#ifndef TYPEDEF_H

#define TYPEDEF_H

typedef PPEB (__stdcall *P_PsGetProcessPeb)(PEPROCESS);

typedef unsigned char       BYTE;

typedef struct _RTL_USER_PROCESS_PARAMETERS {

    BYTE Reserved1[16];

    PVOID Reserved2[10];

    UNICODE_STRING ImagePathName;

    UNICODE_STRING CommandLine;

} RTL_USER_PROCESS_PARAMETERS, *PRTL_USER_PROCESS_PARAMETERS;

typedef struct _PEB_LDR_DATA {

    BYTE Reserved1[8];

    PVOID Reserved2[3];

    LIST_ENTRY InMemoryOrderModuleList;

} PEB_LDR_DATA, *PPEB_LDR_DATA;

typedef

    VOID

    (NTAPI *PPS_POST_PROCESS_INIT_ROUTINE) (

    VOID

    );

typedef struct _PEB {

    BYTE Reserved1[2];

    BYTE BeingDebugged;

    BYTE Reserved2[1];

    PVOID Reserved3[2];

    PPEB_LDR_DATA Ldr;

    PRTL_USER_PROCESS_PARAMETERS ProcessParameters;

    BYTE Reserved4[104];

    PVOID Reserved5[52];

    PPS_POST_PROCESS_INIT_ROUTINE PostProcessInitRoutine;

    BYTE Reserved6[128];

    PVOID Reserved7[1];

    ULONG SessionId;

} PEB, *PPEB;

#endif
#include <Ntifs.h>

#include <ntddk.h>

#include <Ntstrsafe.h>

#include "typedef.h"

DRIVER_INITIALIZE       DriverEntry;

DRIVER_UNLOAD           UnloadDevice;

DRIVER_DISPATCH         DispatchGen;

VOID ProcessMon(HANDLE In_hParentId, HANDLE In_hProcessId, BOOLEAN In_BIsCreate)

{

    ANSI_STRING         astrProcessImage    = {0};

    ANSI_STRING         astrProcessParam    = {0};

    PPEB                            pPEB    = NULL;

    PRTL_USER_PROCESS_PARAMETERS    pParam  = NULL;

    UNICODE_STRING                  unstrFunName    = {0};

    PEPROCESS                       pEProcess       = NULL;

    P_PsGetProcessPeb               PsGetProcessPeb = NULL;

    KAPC_STATE                      KAPC            = {0};

    BOOLEAN                         BIsAttached     = FALSE;

    if (In_BIsCreate == FALSE)

    {

        goto fun_ret;

    }

    if (!NT_SUCCESS(PsLookupProcessByProcessId(In_hProcessId, &pEProcess)))

    {

        goto fun_ret;

    }

    //__debugbreak();

    RtlInitUnicodeString(&unstrFunName, L"PsGetProcessPeb");

    PsGetProcessPeb = MmGetSystemRoutineAddress(&unstrFunName);

    if (PsGetProcessPeb == NULL)

    {

        goto fun_ret;

    }

    pPEB = PsGetProcessPeb(pEProcess);

    if (pPEB == NULL)

    {

        goto fun_ret;

    }

    KeStackAttachProcess(pEProcess, &KAPC);

    BIsAttached = TRUE;

    pParam = pPEB->ProcessParameters;

    if (pParam == NULL)

    {

        goto fun_ret;

    }

    if (NT_SUCCESS(RtlUnicodeStringToAnsiString(&astrProcessImage, &(pParam->ImagePathName), TRUE)))

    {

        DbgPrint("PID::%u\t%s\n", In_hProcessId, astrProcessImage.Buffer);

    }

    if (NT_SUCCESS(RtlUnicodeStringToAnsiString(&astrProcessParam, &(pParam->CommandLine), TRUE)))

    {

        DbgPrint("PID::%u\t%s\n", In_hProcessId, astrProcessParam.Buffer);

    }

fun_ret:

    if (BIsAttached != FALSE)

    {

        KeUnstackDetachProcess(&KAPC);

    }

    if (pEProcess != NULL)

    {

        ObDereferenceObject(pEProcess);

        pEProcess = NULL;

    }

    RtlFreeAnsiString(&astrProcessImage);

    RtlFreeAnsiString(&astrProcessParam);

    return;

}

NTSTATUS DispatchGen(PDEVICE_OBJECT In_pDevObj, PIRP In_pIRP)

{

    if (In_pDevObj == NULL || In_pIRP == NULL)

    {

        return STATUS_SEVERITY_ERROR;

    }

    In_pIRP->IoStatus.Information = 0;

    In_pIRP->IoStatus.Status = STATUS_SUCCESS;

    IoCompleteRequest(In_pIRP, IO_NO_INCREMENT);

    return STATUS_SUCCESS;

}

VOID UnloadDevice(PDRIVER_OBJECT In_pDriObj)

{

    PsSetCreateProcessNotifyRoutine(ProcessMon, TRUE);

    if (In_pDriObj != NULL)

    {

        IoDeleteDevice(In_pDriObj->DeviceObject);

    }

}

NTSTATUS DriverEntry(PDRIVER_OBJECT In_pDriObj, PUNICODE_STRING In_punstrRegPath)

{

    ULONG       uli         = 0;

    NTSTATUS    stRetVal    = STATUS_SUCCESS;

    PDEVICE_OBJECT  pDevObj = NULL;

    if (In_pDriObj == NULL || In_punstrRegPath == NULL)

