VC下通过进程ID获取进程镜像文件路径的方法及其存在的缺陷

最新推荐文章于 2023-08-25 13:00:33 发布
最新推荐文章于 2023-08-25 13:00:33 发布
阅读量9.2k 收藏 7
点赞数 2
分类专栏: 疑难杂症 文章标签: function application null path exe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/breaksoftware/article/details/7483168
版权

        工作中经常会遇到通过进程ID获取进程镜像文件或者其他模块的路径的需求。(转载请指明出处)网上关于方案大致存在两种方案:

  1. OpenProcess->GetModuleFileName
  2. OpenProcess->EnumProcessModules->GetModuleFileNameEx

        我试验了下,第一个方案是不正确的。OpenProcess返回的是进程句柄,而GetModuleFileName 的传入参数是模块的句柄,这两种句柄不是一个东西。网上有人提出过这样的问题,但是只是说VC提示“类型不一致”,于是就有人说要强制转换。当然强制转换可以解决VC编译通过问题,但是这样做不会有任何效果的。说强制转换的人可能受到一种现象的影响——HINSTANCE和HMOUDLE是一个东西。HINSTANCE和HMOUDLE关系的现象存在一定的历史原因,但是微软没说HANDLE和HMOUDLE是一个东西吧!

        第二个方案与第一个方案不同之处在于,通过EnumProcessModules获取进程镜像文件模块的HMOUDLE,然后将这个HMOUDLE传给GetMoudleFileNameEx就可以获得该镜像文件的路径。看似没问题,但是实际存在一定的缺陷。在我之前做的一个项目中,我就发现了一个现象——这个逻辑在Win7 64bit上失败。经过调试,发现EnumProcessMoudles执行失败。于是在MSDN上找到这么一句话:

If this function is called from a 32-bit application running on WOW64,  it can only enumerate the modules of a 32-bit process.  If the process is a 64-bit process, this function fails and the last error code is ERROR_PARTIAL_COPY (299).

        问题就出在我们的程序是32位的,而我们试图枚举一个64位进程的模块时就会报错。
        目前还没有一种很完美的方法去解决这么一个看似似乎很简单的问题。
        虽然方案2不完美,但是仍不失为一个比较好的方案,下面贴出源码。

BOOL GetProcessFilePathByPId( const DWORD dwProcessId, ATL::CString & cstrPath )
    {
        HANDLE hProcess = NULL;
        BOOL bSuccess = FALSE;

        // 由于进程权限问题,有些进程是无法被OpenProcess的,如果将调用进程的权限
        // 提到“调试”权限,则可能可以打开更多的进程
        hProcess = OpenProcess( 
            PROCESS_QUERY_INFORMATION | PROCESS_VM_READ , 
            FALSE, dwProcessId );

        do 
        {
            if ( NULL == hProcess )
            {
                // 打开句柄失败,比如进程为0的进程
                break;
            }

            // 用于保存文件路径,扩大一位,是为了保证不会有溢出
            TCHAR szPath[MAX_PATH + 1] = {0};

            // 模块句柄
            HMODULE hMod = NULL;
            // 这个参数在这个函数中没用处,仅仅为了调用EnumProcessModules
            DWORD cbNeeded = 0;

            // 获取路径
            // 因为这个函数只是要获得进程的Exe路径,因为Exe路径正好在返回的数据的
            // 第一位,则不用去关心cbNeeded,hMod里即是Exe文件的句柄.
            // If this function is called from a 32-bit application running on WOW64, 
            // it can only enumerate the modules of a 32-bit process. 
            // If the process is a 64-bit process, 
            // this function fails and the last error code is ERROR_PARTIAL_COPY (299).
            if( FALSE == EnumProcessModules( hProcess, &hMod, 
                                             sizeof( hMod ), &cbNeeded ) )
            {
                break;
            }

            // 通过模块句柄,获取模块所在的文件路径,此处即为进程路径。
            // 传的Size为MAX_PATH,而不是MAX_PATH+1,是因为保证不会存在溢出问题
            if ( 0 == GetModuleFileNameEx( hProcess, hMod, szPath, MAX_PATH ) )
            {
                break;
            }

            // 保存文件路径
            cstrPath = szPath;
            
            // 查找成功了
            bSuccess = TRUE;
        } while( 0 );

