Comment utiliser ZwQueryInformationProcess pour obtenir ProcessImageFileName dans un pilote de noyau?

Je suis en train d'écrire un simple pilote de noyau pour mon application (pensez à un de très simple, l'application anti-malware.)

J'ai accroché ZwOpenFile() et utilisé PsGetCurrentProcess() pour obtenir un handle pour le processus appelant.

Elle renvoie une PEPROCESS structure:

PEPROCESS proc = PsGetCurrentProcess();

Je suis en utilisant ZwQueryInformationProcess() pour obtenir le PID et ImageFileName:

DbgPrint("ZwOpenFile Called...\n");
DbgPrint("PID: %d\n", PsGetProcessId(proc));
DbgPrint("ImageFileName: %.16s\n", PsGetProcessImageFileName(proc));

et essayer d'obtenir le processus FullPath de cette façon (mais je reçois BSOD):

WCHAR strBuffer[260];
UNICODE_STRING str;

//initialize
str.Buffer = strBuffer;
str.Length = 0x0;
str.MaximumLength = sizeof(strBuffer);

//note that the seconds arg (27) is ProcessImageFileName
ZwQueryInformationProcess(proc, 27, &str, sizeof(str), NULL);

DbgPrint("FullPath: %wZ\n", str.Buffer);

Comment utiliser ZwQueryInformationProcess pour obtenir ProcessImageFileName dans un pilote de noyau?

Comme vous le voyez str.Buffer est vide ou rempli d'ordures. Peut-être un débordement de la mémoire tampon pendant le remplissage du str via ZwQueryInformationProcess() déclenche le BSOD.

Comment utiliser ZwQueryInformationProcess pour obtenir ProcessImageFileName dans un pilote de noyau?

Toute aide serait appréciée.

OriginalL'auteur fardjad | 2010-09-14

  1. 6

    MSDN docs pour cette API indiquent que

    Lorsque le ProcessInformationClass
    paramètre est ProcessImageFileName, l'
    tampon pointé par le
    ProcessInformation paramètre doit être
    assez grand pour contenir un UNICODE_STRING
    la structure ainsi que la chaîne
    lui-même. La chaîne stockée dans la
    Tampon membre est le nom de l'image
    fichier.fichier.

    Avec cela à l'esprit, je suggère que vous essayez de modifier votre tampon structure comme ceci:

    WCHAR strBuffer[(sizeof(UNICODE_STRING) / sizeof(WCHAR)) + 260];
UNICODE_STRING str;
str = (UNICODE_STRING*)&strBuffer;

//initialize
str.Buffer = &strBuffer[sizeof(UNICODE_STRING) / sizeof(WCHAR)];
str.Length = 0x0;
str.MaximumLength = 260 * sizeof(WCHAR);

//note that the seconds arg (27) is ProcessImageFileName
ZwQueryInformationProcess(proc, 27, &strBuffer, sizeof(strBuffer), NULL);

    En outre, votre code doit de vérifier et de gérer les cas d'erreur décrit dans la documentation ici. Cela peut être la raison pour laquelle vous avez raté le BSOD déclencher des cas.

    Si le tampon est trop petit, l'
    fonction échoue avec l'
    STATUS_INFO_LENGTH_MISMATCH code d'erreur
    et le ReturnLength paramètre est réglé
    à la taille de la mémoire tampon.

    OriginalL'auteur Steve Townsend

  2. 2

    //Déclarer ce morceau de code dans le fichier d'en-tête si disponible, sinon avant la définition de la Fonction..

    typedef NTSTATUS (*QUERY_INFO_PROCESS) (
__in HANDLE ProcessHandle,
__in PROCESSINFOCLASS ProcessInformationClass,
__out_bcount(ProcessInformationLength) PVOID ProcessInformation,
__in ULONG ProcessInformationLength,
__out_opt PULONG ReturnLength
);

QUERY_INFO_PROCESS ZwQueryInformationProcess;

