#ifndef TYPEDEF_H

#define TYPEDEF_H

typedef PPEB (__stdcall *P_PsGetProcessPeb)(PEPROCESS);

typedef unsigned char       BYTE;

typedef struct _RTL_USER_PROCESS_PARAMETERS {

    BYTE Reserved1[16];

    PVOID Reserved2[10];

    UNICODE_STRING ImagePathName;

    UNICODE_STRING CommandLine;

} RTL_USER_PROCESS_PARAMETERS, *PRTL_USER_PROCESS_PARAMETERS;

typedef struct _PEB_LDR_DATA {

    BYTE Reserved1[8];

    PVOID Reserved2[3];

    LIST_ENTRY InMemoryOrderModuleList;

} PEB_LDR_DATA, *PPEB_LDR_DATA;

typedef

    VOID

    (NTAPI *PPS_POST_PROCESS_INIT_ROUTINE) (

    VOID

    );

typedef struct _PEB {

    BYTE Reserved1[2];

    BYTE BeingDebugged;

    BYTE Reserved2[1];

    PVOID Reserved3[2];

    PPEB_LDR_DATA Ldr;

    PRTL_USER_PROCESS_PARAMETERS ProcessParameters;

    BYTE Reserved4[104];

    PVOID Reserved5[52];

    PPS_POST_PROCESS_INIT_ROUTINE PostProcessInitRoutine;

    BYTE Reserved6[128];

    PVOID Reserved7[1];

    ULONG SessionId;

} PEB, *PPEB;

#endif
#include <Ntifs.h>

#include <ntddk.h>

#include <Ntstrsafe.h>

#include "typedef.h"

DRIVER_INITIALIZE       DriverEntry;

DRIVER_UNLOAD           UnloadDevice;

DRIVER_DISPATCH         DispatchGen;

VOID ProcessMon(HANDLE In_hParentId, HANDLE In_hProcessId, BOOLEAN In_BIsCreate)

{

    ANSI_STRING         astrProcessImage    = {0};

    ANSI_STRING         astrProcessParam    = {0};

    PPEB                            pPEB    = NULL;

    PRTL_USER_PROCESS_PARAMETERS    pParam  = NULL;

    UNICODE_STRING                  unstrFunName    = {0};

    PEPROCESS                       pEProcess       = NULL;

    P_PsGetProcessPeb               PsGetProcessPeb = NULL;

    KAPC_STATE                      KAPC            = {0};

    BOOLEAN                         BIsAttached     = FALSE;

    if (In_BIsCreate == FALSE)

    {

        goto fun_ret;

    }

    if (!NT_SUCCESS(PsLookupProcessByProcessId(In_hProcessId, &pEProcess)))

    {

        goto fun_ret;

    }

    //__debugbreak();

    RtlInitUnicodeString(&unstrFunName, L"PsGetProcessPeb");

    PsGetProcessPeb = MmGetSystemRoutineAddress(&unstrFunName);

    if (PsGetProcessPeb == NULL)

    {

        goto fun_ret;

    }

    pPEB = PsGetProcessPeb(pEProcess);

    if (pPEB == NULL)

    {

        goto fun_ret;

    }

    KeStackAttachProcess(pEProcess, &KAPC);

    BIsAttached = TRUE;

    pParam = pPEB->ProcessParameters;

    if (pParam == NULL)

    {

        goto fun_ret;

    }

    if (NT_SUCCESS(RtlUnicodeStringToAnsiString(&astrProcessImage, &(pParam->ImagePathName), TRUE)))

    {

        DbgPrint("PID::%u\t%s\n", In_hProcessId, astrProcessImage.Buffer);

    }

    if (NT_SUCCESS(RtlUnicodeStringToAnsiString(&astrProcessParam, &(pParam->CommandLine), TRUE)))

    {

        DbgPrint("PID::%u\t%s\n", In_hProcessId, astrProcessParam.Buffer);

    }

fun_ret:

    if (BIsAttached != FALSE)

    {

        KeUnstackDetachProcess(&KAPC);

    }

    if (pEProcess != NULL)

    {

        ObDereferenceObject(pEProcess);

        pEProcess = NULL;

    }

    RtlFreeAnsiString(&astrProcessImage);

    RtlFreeAnsiString(&astrProcessParam);

    return;

}

NTSTATUS DispatchGen(PDEVICE_OBJECT In_pDevObj, PIRP In_pIRP)

{

    if (In_pDevObj == NULL || In_pIRP == NULL)

    {

        return STATUS_SEVERITY_ERROR;

    }

    In_pIRP->IoStatus.Information = 0;

    In_pIRP->IoStatus.Status = STATUS_SUCCESS;

    IoCompleteRequest(In_pIRP, IO_NO_INCREMENT);

    return STATUS_SUCCESS;

}

VOID UnloadDevice(PDRIVER_OBJECT In_pDriObj)

{

    PsSetCreateProcessNotifyRoutine(ProcessMon, TRUE);

    if (In_pDriObj != NULL)

    {

        IoDeleteDevice(In_pDriObj->DeviceObject);

    }

}

NTSTATUS DriverEntry(PDRIVER_OBJECT In_pDriObj, PUNICODE_STRING In_punstrRegPath)

{

    ULONG       uli         = 0;

    NTSTATUS    stRetVal    = STATUS_SUCCESS;

    PDEVICE_OBJECT  pDevObj = NULL;

    if (In_pDriObj == NULL || In_punstrRegPath == NULL)

