[求助]请问ProcessExplorer是如何查出一个进程所属的Job对象的名称？-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]请问ProcessExplorer是如何查出一个进程所属的Job对象的名称？

2023-9-17 17:51 3063

[求助]请问ProcessExplorer是如何查出一个进程所属的Job对象的名称？

apath

2023-9-17 17:51

3063

最近在看Windows的job对象，这个job有点类似于进程的容器，可以对进程做出一些限制。
如果要查看一个job的具体信息，需要有一个打开的句柄。如果这个job非自己创建的，需要知道其名称，用OpenJobObject打开。现在问题是：怎么查到本机已有的Job对象，并获得其名称？
我看到ProcessExplorer可以做到，真想了解人家是怎么做的：
图片描述

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

#系统内核

收藏・0

点赞・0

打赏

最新回复 (2)
ANormalUser 雪币： 3263 活跃值： (2562) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 23 粉丝 14 关注私信	ANormalUser 2023-9-17 18:39 2 楼 0 用NtQueryInformationJobObject就可以查Job信息，不过看了一下XP代码好像里面不能直接查名字。再看了看NtOpenJobObject里面用的是ObOpenObjectByName，那应该用NtQueryObject就可以查询其ObjectNameInformation了。至于怎么枚举进程的Object就应该不难了吧最后于 2023-9-17 21:00 被ANormalUser编辑，原因：
apath 雪币： 2494 活跃值： (2200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 13 粉丝 1 关注私信	apath 2023-9-17 23:31 3 楼 0 多谢大侠指点思路有了这就去试试多谢多谢
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

apath

发帖

回帖

RANK

关注

私信

他的文章

[求助]请问ProcessExplorer是如何查出一个进程所属的Job对象的名称？

[讨论]能否借用已有的socket发送数据？

[求助]请教驱动签名的流程与费用？

[求助]exe文件右键菜单的“以管理员身份运行”，有无办法使其变灰（有但不可用）？

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
ANormalUser 雪币： 3263 活跃值： (2562) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 23 粉丝 14 关注私信	ANormalUser 2023-9-17 18:39 2 楼 0 用NtQueryInformationJobObject就可以查Job信息，不过看了一下XP代码好像里面不能直接查名字。再看了看NtOpenJobObject里面用的是ObOpenObjectByName，那应该用NtQueryObject就可以查询其ObjectNameInformation了。至于怎么枚举进程的Object就应该不难了吧最后于 2023-9-17 21:00 被ANormalUser编辑，原因：
apath 雪币： 2494 活跃值： (2200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 13 粉丝 1 关注私信	apath 2023-9-17 23:31 3 楼 0 多谢大侠指点思路有了这就去试试多谢多谢
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复