常用工具函数记录---(Kernel) PID-HANDLE-EPROCESS-PATH 转换

最新推荐文章于 2025-05-08 19:54:50 发布
最新推荐文章于 2025-05-08 19:54:50 发布
阅读量150 收藏
点赞数
分类专栏: Windows驱动开发 文章标签: windows c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wangmin1944/article/details/131289347
版权

根据PID获取进程句柄:

HANDLE GetHandleByPid(ULONG iPid)
    {
        HANDLE  handle = 0;
        OBJECT_ATTRIBUTES ObjectAttributes;
        CLIENT_ID clientid;
        InitializeObjectAttributes(&ObjectAttributes, 0, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, 0, 0);
        clientid.UniqueProcess = (HANDLE)iPid;
        clientid.UniqueThread = 0;
        ZwOpenProcess(&handle, PROCESS_ALL_ACCESS, &ObjectAttributes, &clientid);
        return handle;
    }

根据句柄获取进程PID:

    ULONG GetPidByHandle(HANDLE ProcessHandle)
    {
        ULONG pid = 0;
        PROCESS_BASIC_INFORMATION pbi;
        auto st = ZwQueryInformationProcess(ProcessHandle, ProcessBasicInformation, (PVOID)&pbi, sizeof(PROCESS_BASIC_INFORMATION), NULL);
        if(NT_SUCCESS(st))
        {
            pid = (ULONG)pbi.UniqueProcessId;
        }
        return pid;
    }

根据PID获取进程EPROCESS:

   PEPROCESS  GetPepByPid(ULONG iPid)
    {
        PEPROCESS pEProc=0;
        auto st =PsLookupProcessByProcessId((HANDLE)iPid, &pEProc);
        if(NT_SUCCESS(st))
        {
            ObDereferenceObject(pEProc);
        }
       
        return pEProc;
    }

根据PID获取进程全路径:


BOOLEAN  GetProcPathByPid(HANDLE hdPid, char* cPath)
{
	BOOLEAN bOk = FALSE;
	PEPROCESS pEpro = 0;
	PFILE_OBJECT FileObject=0;
	PUNICODE_STRING ImageName;
	char parname[512] = { 0 };
	if ((int)hdPid == 4)
	{
		char system[] = "System";
		strcpy(cPath, system);
		bOk = TRUE;
	}
	else
	{
		auto spath = GetProcPathByPid((ULONG)hdPid);
		if (spath.length() > 0)
		{
			strcpy(cPath, spath.c_str());
			bOk = TRUE;
		}
		else
		{
			if (NT_SUCCESS(PsLookupProcessByProcessId(hdPid, &pEpro)))
			{
				if (NT_SUCCESS(PsReferenceProcessFilePointer(pEpro, &FileObject)))
				{
					if (NT_SUCCESS(SeLocateProcessImageName((PEPROCESS)pEpro, &ImageName)))
					{
						StringUnicodeToAnsi(ImageName, parname, ImageName->Length);
						StringToLower(parname);
						strcpy(cPath, parname);
						bOk = TRUE;
					}
				}
				if (FileObject)
					ObDereferenceObject(FileObject);
			}
			if (pEpro)
				ObDereferenceObject(pEpro);
		}
		
