[求助]获取进程的全路径遇到困难-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 2 楼创建的时候 PsGetCurrentProcess 取到的是父进程难道你认为进程会自己创建自己嘛结束时 PsGetCurrentProcess 才是当前进程帖的代码里已经有了被你注释掉了难道你认为前辈们不知道PsGetCurrentProcess 更简单? 2009-9-18 17:09 0
hymeca 雪币： 284 活跃值： (387) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 25 粉丝 1 关注私信	hymeca 3 楼进程创建子进程的主线程的时候，运行的上下文确实是在父进程中，如果在父进程上下文中调用PsLookupProcessByProcessId获取子进程的EPROCESS，结果得到的怎么都是？？？值，难道说是因为这个时候，子进程的主线程以及别的线程没跑起来，所以这个结构体才没赋值的吗？如果我要得到，必须要配合别的函数了吗？谢谢楼上的指点，希望继续开下偶的窍 2009-9-18 17:35 0
hymeca 雪币： 284 活跃值： (387) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 25 粉丝 1 关注私信	hymeca 4 楼确实通过PsLookupProcessByProcessId获取到的子进程的结构体EPROCESS中，取得的ImageFileName确实是运行的子进程的名字，但是找到PEB结构后，然后获取PRTL_USER_PROCESS_PARAMETERS信息，结果发现PRTL_USER_PROCESS_PARAMETERS结构体中的ImagePathName为？？？能告诉我为什么吗？ 2009-9-18 17:49 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 5 楼进程还没有初始化完成 Peb当然取不到路径了 2009-9-19 04:38 0
寒冰心结雪币： 9035 活跃值： (3686) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 239 粉丝 0 关注私信	寒冰心结 6 楼我有点好奇.. 楼主为什么有着现成的结构不用呢? typedef struct _PS_CREATE_NOTIFY_INFO { __in SIZE_T Size; union { __in ULONG Flags; struct { __in ULONG FileOpenNameAvailable : 1; __in ULONG Reserved : 31; }; }; __in HANDLE ParentProcessId; __in CLIENT_ID CreatingThreadId; __inout struct _FILE_OBJECT FileObject; //可执行映像的文件对象.有了这个拿路径还不容易么? __in PCUNICODE_STRING ImageFileName; //这里就是名字. __in_opt PCUNICODE_STRING CommandLine; __inout NTSTATUS CreationStatus; } PS_CREATE_NOTIFY_INFO, PPS_CREATE_NOTIFY_INFO; 2009-9-19 05:54 0
hymeca 雪币： 284 活跃值： (387) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 25 粉丝 1 关注私信	hymeca 7 楼 PsSetCreateProcessNotifyRoutine与PsSetCreateProcessNotifyRoutineEx的参数不同，因为我是用的PsSetCreateProcessNotifyRoutine注册的回调，所以不能使用你说的这个结构体。实际上同过eprocess也可以获取到进程的句柄，然后获取进程全路径。你的这个回调我有时间我会继续测试！很感谢你的回复，只可惜分都送完了，很抱歉 2009-9-19 13:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 2 楼创建的时候 PsGetCurrentProcess 取到的是父进程难道你认为进程会自己创建自己嘛结束时 PsGetCurrentProcess 才是当前进程帖的代码里已经有了被你注释掉了难道你认为前辈们不知道PsGetCurrentProcess 更简单? 2009-9-18 17:09 0
hymeca 雪币： 284 活跃值： (387) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 25 粉丝 1 关注私信	hymeca 3 楼进程创建子进程的主线程的时候，运行的上下文确实是在父进程中，如果在父进程上下文中调用PsLookupProcessByProcessId获取子进程的EPROCESS，结果得到的怎么都是？？？值，难道说是因为这个时候，子进程的主线程以及别的线程没跑起来，所以这个结构体才没赋值的吗？如果我要得到，必须要配合别的函数了吗？谢谢楼上的指点，希望继续开下偶的窍 2009-9-18 17:35 0
hymeca 雪币： 284 活跃值： (387) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 25 粉丝 1 关注私信	hymeca 4 楼确实通过PsLookupProcessByProcessId获取到的子进程的结构体EPROCESS中，取得的ImageFileName确实是运行的子进程的名字，但是找到PEB结构后，然后获取PRTL_USER_PROCESS_PARAMETERS信息，结果发现PRTL_USER_PROCESS_PARAMETERS结构体中的ImagePathName为？？？能告诉我为什么吗？ 2009-9-18 17:49 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 5 楼进程还没有初始化完成 Peb当然取不到路径了 2009-9-19 04:38 0
寒冰心结雪币： 9035 活跃值： (3686) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 239 粉丝 0 关注私信	寒冰心结 6 楼我有点好奇.. 楼主为什么有着现成的结构不用呢? typedef struct _PS_CREATE_NOTIFY_INFO { __in SIZE_T Size; union { __in ULONG Flags; struct { __in ULONG FileOpenNameAvailable : 1; __in ULONG Reserved : 31; }; }; __in HANDLE ParentProcessId; __in CLIENT_ID CreatingThreadId; __inout struct _FILE_OBJECT FileObject; //可执行映像的文件对象.有了这个拿路径还不容易么? __in PCUNICODE_STRING ImageFileName; //这里就是名字. __in_opt PCUNICODE_STRING CommandLine; __inout NTSTATUS CreationStatus; } PS_CREATE_NOTIFY_INFO, PPS_CREATE_NOTIFY_INFO; 2009-9-19 05:54 0
hymeca 雪币： 284 活跃值： (387) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 25 粉丝 1 关注私信	hymeca 7 楼 PsSetCreateProcessNotifyRoutine与PsSetCreateProcessNotifyRoutineEx的参数不同，因为我是用的PsSetCreateProcessNotifyRoutine注册的回调，所以不能使用你说的这个结构体。实际上同过eprocess也可以获取到进程的句柄，然后获取进程全路径。你的这个回调我有时间我会继续测试！很感谢你的回复，只可惜分都送完了，很抱歉 2009-9-19 13:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复