[求助]驱动怎么获取进程所属的用户-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 2 楼 PsReferencePrimaryToken ZwQueryInformationToken 2009-4-1 17:18 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 3 楼 // Largely based off of undelete.c from sysinternals BOOLEAN GetUserSIDFromProcess(EPROCESS pProcess, UNICODE_STRING pusSID) { NTSTATUS status; ULONG RetLen; HANDLE hToken; PTOKEN_USER tokenInfoBuffer; PACCESS_TOKEN Token; Token = PsReferencePrimaryToken(pProcess); status = ObOpenObjectByPointer(Token, 0, NULL, TOKEN_QUERY, NULL, KernelMode, &hToken); ObDereferenceObject(Token); if(!NT_SUCCESS(status)) return FALSE; // Get the size of the sid. status = ZwQueryInformationToken(hToken, TokenUser, NULL, 0, &RetLen); if(status != STATUS_BUFFER_TOO_SMALL) { ZwClose(hToken); return FALSE; } tokenInfoBuffer = (PTOKEN_USER)ExAllocatePool(NonPagedPool, RetLen); if(tokenInfoBuffer) status = ZwQueryInformationToken(hToken, TokenUser, tokenInfoBuffer, RetLen, &RetLen); if(!NT_SUCCESS(status) \|\| !tokenInfoBuffer ) { DBGOUT(("Error getting token information: %x\n", status)); if(tokenInfoBuffer) ExFreePool(tokenInfoBuffer); ZwClose(hToken); return FALSE; } ZwClose(hToken); status = RtlConvertSidToUnicodeString(pusSID, tokenInfoBuffer->User.Sid, FALSE); ExFreePool(tokenInfoBuffer); if(!NT_SUCCESS(status)) { DBGOUT(("Unable to convert SID to UNICODE: %x\n", status )); return FALSE; } return TRUE; } 2009-4-1 17:29 0
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 4 楼学习一下。。 2009-4-1 19:44 0
取象於钱雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	取象於钱 5 楼进来学习一下 2009-4-2 12:01 0
jinjing 雪币： 182 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 34 回帖 103 粉丝 0 关注私信	jinjing 6 楼学习学习！！ 2009-4-2 13:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 2 楼 PsReferencePrimaryToken ZwQueryInformationToken 2009-4-1 17:18 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 3 楼 // Largely based off of undelete.c from sysinternals BOOLEAN GetUserSIDFromProcess(EPROCESS pProcess, UNICODE_STRING pusSID) { NTSTATUS status; ULONG RetLen; HANDLE hToken; PTOKEN_USER tokenInfoBuffer; PACCESS_TOKEN Token; Token = PsReferencePrimaryToken(pProcess); status = ObOpenObjectByPointer(Token, 0, NULL, TOKEN_QUERY, NULL, KernelMode, &hToken); ObDereferenceObject(Token); if(!NT_SUCCESS(status)) return FALSE; // Get the size of the sid. status = ZwQueryInformationToken(hToken, TokenUser, NULL, 0, &RetLen); if(status != STATUS_BUFFER_TOO_SMALL) { ZwClose(hToken); return FALSE; } tokenInfoBuffer = (PTOKEN_USER)ExAllocatePool(NonPagedPool, RetLen); if(tokenInfoBuffer) status = ZwQueryInformationToken(hToken, TokenUser, tokenInfoBuffer, RetLen, &RetLen); if(!NT_SUCCESS(status) \|\| !tokenInfoBuffer ) { DBGOUT(("Error getting token information: %x\n", status)); if(tokenInfoBuffer) ExFreePool(tokenInfoBuffer); ZwClose(hToken); return FALSE; } ZwClose(hToken); status = RtlConvertSidToUnicodeString(pusSID, tokenInfoBuffer->User.Sid, FALSE); ExFreePool(tokenInfoBuffer); if(!NT_SUCCESS(status)) { DBGOUT(("Unable to convert SID to UNICODE: %x\n", status )); return FALSE; } return TRUE; } 2009-4-1 17:29 0
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 4 楼学习一下。。 2009-4-1 19:44 0
取象於钱雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	取象於钱 5 楼进来学习一下 2009-4-2 12:01 0
jinjing 雪币： 182 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 34 回帖 103 粉丝 0 关注私信	jinjing 6 楼学习学习！！ 2009-4-2 13:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复