一丶简介

我们遇到的Dos路径.如果想转化为NT路径(也就是 C:\xxxx)类似的格式

需要自己实现.

具体原理如下:

二丶原理

1.原理

1.使用** ZwOpenProcess ** 通过进程PID获取HANDLE

2.使用** ZwQueryInformationProcess ** 查询Handle,使用27号(ProcessFileNmae)得到NT路径.

3.使用** ZwOpenFile 打开路径得到Handle

4.使用 ObReferenceObjectByHandle ** 获得 内核对象(FileObject)

5.从FileObject的成员FileName得到其路径

6.使用 RtlVolumeDeviceToDosName 将FileObject设备对象传入.获得Dos路径.也就是盘符

7.拼接路径进行传出

2.代码实现.

typedef NTSTATUS(*PfnZwQueryInformationProcess) (

	__in HANDLE ProcessHandle,

	__in PROCESSINFOCLASS ProcessInformationClass,

	__out_bcount(ProcessInformationLength) PVOID ProcessInformation,

	__in ULONG ProcessInformationLength,

	__out_opt PULONG ReturnLength

	);

PfnZwQueryInformationProcess ZwQueryInformationProcess;

//初始化未公开的导出函数

NTSTATUS InitGloableFunction()

{

	UNICODE_STRING UtrZwQueryInformationProcessName =

		RTL_CONSTANT_STRING(L"ZwQueryInformationProcess");

	ZwQueryInformationProcess =

		(PfnZwQueryInformationProcess)MmGetSystemRoutineAddress(&UtrZwQueryInformationProcessName);

	return STATUS_SUCCESS;

}

NTSTATUS GetDosPathByProcessId(IN ULONG pid,OUT PANSI_STRING pAnsiNtPath)

{

	/*

	1.根据PID获取进程句柄

	2.使用ZwQueryInformationProcess 传入HANDLE 使用27号功能获取路径

	*/

	HANDLE hProcess = 0;

	CLIENT_ID cid;

	OBJECT_ATTRIBUTES obj;

	NTSTATUS ntStatus;

	ULONG RetLength = 0;

	PVOID pBuffer = NULL;

	HANDLE hFile;

	IO_STATUS_BLOCK iostu;

	PVOID FileObject = NULL;

	PFILE_OBJECT pMyFileObject = NULL;

	UNICODE_STRING DosName;

	UNICODE_STRING FunllPath;

	if (ZwQueryInformationProcess == NULL)

		return STATUS_UNSUCCESSFUL;

	cid.UniqueProcess =(HANDLE)pid;

	cid.UniqueThread = 0;

	InitializeObjectAttributes(&obj, 0, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, 0, 0);

	ntStatus = ZwOpenProcess(&hProcess, PROCESS_ALL_ACCESS, &obj, &cid);

	if (!NT_SUCCESS(ntStatus))

		return STATUS_UNSUCCESSFUL;

	//使用27 号功能遍历

	ntStatus = ZwQueryInformationProcess(hProcess, ProcessImageFileName, NULL, 0, &RetLength);

	if (STATUS_INFO_LENGTH_MISMATCH != ntStatus)

		return STATUS_UNSUCCESSFUL;

	//申请内存继续获取.

	pBuffer = ExAllocatePoolWithTag(PagedPool, RetLength, 'niBI');

	if (NULL == pBuffer)

		return STATUS_UNSUCCESSFUL;

	//重新调用获取.

	ntStatus = ZwQueryInformationProcess(hProcess, ProcessImageFileName, pBuffer, RetLength, &RetLength);

	if (!NT_SUCCESS(ntStatus))

	{

		if (NULL != pBuffer)

		{

			ExFreePoolWithTag(pBuffer, 'niBI');

		}

		return STATUS_UNSUCCESSFUL;

	}

	//开始转化路径

	InitializeObjectAttributes(&obj, pBuffer, OBJ_KERNEL_HANDLE, 0, 0);

	ntStatus = ZwOpenFile(

		&hFile,

		GENERIC_READ,

		&obj,

		&iostu,

		FILE_SHARE_READ| FILE_SHARE_WRITE ,

		0);

	if (!NT_SUCCESS(ntStatus))

