通过进程id获取用户名

原创 于 2022-12-24 19:19:00 发布
· 1.1k 阅读 · 1 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #驱动开发

博客内容讲述了如何通过进程ID获取对应的用户名,并与ProcessHacker工具进行对比,指出在实际结果中,如SYSTEM对应的用户名可能是HKS$。代码示例展示了使用NT_STATUS函数获取进程用户名的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在一个样本中看到的:通过进程id获取对应的用户名,来确定需要注入的目标进程。通过ProcessHacker工具可以查看进程对应的用户名,如下图:

 可以看到,User name这一栏里面,有NT AUTHORITY\SYSTEM,NT AUTHORITY\LOCAL SERVICE,HKS\1909等。不同的用户名拥有不同的权限。下面的代码获取的用户名与ProcessHacker的结果有一点不同。下面代码获取的是SYSTEM,LOCAL SERVICE,1909等,如下图:

 实际结果中SYSTEM对应的是HKS$(HKS是设备名称,后面跟着'$‘,来表示SYSTEM);

 

其他的LOCAL SERVICE,1909是一样的。

代码如下:

NTSTATUS GetProcessUserName(HANDLE pid)
{
    NTSTATUS status = STATUS_SUCCESS;
    PEPROCESS TargetProcess = NULL;
    PACCESS_TOKEN ProcessToken = NULL;
    LUID AuthenticationId = { 0 };
    PSecurityUserData UserInfo = NULL;

    DbgPrint("pid:%d\n", pid);

    status = PsLookupProcessByProcessId((HANDLE)pid, &TargetProcess);
    if (NT_SUCCESS(status))
    {
        ProcessToken = PsReferencePrimaryToken(TargetProcess);
        if (ProcessToken)
        {
            status = SeQueryAuthenticationIdToken(ProcessToken, &AuthenticationId);



            if (NT_SUCCESS(status))
            {
                status = GetSecurityUserInfo(&AuthenticationId, UNDERSTANDS_LONG_NAMES, &UserInfo);

                if (NT_SUCCESS(status))
                {
                    DbgPrint("UserInfo->UserName:%wZ\n", &(UserInfo->UserName));

                    LsaFreeReturnBuffer(UserInfo);
                }
                else
                {
                    DbgPrint("GetSecurityUserInfo fails,status:0x%x\n", status);
                }
            }
            else
            {
                STATUS_ACCESS_DENIED;
                DbgPrint("SeQueryAuthenticationIdToken fails,status:0x%x\n", status);
            }
        }
    }
    else
    {
        DbgPrint("PsLookupProcessByProcessId fails,status:0x%x\n", status);
    }


    if (ProcessToken)
    {
        PsDereferencePrimaryToken(ProcessToken);
    }
    if (TargetProcess)
    {
        ObDereferenceObject(TargetProcess);
    }

    return status;
}

根据进程ID获取进程用户名
07-06
根据进程ID号,获取进程用户名,包括系统用户名,系统登录这用户名,LOCALSERVICE NETWORKSERVICE 都可以获取
vb 获取系统进程PID用户名
05-21
然后我们遍历这个集合,使用`Process`对象的`ProcessName`属性获取进程名,`Id`属性获取PID,`UserDomainName`和`UserName`属性获取用户名。 需要注意的是,由于权限限制,不是所有的进程都能获取用户名,尤其是...
通过进程ID得到进程
weixin_34074740的博客
09-20 427
在内核中,通过进程ID,得到进程名称,有多种方法。 我使用了两种方法,第一种是使用ZwOpeProcess得到句柄 然后ObReferenceObjectByHandle函数得到PEPROCESS结构,然后 char *ProcessName = (char*)EProcess + 0x174; 第二种方法是得到PEPROCESS结构之后,使用PsGetProcess...
获取进程所属用户名
IT男也疯狂
09-02 4487
引用库 #include #pragma comment( lib, "Wtsapi32.lib" ) 直接给出遍历函数 void EnumProcessUserName(){ DWORD dwCount = 0; PWTS_PROCESS_INFO pi = { 0 }; int i = 0; DWORD dwSize = 0; char
获取进程用户名
reaL's Blog
05-05 7172
枚举进程,并获取进程用户名
C# 获取系统进程用户名
09-06
`GetProcessUserName`方法接收一个进程ID作为参数,然后通过`SelectQuery`创建一个查询,该查询用于从`Win32_Process`类中选择具有指定进程ID的对象。`Win32_Process`是WMI(Windows Management Instrumentation)...
通过进程ID查询用户名的实现方法
Windows操作系统中,可以通过多种方法来实现根据进程ID获取进程用户名。 ### 获取进程用户名的方法 #### 1. 使用Windows API Windows提供了一系列的API函数用于管理和查询进程信息。通过调用这些API,可以...
获取所有进程用户名(包括NETWORK SERVICE和LOCAL SERVICE)
oldmtn的专栏
02-13 3423
以下代码实现获取某个进程所属的用户名,比如RavMonD.exe的进程PID是1288,那么修改这条语句就OK GetProcessUser(1288,&bs);它的获取结果是:SYSTEM。 ----------------------------------------------------- #include #include #include #include typedef struct _UNICODE_STRING {          USHORT Length;             
任务管理器-----获取进程对应的用户名
oldmtn的专栏
02-18 6757
LPCTSTR GetProcessUserName(DWORD dwID)     // 进程ID { HANDLE hProcess=OpenProcess(PROCESS_QUERY_INFORMATION,FALSE,dwID); if( hProcess==NULL ) return NULL; HANDLE hToken    =NULL; BOOL bResult    =FALSE; DWORD dwSize    =0; static TCHAR szUserName[256]={0};
C++搞的盗Q源码 根据进程ID得到进程名称
11-19
主要代码分析如下: //根据进程ID得到进程名称 BOOL processIdToName(LPTSTR lpszProcessName, DWORD PID) { HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); PROCESSENTRY32 pe;
根据进程ID获取进程名字
codehxy的专栏
03-01 6553
private static String processName() { // shell获取指定pid进程的名字 // ps | grep pid | awk '{print $9}' String processName=null; try { int pid = android.os.Process.myPid()
通过进程ID获取进程
weixin_30632899的博客
10-18 319
uses TLhelp32 function GetProcessNameById(const AID: Integer): String; var h:thandle; f:boolean; lppe:tprocessentry32; begin Result := ''; h := CreateToolhelp32Snapsho...
Windows下根据进程id获得进程
MusicMan
05-16 4875
//根据进程id获得进程名 wstring GetModuleName(DWORD dwPid) { HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,dwPid); if (INVALID_HANDLE_VALUE == hSnapshot) { return L""; } PROCESSENTRY32 ...
windows驱动里通过进程ID获得进程名和所属用户
fanxiushu的专栏
07-03 6836
windows驱动中,通过 进程ID,可以获得进程完整路径和进程名, 也可以获得进程所属的用户名。 以下代码是整理出来完成这些功能的 两个实现函数。 // By fanxiushu 2013-07-02 ///获得进程名 NTSTATUS get_process_name(int pid, PWCHAR* out_fullpath, PWCHAR* out_name
WMI和API方式获取进程用户名
cqwei2013的专栏
10-27 1790
首先是WMI方式:
进程1:由进程ID获取进程名字
xh_xinhua的博客
09-07 889
#define SVP_RCHMI_PROCESS_NAME "rc_hmi" static pid_t process_pid = 1000; int main() { FILE *fp_handle; SVPChar buf[128] = {'\0'}; SVPChar cmd[128] = {'\0'}; SVPChar dest_path[1
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值