不通过OpenProcess如何获取完整路径？-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
DiamondH 雪币： 1114 活跃值： (2094) 能力值： ( LV4，RANK：40 ) 在线值：发帖 4 回帖 56 粉丝 26 关注私信	DiamondH 2 楼枚举全盘文件或者你大神过它驱动，要么从任务管理器跟他嘿嘿嘿 2016-6-5 20:03 0
木木的世界雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 3 粉丝 0 关注私信	木木的世界 3 楼方法烦烦烦烦烦烦烦烦烦 2016-6-6 17:52 0
yifi 雪币： 41 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	yifi 4 楼通过EProcess 2016-6-7 21:38 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 5 楼说一个用驱动的方法（摘抄自https://www.0xaa55.com/forum.php?mod=viewthread&tid=1521&extra=page%3D1&page=1）： PEPROCESS Process = NULL; if (NT_SUCCESS(PsLookupProcessByProcessId(ProcessId, &Process))) { KAPC_STATE KApc; KeStackAttachProcess((PRKPROCESS)Process, &KApc); status = GetCurrentProcessName(ProcessName); KeUnstackDetachProcess(&KApc); ObDereferenceObject(Process); } NTSTATUS GetCurrentProcessName(PUNICODE_STRING ProcessName) { NTSTATUS status = STATUS_UNSUCCESSFUL; PVOID ImageBase = PsGetProcessSectionBaseAddress(PsGetCurrentProcess()); PVOID SectionName = ExAllocatePool(NonPagedPool, ProcessName->MaximumLength + sizeof(MEMORY_SECTION_NAME)); if (!SectionName) return status; if (ImageBase && ZwQueryVirtualMemoryRoutine) { MEMORY_BASIC_INFORMATION BasicInfo; status = ZwQueryVirtualMemoryRoutine(NtCurrentProcess(), ImageBase, MemoryBasicInformation, &BasicInfo, sizeof(BasicInfo), NULL); if (NT_SUCCESS(status) && BasicInfo.Type == MEM_IMAGE) { status = ZwQueryVirtualMemoryRoutine(NtCurrentProcess(), ImageBase, MemorySectionName, SectionName, ProcessName->MaximumLength + sizeof(MEMORY_SECTION_NAME), NULL); if (NT_SUCCESS(status)) { RtlCopyUnicodeString(ProcessName, &((PMEMORY_SECTION_NAME)SectionName)->SectionFileName); ExFreePool(SectionName); return STATUS_SUCCESS; } } } ExFreePool(SectionName); return status; } 基本上过任何正常的SSDT HOOK和Object回调保护 2016-6-14 10:27 0
赵R天雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 13 粉丝 0 关注私信	赵R天 6 楼额，只限Ring3层，所以才棘手呢 2016-6-15 00:28 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 7 楼既然已经有了文件名称，那你就用ToolHelp32的方法来枚举进程啊，匹配一下PID不就行了 2016-6-15 03:42 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 8 楼用ZwQuerySystemInformation(SystemProcessInformation, 啊 PSYSTEM_PROCESS_INFORMATION里面不是有个UNICODE_STRING ImageName;吗如果人家断链隐藏进程了你用ZwQuerySystemInformation枚举不到，那ring3就无解 2016-6-15 11:19 0
轩辕之风雪币： 2291 活跃值： (938) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 9 楼既然大门有守卫看守，没法硬闯进去，那就想办法正大光明进去。 ------------------------------------------------------------------------ 弄个dll想办法（DLL劫持、SetWindowsHookEx、AppInit_Dlls等等等）注入到进程进去，只要进去了，获取个全路径还是难事吗？最简单的如GetCommandLineW就行 2016-6-15 12:12 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 10 楼碰到那种勾自己LdrLoadDll拒绝加载dll的就无解了（大多数挂的作者应该不会这么做吧） 2016-6-16 10:59 0
轩辕之风雪币： 2291 活跃值： (938) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 11 楼即便拒绝也不敢随意乱拒绝吧 2016-6-16 11:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
