Nie.Meining - 小聂的俭朴斋

驱动中获取进程名的正确方法

这是个古老的话题，没有技术含量，只不过看到网上很多驱动代码在获取进程名时总喜欢去读偏移 EPROCESS.ImageFileName，感觉比较误导新人。

这个方法其实很不科学，硬编码偏移带来的兼容性问题以及16字节截断的问题（Win7过后是15字节）就不用说了，关键是这个 EPROCESS.ImageFileName 其实并不靠谱。

咱们可以做个实验，随便打开一个程序，比如记事本notepad.exe。然后看看ImageFileName：

只拦截NtWriteFile/NtReadFile对很多程序是无效的（例如记事本notepad.exe），因为这些程序采用了文件映射的方式，例如记事本同志：

分析引擎的细粒度监控特性使其具备了控制流完整性校验的能力，对于代码注入、ROP、Heap Spray等常见攻击方法实现了检测，效果还不错。

对于Android系统，处理方法比较简单，上传样本直接用adb装进去即可。

对于Windows，采用光驱的方式以只读形式置入。

由于分析引擎监控条目非常多，需要展现的数据有的是ASCII编码、有的是UNICODE编码，我也没有精力去一个个指定，因此在展示之前调用了一个xxx函数来识别编码格式。不过由于xxx函数是基于统计学的方法猜的，实践证明猜得也不是很准啊……后期得改进一下。

对于API的情况，可以先用xxxA、xxxW、NtXXX等特征初步划分一下，然后再xxx，就准确多了。

1 2 3 4 5 6 7 8 9 10 11 ... »