EPROCESS取进程全路径(xp)

最新推荐文章于 2025-02-28 03:47:56 发布
原创 最新推荐文章于 2025-02-28 03:47:56 发布 · 1.9k 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文探讨了解决XP系统下路径获取时遇到的问题,并通过硬编码的方式优化了解决方案。详细介绍了`PFILE_OBJECT__declspec(naked)__stdcall_MmGetFileObjectForSection(PVOIDSection)`函数的作用以及`PsReferenceProcessFilePointer`函数如何引用和处理文件对象。

上一篇文章在xp下取路径太麻烦

既然规定在了xp系统下,为什么不硬编码呢?

好吧,走起~~~

PFILE_OBJECT __declspec(naked) __stdcall _MmGetFileObjectForSection(PVOID Section)
{
    __asm
	{
		push ebp;
		mov  ebp, esp;
		mov  eax, dword ptr ss:[ebp + 0x08];
		mov  eax, dword ptr ds:[eax + 0x14];
		mov  eax, dword ptr ds:[eax];
		mov  eax, dword ptr ds:[eax + 0x24];
		mov  esp, ebp;
		pop  ebp;
		ret  0x04;
	}
}

NTSTATUS PsReferenceProcessFilePointer(IN PEPROCESS Process, OUT PVOID *OutFileObject)
{
	PVOID SectionObject;

	if (SectionObject = *(PVOID*)((PCHAR)Process + 0x138))
	{
		PFILE_OBJECT FileObject;

		FileObject = _MmGetFileObjectForSection(SectionObject);
		*OutFileObject = FileObject;
		ObReferenceObject (FileObject);
		return STATUS_SUCCESS;
	}
	return STATUS_UNSUCCESSFUL;
}