DiamondH 雪币： 1114 活跃值： (2094) 能力值： ( LV4，RANK：40 ) 在线值：发帖 4 回帖 56 粉丝 26 关注私信	DiamondH 2 楼枚举全盘文件或者你大神过它驱动，要么从任务管理器跟他嘿嘿嘿 2016-6-5 20:03 0
木木的世界雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 3 粉丝 0 关注私信	木木的世界 3 楼方法烦烦烦烦烦烦烦烦烦 2016-6-6 17:52 0
yifi 雪币： 41 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	yifi 4 楼通过EProcess 2016-6-7 21:38 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 5 楼说一个用驱动的方法（摘抄自https://www.0xaa55.com/forum.php?mod=viewthread&tid=1521&extra=page%3D1&page=1）： PEPROCESS Process = NULL; if (NT_SUCCESS(PsLookupProcessByProcessId(ProcessId, &Process))) { KAPC_STATE KApc; KeStackAttachProcess((PRKPROCESS)Process, &KApc); status = GetCurrentProcessName(ProcessName); KeUnstackDetachProcess(&KApc); ObDereferenceObject(Process); } NTSTATUS GetCurrentProcessName(PUNICODE_STRING ProcessName) { NTSTATUS status = STATUS_UNSUCCESSFUL; PVOID ImageBase = PsGetProcessSectionBaseAddress(PsGetCurrentProcess()); PVOID SectionName = ExAllocatePool(NonPagedPool, ProcessName->MaximumLength + sizeof(MEMORY_SECTION_NAME)); if (!SectionName) return status; if (ImageBase && ZwQueryVirtualMemoryRoutine) { MEMORY_BASIC_INFORMATION BasicInfo; status = ZwQueryVirtualMemoryRoutine(NtCurrentProcess(), ImageBase, MemoryBasicInformation, &BasicInfo, sizeof(BasicInfo), NULL); if (NT_SUCCESS(status) && BasicInfo.Type == MEM_IMAGE) { status = ZwQueryVirtualMemoryRoutine(NtCurrentProcess(), ImageBase, MemorySectionName, SectionName, ProcessName->MaximumLength + sizeof(MEMORY_SECTION_NAME), NULL); if (NT_SUCCESS(status)) { RtlCopyUnicodeString(ProcessName, &((PMEMORY_SECTION_NAME)SectionName)->SectionFileName); ExFreePool(SectionName); return STATUS_SUCCESS; } } } ExFreePool(SectionName); return status; } 基本上过任何正常的SSDT HOOK和Object回调保护 2016-6-14 10:27 0
赵R天雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 13 粉丝 0 关注私信	赵R天 6 楼额，只限Ring3层，所以才棘手呢 2016-6-15 00:28 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 7 楼既然已经有了文件名称，那你就用ToolHelp32的方法来枚举进程啊，匹配一下PID不就行了 2016-6-15 03:42 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 8 楼用ZwQuerySystemInformation(SystemProcessInformation, 啊 PSYSTEM_PROCESS_INFORMATION里面不是有个UNICODE_STRING ImageName;吗如果人家断链隐藏进程了你用ZwQuerySystemInformation枚举不到，那ring3就无解 2016-6-15 11:19 0
轩辕之风雪币： 2291 活跃值： (938) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 9 楼既然大门有守卫看守，没法硬闯进去，那就想办法正大光明进去。 ------------------------------------------------------------------------ 弄个dll想办法（DLL劫持、SetWindowsHookEx、AppInit_Dlls等等等）注入到进程进去，只要进去了，获取个全路径还是难事吗？最简单的如GetCommandLineW就行 2016-6-15 12:12 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 10 楼碰到那种勾自己LdrLoadDll拒绝加载dll的就无解了（大多数挂的作者应该不会这么做吧） 2016-6-16 10:59 0
轩辕之风雪币： 2291 活跃值： (938) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 11 楼即便拒绝也不敢随意乱拒绝吧 2016-6-16 11:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复