    {

        stRetVal = STATUS_SEVERITY_ERROR;

        goto fun_ret;

    }

    for (uli = 0; uli <= IRP_MJ_MAXIMUM_FUNCTION; uli ++)

    {

        In_pDriObj->MajorFunction[uli] = DispatchGen;

    }

    In_pDriObj->DriverUnload = UnloadDevice;

    stRetVal = IoCreateDevice(In_pDriObj, 0, NULL, FILE_DEVICE_UNKNOWN, 0, FALSE, &pDevObj);

    if (!NT_SUCCESS(stRetVal))

    {

        goto fun_ret;

    }

    stRetVal = PsSetCreateProcessNotifyRoutine(ProcessMon, FALSE);

fun_ret:

    return stRetVal;

}

ring0获取指定进程的PEB的更多相关文章

  1. dotnet 获取指定进程的输入命令行

    本文告诉大家如何在 dotnet 获取指定的进程的命令行参数 很多的程序在启动的时候都需要传入参数,那么如何拿到这些程序传入的参数? 我找到两个方法,一个需要引用 C++ 库支持 x86 和 x64 ...

  2. dotnet 通过 WMI 获取指定进程的输入命令行

    本文告诉大家如何使用 WMI 通过 Process 获取这个进程传入的命令行 使用下面代码,使用 Win32_Process 拿到所有的进程,通过 WHERE 判断当前的进程,然后拿到进程传入的命令 ...

  3. 获取指定进程号,并kill掉

    直接上案例: 例子:获取nginx进程 方法:$ps -aux |grep nginx |grep -v grep |awk '{print $2}'  或者 $ps -ef |grep nginx ...

  4. 在Shell脚本中获取指定进程的PID

    注意这条命令用反引号(Tab上面的那个键)括起来,作用类似于${ } processId = ` ps -ef | grep fms.jar | grep -v grep | awk '{print ...

  5. [Win32]获取指定进程的父进程PID

    // // #include <Windows.h> #include <winnt.h> #include <winternl.h> typedef NTSTAT ...

  6. wireshark 获取指定进程id的数据

    >netstat -aon | findstr 11380 TCP 191.127.1.7:57936 29.225.107.216:3734 ESTABLISHED 11380 过滤器: tc ...

  7. windows下使用C#获取特定进程网络流量

    最近老板接了一个中船重工的项目,需要做一个有关海军软件系统的组件评估项目,项目中有一个子项目需要获取特定进程的各种系统参数,项目使用.NET平台.在获取特定进程各种系统参数时,其它诸如进程ID,进程名 ...

  8. 2019-11-29-dotnet-通过-WMI-获取指定进程的输入命令行

    原文:2019-11-29-dotnet-通过-WMI-获取指定进程的输入命令行 title author date CreateTime categories dotnet 通过 WMI 获取指定进 ...

  9. 2019-11-29-dotnet-获取指定进程的输入命令行

    title author date CreateTime categories dotnet 获取指定进程的输入命令行 lindexi 2019-11-29 08:35:11 +0800 2019-0 ...

随机推荐

  1. aop注解 自定义切面的注解写法

    spring.xml中 <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="h ...

  2. 【LeetCode】88. Merge Sorted Array (2 solutions)

    Merge Sorted Array Given two sorted integer arrays A and B, merge B into A as one sorted array. Note ...

  3. 【LeetCode】142. Linked List Cycle II (2 solutions)

    Linked List Cycle II Given a linked list, return the node where the cycle begins. If there is no cyc ...

  4. Total Commander:文件管理工具,共享软件

    http://xbeta.info/tc/ Total Commander V8.0:文件管理工具,共享软件,适用于Windows® 95/98/ME/NT/2000/XP/Vista/7 和 Win ...

  5. 高效开发 Android App 的 10 个建议

    假如要Google Play上做一个最失败的案例,那最好的秘诀就是界面奇慢无比.耗电.耗内存.接下来就会得到用户的消极评论,最后名声也就臭了.即使你的应用设计精良.创意无限也没用. 耗电或者内存占用等 ...

  6. 理解over()函数

    1.1.两个order by的执行时机分析函数(以及与其配合的开窗函数over())是在整个sql查询结束后(sql语句中的order by的执行比较特殊)再进行的操作, 也就是说sql语句中的ord ...

  7. Python学习笔记014——迭代工具函数 内置函数enumerate()

    1 描述 enumerate() 函数用于将一个可遍历的数据对象(如列表.元组或字符串)组合为一个索引序列,同时列出数据和数据下标,一般用在 for 循环当中. 2 语法 enumerate(sequ ...

  8. Linux内存初始化(四) 创建系统内存地址映射

    一.前言 经过内存初始化代码分析(一)和内存初始化代码分析(二)的过渡,我们终于来到了内存初始化的核心部分:paging_init.当然本文不能全部解析完该函数(那需要的篇幅太长了),我们只关注创建系 ...

  9. Storm 简单介绍

    Nimbus :负责资源分配和任务调度, 把任务相关的元信息写入Zookeeper 对应文件夹. Supervisor :负责接受nimbus 分配的任务,启动和停止属于自己管理的worker 进程. ...

  10. Java并发和多线程:序

      近期,和不少公司的"大牛"聊了聊,当中非常多是关于"并发和多线程"."系统架构"."分布式"等方面内容的.不少问题, ...