	}

	return bOk;
}

Windows进程与线程---1
For Geek
07-02 1292
概述 相比于Linux中的进程管理,即创建一个线程的同时创建一个进程。而Windows中却不是这样,它是先创建一个进程作为容器,然后创建第一个线程,也就是对于CreateProcess而言,它先调用NtCreateProcess创建进程,然后调用NtCreateThread创建进程的第一个线程。 Windows进程的用户空间 一些重要的宏如下 #define MM_HIGHEST_USER_ADD...
ARK之杀进程这点小事-有线程补充
zhuhuibeishadiao
06-07 3183
A.NtTerminateProcess B.涂改内存    //内存清0 C.卸载模块 //free ntdll.dll或主模块 D.窗口攻击 //发close quit 洪水 或 SetParant 这里演示SetParant R3 如果要这么做的话最好在内核中使用更底层的函数 这里提一下枚举窗口 使用EnumWinodws是调用内核中NtUserBuildHwndList 这个函数
进程结构体线程结构体
kernweak的博客
05-03 1264
首先说明这分析的是XP系统,WIN7每个单元偏移略有差距 进程结构体EPROCESS 每个windows进程在0环都有一个对应的结构体:EPROCESS 这个结构体包含了进程所有重要的信息。 PEB在3环,EPROCESS在0环。 KPROCESS主要成员介绍 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23...
取证分析--内存取证(Volatility)
金灰的博客
12-30 889
userassist。
SSDTHook实例--编写稳定的Hook过滤函数
Fly20141201. 的专栏
07-04 3221
讲解如何写Hook过滤函数,比如NewZwOpenProcess。打开进程。很多游戏保护都会对这个函数进行Hook。由于我们没有游戏保护的代码,无法得知游戏公司是如何编写这个过滤函数。   我看到很多奇形怪状的Hook过滤函数的写法。看得蛋痛无比。比如: http://bbs.pediy.com/showthread.php?t=126802 http://bbs.pediy.com/sh
内存取证-Volatility安装使用以及一些CTF比赛题目
热门推荐
Bnessy
04-02 3万+
一 、简介 Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。 二 、安装Volatility 下载源码 https://github.com/volatilityfoundation/volatility 解压 unzip volatility-master.zip 安装依赖 crypto pip2 install pycryptodome #如果安装失败,可使用以下命令切换国内源 pip2
CVE-2021-40449 分析
qq_41252520的博客
03-24 2015
前言 该漏洞本身原理比较简单,而作为 Win10下的利用才是本篇文章的研究重点。 1.漏洞简介 1.1.漏洞描述 win32kfull.sys中的 NtGdiResetDC\textcolor{cornflowerblue}{NtGdiResetDC}NtGdiResetDC函数存在 UAF漏洞,攻击者可以利用该漏洞进行本地权限提升。 1.2.影响版本 windows_10 windows_10 20h2 windows_10 21h1 windows_10 1607 windows_10 1809 w
anti-debug你必须知道的基础篇 All in one
jentle8的博客
10-24 1140
这将是一个进阶的系列,当全部完成的时候笔者会弄成一个git手册供自己以及有需要的人查看。在实际对抗中,可能有些别样的代码的Anti结构似曾相识,或许是一个结构体,或许是一段赋值,但是在找这些结构体的时候经常需要东查西查,所以,here we go~~
CVE-2018-8120 漏洞分析复现-Day1
WocW的博客
05-24 1147
0x00:前言 对于HEVD靶场的调试告一段落,接下来尝试对一些真实的漏洞进行分析复现。参考: freebuf 0x02:背景 1. 漏洞描述 部分版本Windows系统win32k.sys组件的NtUserSetImeInfoEx()系统服务函数内部未验证内核对象中的空指针对象,普通应用程序可利用该空指针漏洞以内核权限执行任意代码。 2. 受影响的版本 以下软件版本受到影响。未列出的版本要么超过其支持生命周期,要么不受影响。要确定软件版本或版本的支持生命周期,请查阅Microsoft支持生命周期。 W
[4]Windows内核情景分析---内核对象
jadeshu的博客
12-17 506
写过Windows应用程序的朋友都常常听说“内核对象”、“句柄”等术语却无从得知他们的内核实现到底是怎样的, 本篇文章就揭开这些技术的神秘面纱。 常见的内核对象有: Job、Directory(对象目录中的目录)、SymbolLink(符号链接),Section(内存映射文件)、Port(LPC端口)、IoCompletion(Io完成端口)、File(并非专指磁盘文件)、同步对象(Mutex...
