 00:28 6 楼 0 额，只限Ring3层，所以才棘手呢
Morgion 雪币： 606 活跃值： (608) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 651 粉丝 5 关注私信	Morgion 1 2016-6-15 03:42 7 楼 0 既然已经有了文件名称，那你就用ToolHelp32的方法来枚举进程啊，匹配一下PID不就行了
hzqst 雪币： 12837 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 539 关注私信	hzqst 3 2016-6-15 11:19 8 楼 0 用ZwQuerySystemInformation(SystemProcessInformation, 啊 PSYSTEM_PROCESS_INFORMATION里面不是有个UNICODE_STRING ImageName;吗如果人家断链隐藏进程了你用ZwQuerySystemInformation枚举不到，那ring3就无解
轩辕之风雪币： 2290 活跃值： (908) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 298 粉丝 62 关注私信	轩辕之风 1 2016-6-15 12:12 9 楼 0 既然大门有守卫看守，没法硬闯进去，那就想办法正大光明进去。 ------------------------------------------------------------------------ 弄个dll想办法（DLL劫持、SetWindowsHookEx、AppInit_Dlls等等等）注入到进程进去，只要进去了，获取个全路径还是难事吗？最简单的如GetCommandLineW就行
hzqst 雪币： 12837 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 539 关注私信	hzqst 3 2016-6-16 10:59 10 楼 0 碰到那种勾自己LdrLoadDll拒绝加载dll的就无解了（大多数挂的作者应该不会这么做吧）
轩辕之风雪币： 2290 活跃值： (908) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 298 粉丝 62 关注私信	轩辕之风 1 2016-6-16 11:37 11 楼 0 即便拒绝也不敢随意乱拒绝吧
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (10)
DiamondH 雪币： 1119 活跃值： (2029) 能力值： ( LV4，RANK：40 ) 在线值：发帖 4 回帖 53 粉丝 25 关注私信	DiamondH 2016-6-5 20:03 2 楼 0 枚举全盘文件或者你大神过它驱动，要么从任务管理器跟他嘿嘿嘿
木木的世界雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 3 粉丝 0 关注私信	木木的世界 2016-6-6 17:52 3 楼 0 方法烦烦烦烦烦烦烦烦烦
yifi 雪币： 41 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	yifi 2016-6-7 21:38 4 楼 0 通过EProcess
hzqst 雪币： 12837 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 539 关注私信	hzqst 3 2016-6-14 10:27 5 楼 0 说一个用驱动的方法（摘抄自https://www.0xaa55.com/forum.php?mod=viewthread&tid=1521&extra=page%3D1&page=1）： PEPROCESS Process = NULL; if (NT_SUCCESS(PsLookupProcessByProcessId(ProcessId, &Process))) { KAPC_STATE KApc; KeStackAttachProcess((PRKPROCESS)Process, &KApc); status = GetCurrentProcessName(ProcessName); KeUnstackDetachProcess(&KApc); ObDereferenceObject(Process); } NTSTATUS GetCurrentProcessName(PUNICODE_STRING ProcessName) { NTSTATUS status = STATUS_UNSUCCESSFUL; PVOID ImageBase = PsGetProcessSectionBaseAddress(PsGetCurrentProcess()); PVOID SectionName = ExAllocatePool(NonPagedPool, ProcessName->MaximumLength + sizeof(MEMORY_SECTION_NAME)); if (!SectionName) return status; if (ImageBase && ZwQueryVirtualMemoryRoutine) { MEMORY_BASIC_INFORMATION BasicInfo; status = ZwQueryVirtualMemoryRoutine(NtCurrentProcess(), ImageBase, MemoryBasicInformation, &BasicInfo, sizeof(BasicInfo), NULL); if (NT_SUCCESS(status) && BasicInfo.Type == MEM_IMAGE) { status = ZwQueryVirtualMemoryRoutine(NtCurrentProcess(), ImageBase, MemorySectionName, SectionName, ProcessName->MaximumLength + sizeof(MEMORY_SECTION_NAME), NULL); if (NT_SUCCESS(status)) { RtlCopyUnicodeString(ProcessName, &((PMEMORY_SECTION_NAME)SectionName)->SectionFileName); ExFreePool(SectionName); return STATUS_SUCCESS; } } } ExFreePool(SectionName); return status; } 基本上过任何正常的SSDT HOOK和Object回调保护
赵R天雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 13 粉丝 0 关注私信	赵R天 2016-6-15 00:28 6 楼 0 额，只限Ring3层，所以才棘手呢
Morgion 雪币： 606 活跃值： (608) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 651 粉丝 5 关注私信	Morgion 1 2016-6-15 03:42 7 楼 0 既然已经有了文件名称，那你就用ToolHelp32的方法来枚举进程啊，匹配一下PID不就行了
hzqst 雪币： 12837 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 539 关注私信	hzqst 3 2016-6-15 11:19 8 楼 0 用ZwQuerySystemInformation(SystemProcessInformation, 啊 PSYSTEM_PROCESS_INFORMATION里面不是有个UNICODE_STRING ImageName;吗如果人家断链隐藏进程了你用ZwQuerySystemInformation枚举不到，那ring3就无解
轩辕之风雪币： 2290 活跃值： (908) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 298 粉丝 62 关注私信	轩辕之风 1 2016-6-15 12:12 9 楼 0 既然大门有守卫看守，没法硬闯进去，那就想办法正大光明进去。 ------------------------------------------------------------------------ 弄个dll想办法（DLL劫持、SetWindowsHookEx、AppInit_Dlls等等等）注入到进程进去，只要进去了，获取个全路径还是难事吗？最简单的如GetCommandLineW就行
hzqst 雪币： 12837 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 539 关注私信	hzqst 3 2016-6-16 10:59 10 楼 0 碰到那种勾自己LdrLoadDll拒绝加载dll的就无解了（大多数挂的作者应该不会这么做吧）
轩辕之风雪币： 2290 活跃值： (908) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 298 粉丝 62 关注私信	轩辕之风 1 2016-6-16 11:37 11 楼 0 即便拒绝也不敢随意乱拒绝吧
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复