在内核驱动中，获得到当前进程的全路径。

七夜紫妍

作者：guijc
在应用层想要获得一个进程的全路径，有一个很简单的API函数，但是在内核中却没有提供这样的函数，上次看了一位前辈的帖子，根据他的思路写出了下面的代码，欢迎大家的评论

代码思路如下：
1. 利用ZwQueryInformationProcess得到当前进程的NT路径
2. 用ZwOpenFile打开NT路径，获得进程的句柄
3. 用ObReferenceObjectByHandle获得内核对象（FileObj）
4. 获得盘符（C:\）,RtlVolumeDeviceToDosName(FileObj->DeviceObject, &DosName);
5. 拼接路径，RtlAppendUnicodeStringToString(&ImageName, &FileObj->FileName);

好了废话不多，直接上代码：

1. void GetProcessImageName(PANSI_STRING ImageFileName)
   
2. {  
   
3.     UNICODE_STRING  ImageName = {0};
   
4.     PUNICODE_STRING Buffer = NULL;
   
5.     ULONG ReturnLength = 0;
   
6.     NTSTATUS status = 0;  
   
7. 
   
8.     HANDLE FileHandle = NULL;
   
9.     OBJECT_ATTRIBUTES ObjectAttributes = {0};
   
10.     IO_STATUS_BLOCK IoStatusBlock = {0};
    
11.     PFILE_OBJECT FileObj = NULL;
    
12.     UNICODE_STRING DosName = {0};
    
13. 
    
14.     status = ZwQueryInformationProcess(
    
15.                             NtCurrentProcess(),
    
16.                             ProcessImageFileName,
    
17.                             NULL,
    
18.                             0,
    
19.                             &ReturnLength);
    
20. 
    
21.     if(STATUS_INFO_LENGTH_MISMATCH != status ||  0 == ReturnLength){
    
22.         return;
    
23.     }
    
24. 
    
25.     Buffer = ExAllocatePool(NonPagedPool, ReturnLength);
    
26.     if(NULL == Buffer){
    
27.         goto Clean;
    
28.     }
    
29.    
    
30.     status = ZwQueryInformationProcess(
    
31.                             NtCurrentProcess(),
    
32.                             ProcessImageFileName,
    
33.                             Buffer,
    
34.                             ReturnLength,
    
35.                             &ReturnLength);
    
36. 
    
37.     if(!NT_SUCCESS(status)){
    
38.         goto Clean;
    
39.     }
    
40. 
    
41.     InitializeObjectAttributes( &ObjectAttributes,
    
42.                             Buffer,
    
43.                             OBJ_KERNEL_HANDLE,
    
44.                             NULL,
    
45.                             NULL );
    
46. 
    
47.     status = ZwOpenFile(&FileHandle, 0, &ObjectAttributes, &IoStatusBlock, 0, 0);
    
48.     if (!NT_SUCCESS (status)){
    
49.        goto Clean;
    
50.     }
    
51. 
    
52.     status = ObReferenceObjectByHandle(FileHandle, 0, NULL, KernelMode, &FileObj, NULL);
    
53.     if (!NT_SUCCESS (status)){
    
54.        goto Clean;
    
55.     }
    
56. 
    
57.     if(FileObj->DeviceObject && FileObj->FileName.Buffer){
    
58.    
    
59.         RtlVolumeDeviceToDosName(FileObj->DeviceObject, &DosName);
    
60. 
    
61.         ImageName.MaximumLength = DosName.Length + FileObj->FileName.Length;
    
62.         ImageName.Buffer = ExAllocatePool(NonPagedPool, ImageName.MaximumLength);        
    
63. 
    
64.         RtlCopyUnicodeString(&ImageName, &DosName);
    
65.         RtlAppendUnicodeStringToString(&ImageName, &FileObj->FileName);
    
66.         
    
67.         RtlUnicodeStringToAnsiString(ImageFileName ,&ImageName, TRUE);
    
68.         RtlFreeUnicodeString(&ImageName);
    
69.         RtlFreeUnicodeString(&DosName);
    
70.     }
    
71.    
    
72. Clean:
    
73. 
    
74.     if(Buffer){
    
75.         ExFreePool (Buffer);
    
76.     }
    
77. 
    
78.     if(FileHandle){
    
79.         ZwClose(FileHandle);
    
80.     }   
    
81. 
    
82.     if(FileObj){
    
83.         ObDereferenceObject(FileObj);
    
84.     }
    
85. 
    
86. }

复制代码