	{

		if (NULL != pBuffer)

		{

			ExFreePoolWithTag(pBuffer, 'niBI');

		}

		ZwClose(hFile);

		return STATUS_UNSUCCESSFUL;

	}

	//获得文件对象

	ntStatus = ObReferenceObjectByHandle(

		hFile,

		GENERIC_ALL,

		*IoFileObjectType,

		KernelMode,

		&FileObject,

		NULL);

	if (!NT_SUCCESS(ntStatus))

	{

		if (NULL != pBuffer)

		{

			ExFreePoolWithTag(pBuffer, 'niBI');

		}

		ntStatus = ObDereferenceObject(FileObject);

		ZwClose(hFile);

		return STATUS_UNSUCCESSFUL;

	}

	pMyFileObject = (PFILE_OBJECT)FileObject;

	if (NULL == pMyFileObject)

	{

		if (NULL != pBuffer)

		{

			ExFreePoolWithTag(pBuffer, 'niBI');

		}

		ntStatus = ObDereferenceObject(FileObject);

		ZwClose(hFile);

		return STATUS_UNSUCCESSFUL;

	}

	//通过 RtlVolumeDeviceToDosName 获取Dos路径 也即是C: D: 等盘符

	RtlVolumeDeviceToDosName(pMyFileObject->DeviceObject,&DosName);

	//获得路径直接直接拼接即可.

	FunllPath.MaximumLength = pMyFileObject->FileName.MaximumLength + DosName.MaximumLength;

	FunllPath.Length = pMyFileObject->FileName.Length + DosName.Length;

	FunllPath.Buffer = ExAllocatePoolWithTag(NonPagedPool, FunllPath.MaximumLength, 0);

	//拼接路径

	RtlCopyUnicodeString(&FunllPath, &DosName);//得到C:

	RtlAppendUnicodeStringToString(&FunllPath, &pMyFileObject->FileName);//得到C:\\xxx路径,转为Asii

	RtlUnicodeStringToAnsiString(pAnsiNtPath, &FunllPath,TRUE); //RtlFreeAnsiString  要释放空间.

	ExFreePool(FunllPath.Buffer); //因为传出自动为其分配了内存所以这个进行谁放

	if (NULL != pBuffer)

	{

		ExFreePoolWithTag(pBuffer, 'niBI');

	}

	ntStatus = ObDereferenceObject(FileObject);

	ZwClose(hFile);

	return STATUS_SUCCESS;

}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegPath)

{

	ANSI_STRING AnsiNtPath;

	pDriverObj->DriverUnload = DriverUnLoad;

	InitGloableFunction();

	KdBreakPoint();

	GetDosPathByProcessId(3356,&AnsiNtPath);

	return STATUS_SUCCESS;

}

以下为调试的时候的代码截图.

1.得到FileName

2.使用RtlVolumeDeviceToDosName 得到盘符

3.拼接路径为UNICODE_STRING类型

4.为传入的ANSI_STRING 分配空间转换.得到ANSI_STRING路径.

内核中通过进程PID获取进程的全部路径的更多相关文章

  1. 内核中根据进程Pid获取卷的全目录

    目录 一丶简介 二丶原理 3.代码实现. 一丶简介 在内核中有时候想通过PID 获取进程的全路径以达到监控的作用 比如我们设置了进程回调.则可以根据PID看下进程的全路径. 二丶原理 原理就是在内核中 ...

  2. 通过PID获取进程路径的几种方法

    通过PID获取进程路径的几种方法 想获得进程可执行文件的路径最常用的方法是通过GetModuleFileNameEx函数获得可执行文件的模块路径这个函数从Windows NT 4.0开始到现在的Vis ...

  3. Atitit,通过pid获取进程文件路径 java php  c#.net版本大总结

    Atitit,通过pid获取进程文件路径 java php  c#.net版本大总结 1. 通过PID获取进程路径的几种方法2 1.1. GetModuleFileNameEx 想获得进程可执行文件的 ...

  4. delphi根据进程PID获取程序所在路径的函数(用OpenProcess取得句柄,用GetModuleFileNameEx取得程序名)

    uses psapi; {根据进程PID获取程序所在路径的函数}function GetProcessExePath(PID: Cardinal): string;varpHandle: THandl ...

