Приветствую вас, коллеги!
подскажите пож-ста, как я могу
из кернел-моде получить имя текущего пользователя,
а также имя исполняемого образа, в контексте которого
мы находимся, т.е. полный путь exe- (sys-, если возможно) файла.
и вот еще: если интерактивного юзера еще не было, т.е.
если мы при загрузке работаем как систем (я переделал) ntoskrnl.exe,
то на какой стадии загрузки мы можем начать юзать iocreatefile?
И будет ли система каллить эту функцию, если i/o manager еще не инициализировался?
заранее благодарен за ответ =)

| Сообщение посчитали полезным:

Kernel mode GetUserNameEx
1. Долгий метод KeUserModeCallback()
2. GUI-приложение передает IOCTL в ring0

| Сообщение посчитали полезным:

Я сам использовал такой метод.
Имея ProcessId, вызываем PsLookupProcessByProcessId, получаем PEPROCESS, далее через ObOpenObjectByPointer получаем хэндл процесса, теперь через ZwQueryInformationProcess получаем PPEB, а далее оттуда извлекаем адрес первого загруженного модуля, и узнаем "ехе процесса".

Но это для любого процесса, а если для того, в контексте которого мы находимся, то код ещё упрощается.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
Но это для любого процесса
Для native процессов не будет работать, т.к. у них нет PEB. И полученной информации нельзя доверять, т.к. процесс может легко изменить свой PEB. Более надежно получать путь из SECTION_OBJECT в EPROCESS, но страшный гимор сделать это кроссплатформенно.
На Vista sp1 и выше можно сделать почти без плясок с бубном через PsSetCreateProcessNotifyRoutineEx

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

ntldr пишет:
И полученной информации нельзя доверять, т.к. процесс может легко изменить свой PEB
Если использовать PsSetCreateProcessNotifyRoutine, то получим уведомление до того, как процесс дотянется до своего PEB.

Более надежно получать путь из SECTION_OBJECT в EPROCESS, но страшный гимор сделать это кроссплатформенно.
Детект через PEB тоже ещё предстоит делать кроссплатформенным, хоть, по-моему, это и менее гиморная задача.

Kerne
Мы можем и сами читать верхние посты.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
Если использовать PsSetCreateProcessNotifyRoutine, то получим уведомление до того, как процесс дотянется до своего PEB
Если использовать PsSetCreateProcessNotifyRoutine, то в момент вызова каллбека ещё нет никакого PEB.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

Всем огромное спасибо за ответы,
сам я пока не так силен в ядре. Но вопрос
пока не полностью исчерпан. Как получить имя юзера?
вроде GetUserNameEx уходит куда-то в дебри
secur32.dll, а оттуда делает что-то с каналами, созданными, как
я понял, sam, lsa или srm компонентами. Но где взять
точную инфу про это? и если интерактивного юзера еще
не было, то эти каналы будут работать? Я переписал ядро,
т.е. ntoskrnl.exe, перехватил код некоторых функций,
и хочу определить, кто обращается к ним. про exe-файл вроде
понятно, но не совсем. Откуда мне взять текущий ProcessID?

| Сообщение посчитали полезным:

MSDN мне говорит, что надо копать в сторону PsReferencePrimaryToken / SeQueryInformationToken и потом как-то переводить полученный SID в юзернейм. Похоже что в ядре это делается только поиском поиском соответствующего ключа в SAM.

_Immortal_ пишет:
Откуда мне взять текущий ProcessID?
PsGetCurrentProcessId
Если возникают такие вопросы, то может быть рано замахиваться на что-то более сложное?

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

Как получить имя юзера?
вроде GetUserNameEx уходит куда-то в дебри
secur32.dll, а оттуда делает что-то с каналами, созданными, как
я понял, sam, lsa или srm компонентами. Но где взять
точную инфу про это? и если интерактивного юзера еще
не было, то эти каналы будут работать?


Передавать управление user-mode коду т.е. использовать KeUserModeCallback()

| Сообщение посчитали полезным:

ntldr пишет:
Если возникают такие вопросы, то может быть рано замахиваться на что-то более сложное?
в большинстве случаев, можно сказать что рано.
но если поставить перед собой сложную задачу,
методы решения которой на начальной стадии неясны,
то её решение делает нас сильнее=)
я так всё стараюсь изучать =)
Ну вроде теперь ясно стало, всем big-big 10x =)

| Сообщение посчитали полезным:

ntldr
С помощью определённым танцев с бубном можно вставить код, который передаст драйверу IOCTL, когда PEB уже будет. Но метод - так себе. Было бы интересно узнать, может, у кого-то получалось попроще.

