看流星社区

 找回密码
 注册账号
查看: 1705|回复: 0

如何获取进程/目标对象的全路径?

[复制链接]

该用户从未签到

发表于 2017-6-1 13:33:31 | 显示全部楼层 |阅读模式
PID->eprocess->KeStackAttachProcess->ZwQueryInformationProcess-&gtrocessImageFileName->ZwCreateFile
->ObReferenceObjectByHandle->RtlVolumeDeviceToDosName
->ZwQueryInformationFile



如何获取目标对象的全路径?

Handle
ObReferenceObjectByHandleIoQueryFileDosDeviceName
ObReferenceObjectByHandleObQueryNameString(强删文件例子里)
IRP查询(FILEMON4.34中FilemonQueryFile函数)
FltGetName(minifilter)

我知道的方法:


参考小伟同学的《伪造进程初探》一文

进程全路径:
1.EPROCESS->ImageFileName(进程名)
2.EPROCESS->SeAuditProcessCreationInfo->ImageFileName
3.EPROCESS->SectionObject->Segment->ControlArea->FilePointer->FileName
4.EPROCESS-&gtEB-&gtrocessParameters->ImagePathName
5.EPROCESS-&gtEB-&gtrocessParameters->CommandLine
6.EPROCESS-&gtEB-&gtrocessParameters->WindowTitle
7.EPROCESS-&gtEB->Ldr->InLoadOrderLinks->FullDllName
8.EPROCESS-&gtEB->Ldr->InMemoryOrderLinks->FullDllName(进程名)
其实一个从EPROCESS->VADRoot->RightChild->ControlArea->FilePointer->FileName获取路径的。
但因为这里面的ControlArea和方法3的ControlArea是同一个,所以可以忽略了。



一、EPROCESS中:
1、EPROCESS-->ImageFileName(很常用,冰刃获取进程名的地方)
2、EPROCESS-->SeAuditProcessCreationInfo->ImageFileName(任务管理器获取进程名的地方,NtQueryInformationProcess就是从这里获取进程名的)
3、EPROCESS->SectionObject->Segment->ControlArea->FileObject->FileName(RKU获取进程名的方法)
4、VAD(记录用户空间内存分配情况的数据结构,里面当然有进程的exe模块)
二、PEB中:
1、PEB--&gtrocessParameters-->ImagePathName
2、PEB-->ProcessParameters-->CommandLine
3、PEB-->ProcessParameters-->WindowTitle(这个地方比较奇怪,如果双击的是exe的快捷方式,则记录的是快捷方式的路径,还是一并改掉的好)
4、PEB-->LDR-->InLoadOrderModuleList->第一个结构->FullDllName
5、PEB-->LDR-->InLoadOrderModuleList->第一个结构->BaseDllName
6、PEB-->LDR-->InMemoryOrderModuleList->第一个结构->FullDllName(此处的BaseDllName貌似为NULL,就不管它了)
(PEB-->LDR-->InInitializationOrderModuleList这个表里貌似没有exe模块,也不管它了)
点击按钮快速添加回复内容: 支持 高兴 激动 给力 加油 苦寻 生气 回帖 路过 感恩
您需要登录后才可以回帖 登录 | 注册账号

本版积分规则

小黑屋|手机版|Archiver|看流星社区 |网站地图

GMT+8, 2024-3-19 15:52

Powered by Kanliuxing X3.4

© 2010-2019 kanliuxing.com

快速回复 返回顶部 返回列表