各位 DX，如果从 DRIVER 中得到一个进程所属的系统用户名？

得到应用程序路径和名字是可以的，PEPROCESS 这个结构里好像没有用户名这个项目啊？

一定要在Driver中得到吗，可否考虑应用程序得到，然后传递到Driver中？

reference osr.

method:get sid->get user info.

to Allenzh
不能通过应用程序传递参数，所以才觉得有些难度，呵呵
to vcmfc
谢谢，已经在研究中。。

再请教各位 DX，得到 SID 之后，怎么得到相应的用户名呢？偶很菜，不好意思。谢谢

利用两个函数轻松搞定:
//
// 查询当前进程的令牌对象体
//
        HANDLE PsReferencePrimaryToken(PEPROCESS Process );
        
//
// 查询令牌的相关信息
//        
// 对应于APP中的GetTokenInformation()函数
//
        ZwQueryInformationToken (                          
            HANDLE TokenHandle,                            
            TOKEN_INFORMATION_CLASS TokenInformationClass,
            PVOID TokenInformation,
            ULONG TokenInformationLength,
            PULONG ReturnLength
            );


[编辑 -  6/10/03 by  slwqw]

问题是我得到 TokenInformation 这个指针后，强制转换成一个 SID_AND_ATTRIBUTES 对象，取得里面的 Sid 指针之后，再有什么办法得到它的实际用户名呢？SDK 中有 LookupAccountSid 这个方法可以直接从 SID 得到用户名，在 Kernel mode 有没有什么办法呢？而且这个 SID 指针里面好像没有包含用户名的信息啊。

下面是 MSDN 里面根据 SID 找实际用户名的过程：
The LookupAccountSid function attempts to find a name for the specified security identifier by first checking a list of well-known SIDs. If the supplied SID does not correspond to a well-known SID, the function checks built-in and administratively defined local accounts. Next, the function checks the primary domain. Security identifiers not recognized by the primary domain are checked against the trusted domains corresponding to their SID prefixes.

好像很复杂的说。

虽然OSR没有讲, 但是INSIDE PROGRAMMING还是有办法. 无需USER MODE PROCESS的介入:D

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ProfileList\\S-1-5-21-842925246-1383384898-xxxxxxx-xxxx
ProfileImagePath = %SystemDrive%\\Documents and Settings\\yyy

yyy is what you are interested in.
如果在打开此键出错, USER NAME就是SYSTEM. 因为系统还没有完全BOOT起来. ;)

不过获取TOKEN时除非你是FSD, 否则我打保票你会遇到问题. 嘿嘿. 如何解决, INSIDE PROGRAMMING当然也有办法. 不过不说, 你自己TRY.

能不能从用户的进程取得token，然后赋给系统创建的进程，
我从内核访问网络邻居就有这个问题

还是无法从 Sid 得到用户名，读注册表
ProfileImagePath = %SystemDrive%\\Documents and Settings\\yyy
的方法有点问题，因为 yyy 并不是一定是由用户名组成的，可能还有其它形式，比如说我的机器超级用户的这个值就不是 Administrator，而是 Administrator.xxxx，也许 Crack LookupAccountSid 是最好的方法了。 :D ，在研究汇编。。。反正 boss 也不催。 :D :D

还有，发现 osr 上取 sid 的代码有点小问题
http://www.osr.com/ntinsider/1999/security2.htm
还有 pSid->SubAuthority 中，最后一个 SubAuthority 是用户的 UID，可惜不能当用户名用。要是能找到这个 UID 和用户名的对应关系就好了。

可惜啊，一个活生生的人~~~~~~~~~~~~~

啊？不要说得这么恐怖嘛。。。 :D :D

get PLUID->GetSecurityUserInfo()

我是在fsd得到， luo说非fsd是不行，俺没有试过。

用OSR的方法得到其LPUID，再用GetSecurityUserInfo取得用户信息，有用户名，pDomainName，pLogonServer。


 :D :D :D :D :D :D

我想了一下, 确实可以得到信息.
KSEDD.SYS中提供了对LSA的LPC访问. 已知LOGON SESSION ID. 在PASSIVE LEVEL下用户名, 登录域, 登录时间, 登录类型都可以得到.

谢谢各位，特别是 lu0 和 vcmfc，已经搞定了，:D得到这个东西还真是麻烦。:cool: :) :D

忘了说一句，实验证明，在非 FSD 下也可得到。:D :D
本来想给两位多加点分的，可惜开始已经结贴了。 而且偶分数本来就不多了。 :(

借过，测试一下新头像。 :D