Да, про нативные процессы и отсутствие у них PEB не знал, спасибо за инфу. А можно узнать, какие именно это процессы?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
С помощью определённым танцев с бубном
Проще будет потанцевать в направлении SECTION_OBJECT.

ARCHANGEL пишет:
А можно узнать, какие именно это процессы?
smss.exe, autochk.exe и прочие процессы работающие в native subsystem. PEB у таких процессов может присутствовать, а может и нет, я сталкивался с обоими случаями.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

ntldr пишет:
smss.exe, autochk.exe и прочие процессы работающие в native subsystem. PEB у таких процессов может присутствовать, а может и нет, я сталкивался с обоими случаями.
Чтот - то с трудом верится (не видел, возможно козни антивирей). Зачем родным нативам менять свой PEB? Может у них по-вашему и TEB нету?

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

Проверил на XP и 2003 - PEB есть, но точно помню, что когда-то давно сталкивался с его отсутствием, т.к. не удавалось прочитать список модулей в таком процессе. Насчет TEB не знаю, не проверял.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

ntldr пишет:
не удавалось прочитать список модулей в таком процессе
Список модулей можно получить не пребегая к двусвязанным спискам PEB (см. Рихтера).

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

HiEndsoft пишет:
(см. Рихтера).
Я не знаю более простого метода, кроме разве что нотификаций, которые не всегда применимы.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

Получение пути к драйверу используя SECTION_OBJECT (объект секцию)

[url] Тыц-тыц

| Сообщение посчитали полезным:

Kerne
И к чему ты меня цитируешь?

Kerne пишет:
Получение пути к драйверу используя SECTION_OBJECT (объект секцию)
Видна только идея, да описание структуры (даже непонятно, для какой Винды конкретно), а рабочего примера нету, а раз нету, то писать всякие сказки каждый может, особенно если это касается недокументированных структур.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ntldr пишет:
Я не знаю более простого метода, кроме разве что нотификаций, которые не всегда применимы.
RtlQueryProcessDebugInformation,
VMQuery (см. Рихтера) и т.д.

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

HiEndsoft пишет:
RtlQueryProcessDebugInformation,VMQuery (см. Рихтера) и т.д.
Отсутствует в экспорте ntoskrnl.exe
Сдается мне, что вы отвечаете не читая, потому что иначе знали бы, что речь идет исключительно о драйверах. Юзермодные API здесь знают не хуже вас, но речь не о том.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

ntldr пишет:
Проверил на XP и 2003 - PEB есть, но точно помню, что когда-то давно сталкивался с его отсутствием, т.к. не удавалось прочитать список модулей в таком процессе. Насчет TEB не знаю, не проверял.
Это Вы сами затеяли. Вот и все.

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

Уважаемый HiEndsoft, до вас плохо доходит, но я всё-же попробую объяснить: разговор зашел о PEB потому, что речь шла о получении пути к модулю из драйвера. Драйвер может читать PEB, но не может вызывать юзермодные API, о которых здесь никто не спрашивал. Ваши посты насчет Рихтера являются оффтопиком.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

_Immortal_
Решение твоей задачи зависит от многих факторов:
1) OS, на которых это должно работать.
2) требуется ли обеспечить независимость от будущих обновлений/сервиспаков.
3) возможно драйвер использует, или может использовать, такие возможности, как нотификаторы. Начиная с Vista SP1 можно получить указатель на объект FileObject модуля процесса в нотификаторе, которому можно послать IRP_MJ_QUERY_INFORMATION для опреления пути (поскольку поле FileObject->FileName гарантировано валидно только во время запроса IRP_MJ_CREATE, MSDN). В более ранних ОС, возможно, имеет смысл использовать смещения undoc структур для получения FILE_OBJECT: Eprocess->SectionObject->Segment->ControlArea->FileObject.
4) Если в драйвере есть возможность послать Lpc сообщение в user-mode и получить ответ, можно получить путь и имя процесса используя user-mode API (GetModuleFileNameEx, GetProcessImageFileName (подходит для x86 приложений в среде WOW в x64 OS)) и user-mode модуль. Возможны варианты с другими способами коммуникации.
5) имеются другие возможности, опять таки, зависящие от конкретных требований и условий.

-----
Research is my purpose

| Сообщение посчитали полезным:

ARCHANGEL
И к чему ты меня цитируешь?

Хорошо, не буду больше цитировать.