  5. C#依据进程名称获取进程的句柄?

    C#依据进程名称获取进程的句柄或C#怎样获取其它进程的句柄? 有时候标题名是动态变化的,所以不使用FindWindow方法! [StructLayout(LayoutKind.Sequential)] ...

  6. C#根据进程名称获取进程的句柄?

    C#根据进程名称获取进程的句柄或C#如何获取其他进程的句柄? 有时候标题名是动态变化的,所以不使用FindWindow方法! [StructLayout(LayoutKind.Sequential)] ...

  7. windows中根据进程PID查找进程对象过程深入分析

    这里windows和Linxu系列的PID 管理方式有所不同,windows中进程的PID和句柄没有本质区别,根据句柄索引对象和根据PID或者TID查找进程或者线程的步骤也是一样的.   句柄是针对进 ...

  8. Linux内核中namespace之PID namespace

    前面看了LInux PCI设备初始化,看得有点晕,就转手整理下之前写的笔记,同时休息一下!!~(@^_^@)~ 这片文章是之前写的,其中参考了某些大牛们的博客!! PID框架的设计 一个框架的设计会考 ...

  9. 如何查看Java进程并获取进程ID?

    1. 在 LINUX 命令平台输入 1-2 个字符后按 Tab 键会自动补全后面的部分(前提是要有这个东西,例如在装了 tomcat 的前提下, 输入 tomcat 的 to 按 tab).2. ps ...

随机推荐

  1. Web应用和Web框架

    一.Web应用 二.Web框架 三.wsgiref模块 一.Web应用 1.什么是Web应用? Web应用程序是一种可以通过Web访问的应用程序,特点是用户很容易访问,只需要有浏览器即可,不需要安装其 ...

  2. 搭建SpriBoot开发环境

      一.搭建springboot开发环境 需求:使用springboot搭建一个项目,编写一个controller控制器,使用浏览器正常访问 springboot1.x版本--> 基于sprin ...

  3. 使用sequelize对数据库进行增删改查

    由于本人对于命令比较执着,所以基本都是在命令下操作的,喜欢使用命令的可以使用Cmder,需要安装.配置的可以参考这篇文章: https://www.cnblogs.com/ziyoublog/p/10 ...

  4. ANE打包工具使用视频教程 -- 梦宇技术 @极客学院

    来源:http://xtiqin.blog.163.com/blog/static/17017217920133584934827/ ANE打包工具使用视频教程 2013-04-05 08:49:34 ...

  5. WPF登录功能,对于密码框的操作,其实WPF有个PasswordBox专门的密码框控件,完全可以选择自己要显示的密码符号。

    在链接数据库后,点击登录时需要判断用户名和密码框是否为空,而PasswordBox不像textbox那样判断 textbox判断文本框为空 if (this.UserName.Text.Trim()= ...

  6. elementUI——主题定制

    需求: 设计三套主题色+部分图标更换: 实现方式汇总: 1.传统做法,生成多套css主题包,切换link引入路径切换href实现,参考网站:http://jui.org/: <link id=& ...

  7. Discuz! ML RCE漏洞 getshell 复现

    0x01 影响版本 Discuz! ML V3.2 Discuz! ML V3.3 Discuz! ML V3.4 0x02 环境搭建 直接官网下载即可http://discuz.ml/downloa ...

  8. Educational Codeforces Round 71 (Rated for Div. 2)-F. Remainder Problem-技巧分块

    Educational Codeforces Round 71 (Rated for Div. 2)-F. Remainder Problem-技巧分块 [Problem Description] ​ ...

  9. Java synchronized实现原理总结和偏量锁、轻量锁、重量锁、自旋锁

    synchronized实现同步的基础:Java中的每一个对象都可以作为锁.具体表现为以下3种形式. 对于普通同步方法,锁是当前实例对象(this). 对于静态同步方法,锁是当前类的Class对象. ...

  10. oracle 查询月份

    ①:select substr(to_char(sysdate,'yyyy-mm-dd'),6,2) from dual; ②:select to_char(sysdate,'MM') from du ...