Как использовать ZwQueryInformationProcess для получения ProcessImageFileName в драйвере ядра?
я пишу простой драйвер ядра для своего приложения (подумайте об очень простом антивирусном приложении.)
я подсел ZwOpenFile() и использовать PsGetCurrentProcess() чтобы получить дескриптор процесса звонящего.
он возвращает структуру PEPROCESS:
PEPROCESS proc = PsGetCurrentProcess();
я использую ZwQueryInformationProcess() для получения PID и ImageFileName:
DbgPrint("ZwOpenFile Called...n");
DbgPrint("PID: %dn", PsGetProcessId(proc));
DbgPrint("ImageFileName: %.16sn", PsGetProcessImageFileName(proc));
и пытается получить процесс FullPath этот путь (но я получаю Синий экран):
WCHAR strBuffer[260];
UNICODE_STRING str;
//initialize
str.Buffer = strBuffer;
str.Length = 0x0;
str.MaximumLength = sizeof(strBuffer);
//note that the seconds arg (27) is ProcessImageFileName
ZwQueryInformationProcess(proc, 27, &str, sizeof(str), NULL);
DbgPrint("FullPath: %wZn", str.Buffer);
Как видите,str.Buffer пусто или заполнено мусором. Возможно переполнение буфера при заполнении str via ZwQueryInformationProcess() запускает BSOD.
любая помощь будет оценили.
3 ответов
документы MSDN для этого API указывают, что
когда ProcessInformationClass параметр ProcessImageFileName, буфер, на который указывает Параметр ProcessInformation должен быть достаточно большой, чтобы содержать UNICODE_STRING структура, а также строка себя. Строка, хранящаяся в Элемент Buffer-это имя изображения файл.файл.
имея это в виду, я предлагаю вам попробовать изменить структуру буфера, как это:
WCHAR strBuffer[(sizeof(UNICODE_STRING) / sizeof(WCHAR)) + 260];
UNICODE_STRING str;
str = (UNICODE_STRING*)&strBuffer;
//initialize
str.Buffer = &strBuffer[sizeof(UNICODE_STRING) / sizeof(WCHAR)];
str.Length = 0x0;
str.MaximumLength = 260 * sizeof(WCHAR);
//note that the seconds arg (27) is ProcessImageFileName
ZwQueryInformationProcess(proc, 27, &strBuffer, sizeof(strBuffer), NULL);
кроме того, ваш код должен проверить и обработать случай, описанный в документации здесь ошибка. Возможно, поэтому вы пропустили случай триггера BSOD.
если буфер слишком мал, функция терпит неудачу с Код ошибки STATUS_INFO_LENGTH_MISMATCH и параметр ReturnLength установлен до требуемого размера буфера.
//объявите этот фрагмент кода в заголовочном файле, если он доступен в противном случае перед определением функции..
typedef NTSTATUS (*QUERY_INFO_PROCESS) (
__in HANDLE ProcessHandle,
__in PROCESSINFOCLASS ProcessInformationClass,
__out_bcount(ProcessInformationLength) PVOID ProcessInformation,
__in ULONG ProcessInformationLength,
__out_opt PULONG ReturnLength
);
QUERY_INFO_PROCESS ZwQueryInformationProcess;
//Определение Функции
NTSTATUS GetProcessImageName(HANDLE processId, PUNICODE_STRING ProcessImageName)
{
NTSTATUS status;
ULONG returnedLength;
ULONG bufferLength;
HANDLE hProcess;
PVOID buffer;
PEPROCESS eProcess;
PUNICODE_STRING imageName;
PAGED_CODE(); // this eliminates the possibility of the IDLE Thread/Process
status = PsLookupProcessByProcessId(processId, &eProcess);
if(NT_SUCCESS(status))
{
status = ObOpenObjectByPointer(eProcess,0, NULL, 0,0,KernelMode,&hProcess);
if(NT_SUCCESS(status))
{
} else {
DbgPrint("ObOpenObjectByPointer Failed: %08x\n", status);
}
ObDereferenceObject(eProcess);
} else {
DbgPrint("PsLookupProcessByProcessId Failed: %08x\n", status);
}
if (NULL == ZwQueryInformationProcess) {
UNICODE_STRING routineName;
RtlInitUnicodeString(&routineName, L"ZwQueryInformationProcess");
ZwQueryInformationProcess =
(QUERY_INFO_PROCESS) MmGetSystemRoutineAddress(&routineName);
if (NULL == ZwQueryInformationProcess) {
DbgPrint("Cannot resolve ZwQueryInformationProcess\n");
}
}
/* Query the actual size of the process path */
status = ZwQueryInformationProcess( hProcess,
ProcessImageFileName,
NULL, // buffer
0, // buffer size
&returnedLength);
if (STATUS_INFO_LENGTH_MISMATCH != status) {
return status;
}
/* Check there is enough space to store the actual process
path when it is found. If not return an error with the
required size */
bufferLength = returnedLength - sizeof(UNICODE_STRING);
if (ProcessImageName->MaximumLength < bufferLength)
{
ProcessImageName->MaximumLength = (USHORT) bufferLength;
return STATUS_BUFFER_OVERFLOW;
}
/* Allocate a temporary buffer to store the path name */
buffer = ExAllocatePoolWithTag(NonPagedPool, returnedLength, 'uLT1');
if (NULL == buffer)
{
return STATUS_INSUFFICIENT_RESOURCES;
}
/* Retrieve the process path from the handle to the process */
status = ZwQueryInformationProcess( hProcess,
ProcessImageFileName,
buffer,
returnedLength,
&returnedLength);
if (NT_SUCCESS(status))
{
/* Copy the path name */
imageName = (PUNICODE_STRING) buffer;
RtlCopyUnicodeString(ProcessImageName, imageName);
}
/* Free the temp buffer which stored the path */
ExFreePoolWithTag(buffer, 'uLT1');
return status;
}
//Вызов Функции.. Напишите этот фрагмент кода в предоперационном обратном вызове, и IRQ должен быть PASSIVE_LEVEL
PEPROCESS objCurProcess=NULL;
HANDLE hProcess;
UNICODE_STRING fullPath;
objCurProcess=IoThreadToProcess(Data->Thread);//Note: Date is type of FLT_CALLBACK_DATA which is in PreOperation Callback as argument
hProcess=PsGetProcessID(objCurProcess);
fullPath.Length=0;
fullPath.MaximumLength=520;
fullPath.Buffer=(PWSTR)ExAllocatePoolWithTag(NonPagedPool,520,'uUT1');
GetProcessImageName(hProcess,&fullPath);
в переменной fullPath есть полный путь процесса .. Например, если процесс является explorer.exe тогда путь будет выглядеть так: -
\Device\HarddiskVolume3\Windows\explorer.exe
Примечание: - \Device\HarddiskVolume3 Путь может быть изменен из-за машины и другого Тома на жестком диске это пример в моем случае.
ZwQueryInformationProcess нужен HANDLE, а не PROCESS!
Вам нужно использовать ObOpenObjectByPointer чтобы получить ручку первым.