WRK+DBG

Windows内核编程基础篇之常见内核数据结构
知其所以然
08-28 3636
1,驱动框架常见数据结构有 驱动对象结构,  设备对象结构等。         A)驱动对象结构  (DRIVER_OBJECT)             每个驱动对象代表一个已加载的内核驱动程序,指向驱动对象结构的指针常常作为DriverEntry,AddDevice, Unload等函数的参数。驱动对象结构式半透明的。其中公开的域包括DeviceObject,DriverExtensio
_EPROCESS断链 —— 实现进程内核隐藏
walker的博客
03-06 3245
我们可以利用 _EPROCESS 结构体中的 ActiveProcessLinks 双向链表遍历进系统中的进程,并将特定进程从该双向链表中移除,以达到隐藏特定进程的目的。 _EPROCESS _EPROCESS 结构体是内核用于管理和维护进程的结构体,每个进程都会有一个属于自己的结构体。同一个程序创建了多个进程,其就会有对应个数的 _EPROCESS 。 _EPROCESS 的结构如下: kd> dt _EPROCESS nt!_EPROCESS +0x000 Pcb
windows handle manager
飞鸟的专栏
08-31 1121
前导reactos 句柄的设计位于ex执行体中,一般情况下句柄的使用都或多或少的伴随着对象的使用。目前认为句柄是用户层对系统层引用。 内核句柄表的创建 /* Create kernel handle table */ PsGetCurrentProcess()->ObjectTable = ExCreateHandleTable(NULL); ObpKernelHandleT
android开发获取手机,通过ADB获取Android手机信息,获取手机信息
weixin_33656211的博客
05-29 562
通过ADB获取Android手机信息,获取手机信息原文:https://blog.csdn.net/fasfaf454/article/details/514387431、获取手机系统信息( CPU,厂商名称等)adb shell "cat /system/build.prop | grep "product""2、获取手机系统版本adb shell getprop ro.build.versio...
【Windows内核编程】Win10/Win11通过PspCidTableEProcess
懵逼树上懵逼果
08-04 1650
在内核RING0层运用PspCidTable枚举可能被隐藏、断链的进程,得到EPROCESS对象
SQLite3 + Spring boot 使用快速入门
热门推荐
蚩尤后裔-汪茂雄
06-27 1万+
1、SQLite 是一个 C 语言库,它实现了一个小型快速独立高可靠性功能齐全开源的关系型嵌入式 SQL 数据库引擎。SQLite 是世界上使用最广泛的数据库引擎。SQLite 内置于所有手机和大多数计算机中,并捆绑在人们每天使用的无数其他应用程序中。2、SQLite文件格式是稳定的、跨平台的和向后兼容的,开发人员承诺在2050 年之前保持这种状态。SQLite 数据库文件通常用作容器,在系统之间传输丰富的内容,并用作数据的长期存档格式。有超过 1 万亿 个 SQLite 数据库正在积极使用。
EPROCESS进程全路径
SomeTimes
01-21 5909
Windows内核中通过PEPROCESS获取进程全路径
【转】[内核/驱动]驱动中获取进程全路径和注册表全路径
05-09 288
转载地址:http://blog.sina.com.cn/s/blog_60a1a51d0100e78g.html 2008.07.05 经过这几天的努力,注册表保护驱动已经基本稳定。很多人都在网上问如何获取访问注册表的进程全路径和被访问的注册表的全路径,下面就将部分代码贴出来。 //驱动中获取被访问注册表的全路径 BOOLEAN GetRegFullPa...
在驱动中获取进程全路径
leon
07-19 3222
本文转自 http://xiabl.blog.ccidnet.com/blog.php?do=showone&itemid=129339&typ=blog仅作收藏  在驱动中获取进程全路径系统具备:WinDbg, Windows Symbol Packages (http://www.microsoft.com/whdc/devtools/debugging/symbolpkg.msp
Win2008 R2 EPROCESS结构
trents的专栏
10-20 1308
lkd> dt _eprocess nt!_EPROCESS    +0x000 Pcb              : _KPROCESS    +0x160 ProcessLock      : _EX_PUSH_LOCK    +0x168 CreateTime       : _LARGE_INTEGER    +0x170 ExitTime         : _LARGE_IN
TEB和PEB的知识复习
小渣渣的博客
06-06 2558
fs:[0x18]指向的是TEB自身, fs[0x30]就是PEB所在的位置.
进程线程 1.EPROCESS进程隐藏
Mikasys的博客
11-05 1805
一、EPROCESS结构体 EPROCESS结构 kd> dt _EPROCESS ntdll!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime : _LARGE_INTEGER +0x078 ExitTime : _LARGE_INTEGER +0x080 RundownProtect
获得进程映像文件 ()
Tommy(凌飞)的专栏
09-13 1402
NTSTATUSPsReferenceProcessFilePointer (    IN PEPROCESS Process,    OUT PVOID *OutFileObject    )/*++Routine Description:    This routine returns a referenced pointer to the FilePointer of Process.   
NT5/NT6上的获取进程全路径
zhuhuibeishadiao
04-12 5073
前面说过使用一大堆函数获取全路径 PID->eprocess->KeStackAttachProcess->ZwQueryInformationProcess->ProcessImageFileName->ZwCreateFile ->ObReferenceObjectByHandle->RtlVolumeDeviceToDosName ->ZwQueryInformationF
windows--MmGetFileNameForSection
最新发布
weixin_43751677的博客
02-28 307
【代码】windows--MmGetFileNameForSection。
运行期修改可执行文件的路径和Command Line
NetRoc的专栏
12-28 1289
运行期修改可执行文件的路径和Command Line  NetRochttp://www.DbgTech.net/目前的很多主动防御工具和反XX系统,在对特定进程进行保护的时候,出于兼容性的考虑,都会保留一些白名单。特别是一些系统进程,例如csrss.exe、svchost.exe等等。而针对这些系统进程,判断是否在白名单中的方式,为了简便起见经常采用系统路径、可执
参加NEC卓越软件的高可用集群软件EXPROCESSCLUSTER发布会记录
10-12 1468
今天下午去参加了NEC卓越软件公司的EXPRESSCLUSTER X高可用集群软件的发布会,参会的嘉宾有五六十人。首先是NEC卓越软件的总裁致辞,然后是EXPRESSCLUSTER X的现状,展望及产品介绍。最后是嘉宾提问还有合影。偶问了一个他们的集群软件与应用软件的捆绑销售问题,还发了偶一个小鼠标:)。以后是否有可能将我们的工作流和开发平台与EXPRESSCLUSTER X进行有意向的捆绑销售呢
获得进程EPROCESS
Kendiv's Box
01-31 6000
获得进程EPROCESS发布日期:2004-06-02文摘内容: 文摘出处:http://www.xfocus.net/articles/200406/706.html创建时间:2004-06-01文章属性:原创文章提交:MustBE (zf35_at_citiz.net)By [I.T.S]SystEm32Welcome to our web site http://itaq.ynpc
EPROCESS遍历进程
For Geek
05-07 2241
Windows为每一个进程都安排了一个EPROCESS的结构用于维护每一个进程,当然EPROCESS是属于内核管理的,所以只有ring0层的程序才可以访问这个结构,下面我们来看一下EPROCESS的结构是怎样的。 kd> dt _eprocess ntdll!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值