#ifndef TYPEDEF_H

#define TYPEDEF_H

typedef PPEB (__stdcall *P_PsGetProcessPeb)(PEPROCESS);

typedef unsigned char       BYTE;

typedef struct _RTL_USER_PROCESS_PARAMETERS {

    BYTE Reserved1[16];

    PVOID Reserved2[10];

    UNICODE_STRING ImagePathName;

    UNICODE_STRING CommandLine;

} RTL_USER_PROCESS_PARAMETERS, *PRTL_USER_PROCESS_PARAMETERS;

typedef struct _PEB_LDR_DATA {

    BYTE Reserved1[8];

    PVOID Reserved2[3];

    LIST_ENTRY InMemoryOrderModuleList;

} PEB_LDR_DATA, *PPEB_LDR_DATA;

typedef

    VOID

    (NTAPI *PPS_POST_PROCESS_INIT_ROUTINE) (

    VOID

    );

typedef struct _PEB {

    BYTE Reserved1[2];

    BYTE BeingDebugged;

    BYTE Reserved2[1];

    PVOID Reserved3[2];

    PPEB_LDR_DATA Ldr;

    PRTL_USER_PROCESS_PARAMETERS ProcessParameters;

    BYTE Reserved4[104];

    PVOID Reserved5[52];

    PPS_POST_PROCESS_INIT_ROUTINE PostProcessInitRoutine;

    BYTE Reserved6[128];

    PVOID Reserved7[1];

    ULONG SessionId;

} PEB, *PPEB;

#endif
#include <Ntifs.h>

#include <ntddk.h>

#include <Ntstrsafe.h>

#include "typedef.h"

DRIVER_INITIALIZE       DriverEntry;

DRIVER_UNLOAD           UnloadDevice;

DRIVER_DISPATCH         DispatchGen;

VOID ProcessMon(HANDLE In_hParentId, HANDLE In_hProcessId, BOOLEAN In_BIsCreate)

{

    ANSI_STRING         astrProcessImage    = {0};

    ANSI_STRING         astrProcessParam    = {0};

    PPEB                            pPEB    = NULL;

    PRTL_USER_PROCESS_PARAMETERS    pParam  = NULL;

    UNICODE_STRING                  unstrFunName    = {0};

    PEPROCESS                       pEProcess       = NULL;

    P_PsGetProcessPeb               PsGetProcessPeb = NULL;

    KAPC_STATE                      KAPC            = {0};

    BOOLEAN                         BIsAttached     = FALSE;

    if (In_BIsCreate == FALSE)

    {

        goto fun_ret;

    }

    if (!NT_SUCCESS(PsLookupProcessByProcessId(In_hProcessId, &pEProcess)))

    {

        goto fun_ret;

    }

    //__debugbreak();

    RtlInitUnicodeString(&unstrFunName, L"PsGetProcessPeb");

    PsGetProcessPeb = MmGetSystemRoutineAddress(&unstrFunName);

    if (PsGetProcessPeb == NULL)

    {

        goto fun_ret;

    }

    pPEB = PsGetProcessPeb(pEProcess);

    if (pPEB == NULL)

    {

        goto fun_ret;

    }

    KeStackAttachProcess(pEProcess, &KAPC);

    BIsAttached = TRUE;

    pParam = pPEB->ProcessParameters;

    if (pParam == NULL)

    {

        goto fun_ret;

    }

    if (NT_SUCCESS(RtlUnicodeStringToAnsiString(&astrProcessImage, &(pParam->ImagePathName), TRUE)))

    {

        DbgPrint("PID::%u\t%s\n", In_hProcessId, astrProcessImage.Buffer);

    }

    if (NT_SUCCESS(RtlUnicodeStringToAnsiString(&astrProcessParam, &(pParam->CommandLine), TRUE)))

    {

        DbgPrint("PID::%u\t%s\n", In_hProcessId, astrProcessParam.Buffer);

    }

fun_ret:

    if (BIsAttached != FALSE)

    {

        KeUnstackDetachProcess(&KAPC);

    }

    if (pEProcess != NULL)

    {

        ObDereferenceObject(pEProcess);

        pEProcess = NULL;

    }

    RtlFreeAnsiString(&astrProcessImage);

    RtlFreeAnsiString(&astrProcessParam);

    return;

}

NTSTATUS DispatchGen(PDEVICE_OBJECT In_pDevObj, PIRP In_pIRP)

{

    if (In_pDevObj == NULL || In_pIRP == NULL)

    {

        return STATUS_SEVERITY_ERROR;

    }

    In_pIRP->IoStatus.Information = 0;

    In_pIRP->IoStatus.Status = STATUS_SUCCESS;

    IoCompleteRequest(In_pIRP, IO_NO_INCREMENT);

    return STATUS_SUCCESS;

}

VOID UnloadDevice(PDRIVER_OBJECT In_pDriObj)

{

    PsSetCreateProcessNotifyRoutine(ProcessMon, TRUE);

    if (In_pDriObj != NULL)

    {

        IoDeleteDevice(In_pDriObj->DeviceObject);

    }

}

NTSTATUS DriverEntry(PDRIVER_OBJECT In_pDriObj, PUNICODE_STRING In_punstrRegPath)

{

    ULONG       uli         = 0;

    NTSTATUS    stRetVal    = STATUS_SUCCESS;

    PDEVICE_OBJECT  pDevObj = NULL;

    if (In_pDriObj == NULL || In_punstrRegPath == NULL)

    {

        stRetVal = STATUS_SEVERITY_ERROR;

        goto fun_ret;

