首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]Windows 内核层里获取进程的原始文件名
发表于: 2020-5-28 10:55 4563

[求助]Windows 内核层里获取进程的原始文件名

Arthurian 活跃值
2020-5-28 10:55
4563

在Windows 驱动层如何如何获取进程的原始文件名呢?就是pe文件详细信息里面的那个原始文件名?如下图

 



[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

最后于 2020-5-30 16:34 被Arthurian编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (7)
Sprite雪碧
雪    币: 9626
活跃值: (1826)
能力值: ( LV5,RANK:73 )
在线值:
发帖
回帖
粉丝
私信
2
盲猜在PE头里(
2020-5-28 11:34
0
Private丶
雪    币: 181
活跃值: (131)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3

原始文件名不是所有exe都有,在vs中添加一个 VERSION 类型的资源才有,如下图。所以,如果要获取一个PE文件的原始文件名,要解析资源表。

最后于 2020-5-28 12:15 被Private丶编辑 ,原因:
2020-5-28 11:56
1
万策尽矣
雪    币: 531
活跃值: (52)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4

...

最后于 2020-5-28 20:33 被万策尽矣编辑 ,原因:
2020-5-28 14:20
0
柒雪天尚
雪    币: 181
活跃值: (616)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
内核层的没玩过,R3的可以参考这个https://www.passtp.cc/forum.php?mod=viewthread&tid=3444&highlight=pe
2020-5-30 12:28
0
Mr.hack
雪    币: 3085
活跃值: (3623)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
6
EPROCESS结构里有一个ImageName这个成员
2020-5-30 15:37
0
Arthurian
雪    币: 13292
活跃值: (376)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
Mr.hack EPROCESS结构里有一个ImageName这个成员
那个是文件名,不是属性里面如图的那个原始文件名吧
2020-5-31 19:42
0
Arthurian
雪    币: 13292
活跃值: (376)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
Private丶 原始文件名不是所有exe都有,在vs中添加一个 VERSION 类型的资源才有,如下图。所以,如果要获取一个PE文件的原始文件名,要解析资源表。
感谢
2020-5-31 19:43
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//