windows内核情景分析---进程线程1
mmmsss987的博客
06-23 681
本篇主要讲述进程的启动过程、线程的调度与切换、进程挂靠 一、进程的启动过程: BOOLCreateProcess ( LPCTSTRlpApplicationName,// LPTSTRlpCommandLine,//commandlinestring LPSECURITY_ATTRI...
Win10 EPROCESS 断链
hambaga的博客
01-29 1326
介绍 参考了 https://github.com/landhb/HideProcess/ 动态获取 ActiveProcessLinksOffset ,可兼容不同版本的win10 x64系统。 运行结果 隐藏加载器自身 隐藏成功 驱动加载 #include <windows.h> #include <winsvc.h> #include <conio.h> #include <stdio.h> #include <winioctl.h&
64位下使用回调函数实现监控
hongduilanjun的博客
11-01 1614
在32位的系统下,我们想要实现某些监控十分简单,只需要找到对应的API实现挂钩操作即可检测进程。但在64位系统下随着的引入,导致我们如果继续使用挂钩API的方式进行监控会出现不可控的情况发生。微软也考虑到了用户程序的开发,所以开放了方便用户调用的系统回调API函数,在64位系统下的监控,使用系统回调相对于直接hook的方式往往是更值得青睐的一方。
驱动开发:内核监控进程与线程回调
m0_56069948的博客
10-23 673
系统中监控进程与线程可以使用微软提供给我们的两个新函数来实现,此类函数的原理是创建一个回调事件,当有进程或线程被创建或者注销时,系统会通过回调机制将该进程相关信息优先返回给我们自己的函数待处理结束后再转向系统层。那么会提示连接的设备没有发挥作用,我们则成功拦截了这次打开,当然如果在打开进程之前扫描其特征并根据特征拒绝进程打开,那么就可以实现一个简单的防恶意程序,进程监控在防恶意程序中也是用的最多的。如上,该函数只有两个参数,第一个参数是回调函数,第二个参数是是否注销,通常在驱动退出时可以传入。
第 7 篇:跳表 (Skip List):简单务实的概率性选手
m0_73762612的博客
05-02 1606
跳表: 实现内存有序表时,若看重实现简单性、写性能范围查询效率,且能接受概率性性能保证,跳表是优秀选择。
19:常见的Halcon数据格式
学习笔记
05-03 912
1.caltab_points:从标定板中读取marks中心坐标,该坐标值是标定板坐标系统里的坐标值,该坐标系统以标定板为参照,向右为X正,下为Y正,垂直标定板向下为Z正。图像均用像素点保存,而像素点是整型的,不连续的,Halcon做了拓展,定义了亚像素(subpixel)的描述几何轮廓的对象:xld,主要用在亚像素测量的背景下,可用于如提取边缘、构建轮廓等等,可查询与模型相关的数据,与相机相关的数据(包括相机的内外参数等),与标定对象相关的数据,与标定对象的姿态相关的数据。控制输出是要查询的标定数据。
删除链表倒数第N个节点
最新发布
m0_74313252的博客
05-08 218
首要目标就是找到第N个节点的前一个节点,因为只有通过这个节点(cur)才可进行对第N个节点进行删除操作,即cur->next=cur->next->next;但是要是找到第N个节点不是很容易,可以使用便捷方法——快慢指针,使用时要考虑一点如何找到第N个节点的前一个节点,即将N+1,这样就可实现。给你一个链表,删除链表的倒数第。个结点,并且返回链表的头结点。
【链表扫盲】FROM GPT
m0_48165967的博客
05-08 604
通过指针将节点串联在一起。
java加强 -泛型
2401_88743650的博客
05-03 768
泛型不支持基本的数据类型,即int,double等数据类型,原因是泛型工作在编译阶段,编译结束后系统会进行泛型擦除,所有类型都会转变为Object类型。而Object是对象类型,接收的是对象,数字等类型不是对象,因此不接收基本的数据类型。当我们要传的参数为多个集合,每个集合都是继承于某个父类的子类的集合时,我们就可以通过使用通配符来接收不同的子类集合。定义类、接口、方法时,同时声明了一个或多个类型变量(如<E>),称为泛型类、泛型接口、泛型方法、它们统称为泛型。super Car?
./volatility_2.6_lin64_standalone -f neicun.vmem --profile=Win7SP1x64 pslist 代码是什么意思?
04-03
首先,Volatility是一个内存取证工具,主要用于分析内存转储文件。用户使用的是Linux 64位的独立版2.6版本。命令中的每个部分都需要拆解来看: 1. **-f 1.vmem**:这里,-f参数通常指定内存转储文件的位置。用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值