    //Définition De La Fonction De

    NTSTATUS GetProcessImageName(HANDLE processId, PUNICODE_STRING ProcessImageName)
{
NTSTATUS status;
ULONG returnedLength;
ULONG bufferLength;
HANDLE hProcess;
PVOID buffer;
PEPROCESS eProcess;
PUNICODE_STRING imageName;
PAGED_CODE(); //this eliminates the possibility of the IDLE Thread/Process
status = PsLookupProcessByProcessId(processId, &eProcess);
if(NT_SUCCESS(status))
{
status = ObOpenObjectByPointer(eProcess,0, NULL, 0,0,KernelMode,&hProcess);
if(NT_SUCCESS(status))
{
} else {
DbgPrint("ObOpenObjectByPointer Failed: %08x\n", status);
}
ObDereferenceObject(eProcess);
} else {
DbgPrint("PsLookupProcessByProcessId Failed: %08x\n", status);
}
if (NULL == ZwQueryInformationProcess) {
UNICODE_STRING routineName;
RtlInitUnicodeString(&routineName, L"ZwQueryInformationProcess");
ZwQueryInformationProcess =
(QUERY_INFO_PROCESS) MmGetSystemRoutineAddress(&routineName);
if (NULL == ZwQueryInformationProcess) {
DbgPrint("Cannot resolve ZwQueryInformationProcess\n");
}
}
/* Query the actual size of the process path */
status = ZwQueryInformationProcess( hProcess,
ProcessImageFileName,
NULL, //buffer
0, //buffer size
&returnedLength);
if (STATUS_INFO_LENGTH_MISMATCH != status) {
return status;
}
/* Check there is enough space to store the actual process
path when it is found. If not return an error with the
required size */
bufferLength = returnedLength - sizeof(UNICODE_STRING);
if (ProcessImageName->MaximumLength < bufferLength)
{
ProcessImageName->MaximumLength = (USHORT) bufferLength;
return STATUS_BUFFER_OVERFLOW;   
}
/* Allocate a temporary buffer to store the path name */
buffer = ExAllocatePoolWithTag(NonPagedPool, returnedLength, 'uLT1');
if (NULL == buffer) 
{
return STATUS_INSUFFICIENT_RESOURCES;   
}
/* Retrieve the process path from the handle to the process */
status = ZwQueryInformationProcess( hProcess,
ProcessImageFileName,
buffer,
returnedLength,
&returnedLength);
if (NT_SUCCESS(status)) 
{
/* Copy the path name */
imageName = (PUNICODE_STRING) buffer;
RtlCopyUnicodeString(ProcessImageName, imageName);
}
/* Free the temp buffer which stored the path */
ExFreePoolWithTag(buffer, 'uLT1');
return status;
}

    //Appel de la fonction.. Écrire ce bout de code dans PreOperation de retour d'Appel et requête d'interruption doit être PASSIVE_LEVEL

    PEPROCESS objCurProcess=NULL;
HANDLE hProcess;
UNICODE_STRING fullPath;
objCurProcess=IoThreadToProcess(Data->Thread);//Note: Date is type of FLT_CALLBACK_DATA which is in PreOperation Callback as argument
hProcess=PsGetProcessID(objCurProcess);
fullPath.Length=0;
fullPath.MaximumLength=520;
fullPath.Buffer=(PWSTR)ExAllocatePoolWithTag(NonPagedPool,520,'uUT1');
GetProcessImageName(hProcess,&fullPath);

    dans fullPath variable il est Chemin d'accès Complet de Processus .. Comme si le processus est explorer.exe ensuite, le chemin sera ressembler à ceci:- 

    \Device\HarddiskVolume3\Windows\explorer.exe

    Remarque:- \Device\HarddiskVolume3 Chemin d'accès peut être modifié en raison de la Machine et de volumes différents dans le disque dur c'est un exemple dans mon cas.

    OriginalL'auteur Kashif Meo

  3. 0

    ZwQueryInformationProcess besoin d'un HANDLE, pas un PROCESS!
    Vous avez besoin d'utiliser ObOpenObjectByPointer pour obtenir le handle de la première.

    OriginalL'auteur Alex