    {

        stRetVal = STATUS_SEVERITY_ERROR;

        goto fun_ret;

    }

    for (uli = 0; uli <= IRP_MJ_MAXIMUM_FUNCTION; uli ++)

    {

        In_pDriObj->MajorFunction[uli] = DispatchGen;

    }

    In_pDriObj->DriverUnload = UnloadDevice;

    stRetVal = IoCreateDevice(In_pDriObj, 0, NULL, FILE_DEVICE_UNKNOWN, 0, FALSE, &pDevObj);

    if (!NT_SUCCESS(stRetVal))

    {

        goto fun_ret;

    }

    stRetVal = PsSetCreateProcessNotifyRoutine(ProcessMon, FALSE);

fun_ret:

    return stRetVal;

}

ring0获取指定进程的PEB的更多相关文章

  1. dotnet 获取指定进程的输入命令行

    本文告诉大家如何在 dotnet 获取指定的进程的命令行参数 很多的程序在启动的时候都需要传入参数,那么如何拿到这些程序传入的参数? 我找到两个方法,一个需要引用 C++ 库支持 x86 和 x64 ...

  2. dotnet 通过 WMI 获取指定进程的输入命令行

    本文告诉大家如何使用 WMI 通过 Process 获取这个进程传入的命令行 使用下面代码,使用 Win32_Process 拿到所有的进程,通过 WHERE 判断当前的进程,然后拿到进程传入的命令 ...

  3. 获取指定进程号,并kill掉

    直接上案例: 例子:获取nginx进程 方法:$ps -aux |grep nginx |grep -v grep |awk '{print $2}'  或者 $ps -ef |grep nginx ...

  4. 在Shell脚本中获取指定进程的PID

    注意这条命令用反引号(Tab上面的那个键)括起来,作用类似于${ } processId = ` ps -ef | grep fms.jar | grep -v grep | awk '{print ...

  5. [Win32]获取指定进程的父进程PID

    // // #include <Windows.h> #include <winnt.h> #include <winternl.h> typedef NTSTAT ...

  6. wireshark 获取指定进程id的数据

    >netstat -aon | findstr 11380 TCP 191.127.1.7:57936 29.225.107.216:3734 ESTABLISHED 11380 过滤器: tc ...

  7. windows下使用C#获取特定进程网络流量

    最近老板接了一个中船重工的项目,需要做一个有关海军软件系统的组件评估项目,项目中有一个子项目需要获取特定进程的各种系统参数,项目使用.NET平台.在获取特定进程各种系统参数时,其它诸如进程ID,进程名 ...

  8. 2019-11-29-dotnet-通过-WMI-获取指定进程的输入命令行

    原文:2019-11-29-dotnet-通过-WMI-获取指定进程的输入命令行 title author date CreateTime categories dotnet 通过 WMI 获取指定进 ...

  9. 2019-11-29-dotnet-获取指定进程的输入命令行

    title author date CreateTime categories dotnet 获取指定进程的输入命令行 lindexi 2019-11-29 08:35:11 +0800 2019-0 ...

随机推荐

  1. 訪问可能没有定义的data (通过static类型flash.net:FileReference引用)

    今天使用Flex实现了图片预览及其上传的功能,在整个开发过程中遇到了"訪问可能没有定义的data (通过static类型flash.net:FileReference引用)"错误, ...

  2. IE和火狐兼容常见问题

    文章转自http://www.cnblogs.com/asqq/archive/2013/03/09/3194994.html 1,document.form.item/document.ID IE中 ...

  3. HDUOJ----A Computer Graphics Problem

    A Computer Graphics Problem Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 32768/32768 K (J ...

  4. HDUOJ----湫湫系列故事——减肥记I

    湫湫系列故事——减肥记I Time Limit: 3000/1000 MS (Java/Others)    Memory Limit: 65535/32768 K (Java/Others)Tota ...

  5. RabbitMQ与.net core(五) topic类型 与 headers类型 的Exchange

    1.topic类型的Exchange 我们之前说过Topic类型的Exchange是direct类型的模糊查询模式,可以通过routkey来实现模糊消费message,topic的模糊匹配有两种模式: ...

  6. 怎样让VMware上的虚拟机ping通外网(图解教程)

    近期在实习项目中遇到一个问题. 因測试须要,本人在win7上安装VMWare后在启动两台ubuntuserver.两台主机的网络配置所有採用NAT方式实现连接. 之后一路畅通.主机ping通虚拟机和外 ...

  7. 控件不响应OnMouseMove

    原文链接: http://bbs.csdn.net/topics/370017205 问:我继承CStatic写了个CStaticEx,设为Rectangle类型,用来画图.把这个控件添加到了一个Vi ...

  8. spring中AOP

    1 AOP 的功能是把横切的问题(如性能监视.事务管理)模块化.AOP的核心是连接点模型,他提供在哪里发生横切. Spring AOP 的底层是通过使用 JDK 或 CGLib 动态代理技术为目标 b ...

  9. unity, 荧光效果(bloom)

    ----更新:2015-5-31 详细实现过程见:http://www.cnblogs.com/wantnon/p/4542172.html ----原帖:2015-4-16 用摄像机特效只能做全屏b ...

  10. Android开发1——查找所需要出示权限的内容

    一.发现问题 用户在执行一些如拨打电话.发送短信等关系用户隐私的功能时,Android需要出示权限,权限在AndroidManifest.xml中配置 拨打电话的权限 发送短信的权限 那么这些权限信息 ...