    }

    for (uli = 0; uli <= IRP_MJ_MAXIMUM_FUNCTION; uli ++)

    {

        In_pDriObj->MajorFunction[uli] = DispatchGen;

    }

    In_pDriObj->DriverUnload = UnloadDevice;

    stRetVal = IoCreateDevice(In_pDriObj, 0, NULL, FILE_DEVICE_UNKNOWN, 0, FALSE, &pDevObj);

    if (!NT_SUCCESS(stRetVal))

    {

        goto fun_ret;

    }

    stRetVal = PsSetCreateProcessNotifyRoutine(ProcessMon, FALSE);

fun_ret:

    return stRetVal;

}

ring0获取指定进程的PEB的更多相关文章

  1. dotnet 获取指定进程的输入命令行

    本文告诉大家如何在 dotnet 获取指定的进程的命令行参数 很多的程序在启动的时候都需要传入参数,那么如何拿到这些程序传入的参数? 我找到两个方法,一个需要引用 C++ 库支持 x86 和 x64 ...

  2. dotnet 通过 WMI 获取指定进程的输入命令行

    本文告诉大家如何使用 WMI 通过 Process 获取这个进程传入的命令行 使用下面代码,使用 Win32_Process 拿到所有的进程,通过 WHERE 判断当前的进程,然后拿到进程传入的命令 ...

  3. 获取指定进程号,并kill掉

    直接上案例: 例子:获取nginx进程 方法:$ps -aux |grep nginx |grep -v grep |awk '{print $2}'  或者 $ps -ef |grep nginx ...

  4. 在Shell脚本中获取指定进程的PID

    注意这条命令用反引号(Tab上面的那个键)括起来,作用类似于${ } processId = ` ps -ef | grep fms.jar | grep -v grep | awk '{print ...

  5. [Win32]获取指定进程的父进程PID

    // // #include <Windows.h> #include <winnt.h> #include <winternl.h> typedef NTSTAT ...

  6. wireshark 获取指定进程id的数据

    >netstat -aon | findstr 11380 TCP 191.127.1.7:57936 29.225.107.216:3734 ESTABLISHED 11380 过滤器: tc ...

  7. windows下使用C#获取特定进程网络流量

    最近老板接了一个中船重工的项目,需要做一个有关海军软件系统的组件评估项目,项目中有一个子项目需要获取特定进程的各种系统参数,项目使用.NET平台.在获取特定进程各种系统参数时,其它诸如进程ID,进程名 ...

  8. 2019-11-29-dotnet-通过-WMI-获取指定进程的输入命令行

    原文:2019-11-29-dotnet-通过-WMI-获取指定进程的输入命令行 title author date CreateTime categories dotnet 通过 WMI 获取指定进 ...

  9. 2019-11-29-dotnet-获取指定进程的输入命令行

    title author date CreateTime categories dotnet 获取指定进程的输入命令行 lindexi 2019-11-29 08:35:11 +0800 2019-0 ...

随机推荐

  1. Git恢复之前版本的两种方法reset、revert(图文详解)

    一.问题描述在利用github实现多人合作程序开发的过程中,我们有时会出现错误提交的情况,此时我们希望能撤销提交操作,让程序回到提交前的样子,本文总结了两种解决方法:回退(reset).反做(reve ...

  2. NYOJ-------笨蛋难题四

    笨蛋难题四 时间限制:1000 ms  |           内存限制:65535 KB 难度:3   描述 这些日子笨蛋一直研究股票,经过调研,终于发现xxx公司股票规律,更可喜的是 笨蛋推算出这 ...

  3. CSS:关于CSS Hack

    CSS Hack由于不同厂商的浏览器,如Internet Explorer,Safari,Mozilla Firefox,Chrome 等,或者是同一厂商的浏览器的不同版本,如IE6和IE7,对CSS ...

  4. 测试化工具XCTestCase

    layout: post title: "Xcode 7智能测试化工具XCTest学习" subtitle: "Xcode 7智能测试化工具XCTest学习" ...

  5. UE 技巧

    http://cache.baiducontent.com/c?m=9d78d513d98416b8599d830e7c01a7170e2585744ddcc4523f8a9c12d522195646 ...

  6. 关于android闹钟,设置定时提醒的一点心得

    首先在设置提醒之前你需要一个入口,比如说onclick事件中,在此不做赘述. android中使用闹钟进行提醒其实非常简单,你只需要告知系统你想在什么时候被提醒,然后需要一个闹钟的广播接收器,当到你设 ...

  7. Jmeter----HTTP Request Defaults

    一.HTTP Request Defaults的作用: 该组件可以为我们的http请求设置默认的值.假如,我们创建一个测试计划有很多个请求且都是发送到相同的server,这时我们只需添加一个Http ...

  8. Unix环境高级编程(十一)线程

    一个进程在同一时刻只能做一件事情,线程可以把程序设计成在同一时刻能够做多件事情,每个线程处理各自独立的任务.线程包括了表示进程内执行环境必需的信息,包括进程中标识线程的线程ID.一组寄存器值.栈.调度 ...

  9. Python hex() 函数

    描述 hex() 函数用于将10进制整数转换成16进制整数. 语法 hex 语法: hex(x) 参数说明: x -- 10进制整数 返回值 返回16进制整数. 实例 以下实例展示了 hex 的使用方 ...

  10. 转 MySQL中的行级锁,表级锁,页级锁

      对mysql乐观锁.悲观锁.共享锁.排它锁.行锁.表锁概念的理解 转载. https://blog.csdn.net/puhaiyang/article/details/72284702 实验环境 ...