_Immortal_

К дополнению вариантов предлагавшихся выше
а) DriverEntry(IN PUNICODE_STRING RegPath) RegPath - полный путь к драйверу
б) Читать из KUSER_SHARED_DATA что довольно таки не надежный метод (смещения меняются от версии к версии)

| Сообщение посчитали полезным:

Из сервиса может быть взять ...

WTSGetActiveConsoleSessionId
WTSQueryUserToken
DuplicateToken
ImpersonateLoggedOnUser
// GetUserName

Там вроде нужно еще нумеровать терминые логины , чтобы код уж идеальный был и вытаскивать активного пользователя

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Error_Log пишет:
1) OS, на которых это должно работать.
2) требуется ли обеспечить независимость от будущих обновлений/сервиспаков.

Действительно, я не до конца поснил суть вопроса.
1). мультисистемность (!) обеспечивать не надо, т.к. мой код исполняется
не в драйвере, а в ядре системы, т.к. я переписал ntoskrnl.exe

получение пути к текущему exe-модулю я уже реализовал методом
undoc-функций, т.е. используя SECTION_OBJECT (спасибо Four-F за отличные туториалы).

кстати, из Driver_Entry этот метод не работает (тот, что описан Four-F). в других контекстах
(т.е. не System) работает на 5+ =) (ещё раз спасибо Four-F)

Далее. Чтобы получить юзер нэйм, можно сделать так:
1). RtlGetCurrentProcessID
2). PsReferencePrimaryToken - получение токена защиты процесса по ID
3). SeQueryInformationToken с классом информации TokenUser - получим SID юзера,
запустившего процесс.
4). Сканируем таблицу Well-Known SID'ов, это есть на support.microsoft.com/kb/243330.
Если Sid не найден, то запрашиваем об этом LSA (сам не пробовал, но так делает GetUserName в
Secur32.dll, посмотрите его в IDA).
5). Ответ не по сути, но все же вариант:
Принимайте в вашей программе решение не на основании имени юзера, а по его Sid. Я сам так сделал.
Sid высокослучаен, поэтому можно допустить, что он уникален =)
Вот так, сам спросил, сам и ответил =)
Еще раз всем спасибо за ответы. Не ожидал такой активности. Вместе мы сила =)

| Сообщение посчитали полезным:

_Immortal_ пишет:
1). мультисистемность (!) обеспечивать не надо, т.к. мой код исполняетсяне в драйвере, а в ядре системы, т.к. я переписал ntoskrnl.exe
Не совсем понял.

_Immortal_ пишет:
получение пути к текущему exe-модулю я уже реализовал методомundoc-функций, т.е. используя SECTION_OBJECT (спасибо Four-F за отличные туториалы).
С мультисистемностью будут проблемы из-за разных смещений указателя на SECTION_OBJECT в EPROCESS (они могут отличаться даже в сервиспаках). Также понадобятся отдельные прототипы структур для x64. И имеется 100% гарантия, что на следующей винде работать не будет.
Оптимальным компромиссом является применение этого способа на всех ОС до Vista SP1, а на Vista SP1 и выше следует использовать PsSetCreateProcessNotifyRoutineEx.

_Immortal_ пишет:
Если Sid не найден, то запрашиваем об этом LSA (сам не пробовал, но так делает GetUserName в Secur32.dll, посмотрите его в IDA).
Это слабое место метода. Получим непредсказуемый результат на тех системах, где код не тестировался.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

Ntldr:
Я понимаю это, но сознательно привязываюсь к системе.
Я пишу антивирус. Ядер Windows не так много.
Значет, если кто-то хочет юзать результаты моего труда,
то пусть качает прошитый ntoskrnl.exe и прописывает его в boot.ini =)
Нормальный по-моему метод? да и потом портирование
само по себе не сложно, просто меняются RVA и заглушки
на перехватываемые функции (да и то не далеко всегда).
То есть для всех ядер можно сделать по отдельности,
и не нагромождать килобайты детектирующего кода. =)

| Сообщение посчитали полезным:

_Immortal_ пишет:
Нормальный по-моему метод?
Пожалуй промолчу о нормальности, ибо всей мощи русского языка не хватит чтобы выразить моё мнение. Остановлюсь лишь на том, что такой метод незаконен, читай EULA.

_Immortal_ пишет:
Я пишу антивирус.
Упаси меня бог от такого антивируса Мне заранее жаль ваших пользователей.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

Кстати, напишу этот антивирь, статью к нему,
и предложу властьимущим выложить её на сайт.
Возможно, в этом случае Маэстро (ntldr) посмотрит
не это дело несколько иначе. =)

P.S. Да, это незаконно. Но я могу залить пачти к ядрам,
а не сами ядра.

| Сообщение посчитали полезным: