Узнать полный путь процесса службы без получения SeDebugPrivilege

Возможно ли такое?
А то недавно только заметил что CreateToolhelp32Snapshot + TH32CS_SNAPMODULE завершается с Access Denied так как пытается сделать NtOpenProcess для чтения памяти процесса.
Для NtQueryInformationProcess + ProcessImageFileName тоже без NtOpenProcess не обойтись.
NtQuerySystemInformation + SystemProcessInformation дает только имя исполняемого файла процесса.
Получение SeDebugPrivilege требует прав админа, и это очень не удобно делать только ради такой мелочи.

 

просто прочитать из реестра, - там все службы прописаны

 

Как вариант, именно для службы да. Но интересно было бы иметь универсальную функцию нахождения полного пути любого запущенного процесса.
Но наверно такое возможно только для драйверов.

 

Через WMI можно и путь к образу и аргументы, с которыми сервис запущен, посмотреть:

 

по сравнению с обычными процесссами, драйверам всё можно

 

Вот блин, век живи, век учись... )) f13nd, а на win7x64 такую же картинку как у вас можно получить через какую-нибудь команду по-быстрому?

 

Vicshann, можно попробовать как РН: OpenProcess( PROCESS_QUERY_LIMITED_INFORMATION ) и дальше NtQueryInformationProcess (ProcessCommandLineInformation ). Вот не помню, нужны ли там админ права, я это для другого тестил (получить путь к системным процессам, которые с другими правами , кроме как query, не открыть никак даже под админом).

 

Картинка с dbeaver'а снята. Его можно установить по-быстрому и создать там подключение к WMI. Ну или простенький .vbs скрипт сделать, примеров в интернете как грязи.

 

Но в итоге WMI все же не годится, так как лочится на ConnectServer при вызове из DllMain.

 

M0rg0t
c 'SeDebugPrivilege' можно все....

 

Работает из под пользователя, но с integrity не ниже medium. За иключением нескольких защищенных процессов (но у них все равно путь стандартный).

 

Вроде то, что нужно, спасибо.
А к защищенным процессам вряд ли понадобится лезть в ближайшее время

 

Для low integrity:
https://gist.github.com/tyranid/ea89038089f8c5f7c614bdcee07c78cb
https://github.com/diversenok/Things-AppContainer-Knows

Все что выше можно штатными средствами, если не ошибаюсь, нужно смотреть на натив апи.

 

Интересно.
А того же, но не обернутого в собственные библиотеки на непойми чем, случайно нет? (так, для порядку спрашиваю )

 

не работает ваш паскаль код под Low!!!

 

Panoff, вы шо, таки собрали уже? А чем?

--- Сообщение объединено, 7 ноя 2020 ---

 

Вот это еще лучше:

Код (C++):

1.  SYSTEM_PROCESS_ID_INFORMATION SysInfo;
2. SysInfo.ProcessId = (PVOID)ProcID;
3. SysInfo.ImageName.Length = 0;
4. SysInfo.ImageName.MaximumLength = BufferLength * sizeof(wchar_t);
5. SysInfo.ImageName.Buffer = PathBuffer;
6. ULONG RetLen = 0;
7. NTSTATUS Status = NtQuerySystemInformation(SystemProcessIdInformation, &SysInfo, sizeof(SysInfo), &RetLen);
8.  

 

А что делать с путём, ядерные сервисы возвращают его не в дос формате https://wasm.in/threads/harddiscvolume.33003/

Осевой интерфейс - ссылка на любой обьект идёт через описатель, для которого определены права доступа. Это никак не обойти, может использовать файловый поиск что бы получить полный путь из базовой инфы, имени образа. Будет не быстро, но в обход штатной защиты.

 

У меня это так делается:

Код (C++):

1. long _stdcall NormalizeDrivePath(PWSTR PathBuffer, long BufferLength)
2. {
3. wchar_t DrvPath[MAX_PATH];
4. PROCESS_DEVICEMAP_INFORMATION MDrives;  // size is 36 for both x32/64
5. PWSTR PathSrcPtr = PathBuffer;
6. if((PathSrcPtr[0] == '\\') && (PathSrcPtr[7] == '\\') && (PathSrcPtr[1] == 'D') && (PathSrcPtr[6] == 'e'))
7.   {
8.   PathSrcPtr  += 8;
9.   BufferLength -= 8;
10.   }
11. if((PathSrcPtr[0] == 'M') && (PathSrcPtr[1] == 'u') && (PathSrcPtr[2] == 'p') && (PathSrcPtr[3] == '\\'))  // NtQueryInformationProcess:ProcessImageFileName returns this for network drives
12.   {
13.   PathSrcPtr  += 4;
14.   BufferLength -= 4;
15.   }
16. NTSTATUS stat = NtQueryInformationProcess(NtCurrentProcess, ProcessDeviceMap, &MDrives, sizeof(MDrives), 0);  //DWORD DrvMsk = GetLogicalDrives();  
17. if(stat < 0)return -1;
18. DWORD DrvMsk = MDrives.Query.DriveMap;
19. for(wchar_t DrvIdx = 0; DrvMsk; DrvMsk >>= 1, DrvIdx++)
20.   {
21.   if(!(DrvMsk & 1))continue;
22.   wchar_t Drive[] = {wchar_t('A' + DrvIdx), ':', 0};  
23.   UINT res = QueryDosDeviceW(Drive, DrvPath, sizeof(DrvPath)/2);  // \Device\LanmanRedirector\;Y:000000000002da76\Desktop-xxxxx\Tools  // \Device\ImDisk1
24.   if(!res)continue;
25.   BYTE DriveType = MDrives.Query.DriveType[DrvIdx];
26.   DrvPath[res] = 0;
27.   while(!DrvPath[res-1])res--;  // res includes some nulls!
28.   int RCnt = 2;
29.   PWSTR PPtr = DrvPath;
30.   if(DriveType == DRIVE_REMOTE)RCnt += 2;
31.   for(int idx=0;RCnt && *PPtr;PPtr++,res--)
32.   {
33.   if(*PPtr == '\\')RCnt--;
34.   }
35.   if(!memcmp(PathSrcPtr, PPtr, res*sizeof(wchar_t)))
36.   {
37.   PathBuffer[0] = Drive[0];
38.   PathBuffer[1] = Drive[1];
39.   long FLen = BufferLength - res;
40.   memmove(&PathBuffer[2], &PathSrcPtr[res], FLen*sizeof(wchar_t));
41.   FLen += 2;
42.   PathBuffer[FLen] = 0;
43.   return FLen;
44.   }
45.   }
46. return 0;
47. }

Ниже только разбирать ссылки в директории обьектов самостоятельно