        // 释放句柄
        if ( NULL != hProcess )
        {
            CloseHandle( hProcess );
            hProcess = NULL;
        }

        return bSuccess;
    }

(转载请指明出处)

breaksoftware
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
VC 通过进程获取程序所在路径
07-29
VC 通过自己指定进程获取程序所在的路径
VC 通过进程ID获取完整路径
奔流的江水
11-07 2251
BOOL GetProcessPathByPId( const DWORD dwProcessId, TCHAR *cstrPath ) {         HANDLE hProcess = NULL;         BOOL bSuccess = FALSE;         hProcess = OpenProcess( PROCESS_QUERY_INFORMATION | PROCES...
获得系统所有进程路径
05-10
获得系统所有进程路径献给辞职的好兄弟。。。。
无涯教程-进程 - 镜像
最新发布
无涯教程
08-25 230
现在,我们已经了解了如何获取进程及其父进程的基本信息,是时候来研究进程信息的细节了。以下是进程镜像的图形表示。进程镜像(Process Image)到底是什么?进程镜像是执行程序时所需的可执行文件,该镜像通常包含以下部分-两种类型。初始化的数据段(Initialized) - 是目标文件或程序的虚拟地址空间的一部分,由初始化的静态变量和全局变量组成。
VC枚举进程进程对应的文件路径和该进程调用的模块dll及其文件路径.zip
03-21
在IT领域,特别是系统编程和软件开发中,枚举进程获取进程对应的文件路径以及查看进程调用的模块DLL(动态链接库)及其文件路径是常见的需求。这些操作有助于调试、监控系统性能或分析程序行为。以下将详细介绍...
VC下通过系统快照实现进程管理的方法
12-31
本文实例讲述了VC下通过系统快照实现进程管理的方法,分享给大家供大家参考。具体实现方法如下: 一、引言  每一个应用程序实例在运行起来后都会在当前系统下产生一个进程,大多数应用程序均拥有可视界面,用户可以...
获取进程ID.获取进程ID的代码 NtQueryInformationProces
03-20
这可以通过创建一个新的进程、打开已存在进程或者使用`GetCurrentProcess()`来获取当前进程的句柄。 例如,如果我们想要获取当前进程的父进程ID,我们可以这样操作: ```cpp int main() { HANDLE ...
VC进程ID获取窗口句柄
07-22
通过获取进程ID,可以获取进程下的所有窗口句柄,从而实现对该进程的控制和操作。本文将详细介绍如何使用VC++通过进程ID获取窗口句柄的方法和实现步骤。 一、获取进程句柄 获取进程句柄是获取窗口句柄的前提条件...
VC进程ID获得主窗口句柄获得进程
12-03
VC获得进程ID获得主线程ID获得窗口句柄获得主窗口获得进程名 1.窗口类名 窗口句柄 窗口标题 窗口句柄 HWND FindWindow( LPCTSTR lpClassName, //窗口类名 可用 VC或者VS自带的Spy++查看 LPCTSTR lpWindowName //窗口标题 ); 举例: 以 记事本为例, 记事本 窗口类名 为:NotePad, 窗口标题 视按具体情况而定,假设为"新建 文本文档.txt - 记事本" 窗口类名 窗口句柄 TCHAR lpClassName[]=TEXT("NotePad"); HWND hWnd=::FindWindow(lpClassName,NULL); if(hWnd && IsWindow(hWnd)) ::ShowWindow(hWnd,SW_HIDE); 窗口标题 窗口句柄 TCHAR lpWindowName[]=TEXT("新建 文本文档.txt - 记事本"); HWND hWnd=::FindWindow(NULL,lpWindowName); if(hWnd && IsWindow(hWnd)) ::ShowWindow(hWnd,SW_HIDE); 2.窗口句柄 进程ID 窗口句柄 主线程ID 要使用到的函数: DWORD GetWindowThreadProcessId( HWND hWnd, //目标窗口句柄 LPDWORD lpdwProcessId //返回目标窗口对应进程ID ); 例子: DWORD dwProcId=0;//存放返回的进程ID DWORD dwThreadId=0;//存放返回的主线程ID HWND hWnd=XXXX;//这里省略,可能用任务方式得到一个窗口的句柄.比如用1中的方法. dwThreadId=GetWindowThreadProcessId(hWnd,&dwProcId);//同时得到进程ID和主线程ID. 3.窗口HAND CWnd 用CWnd::FromHandle(HWND hWnd)函数.很多类都有这个函数. 4.进程进程ID (注:进程名,即在"任务管理器"中看到的名字) 用CCheckObject类(详细实现源文件); 例子: 以记事本为例,进程名为 NOTEPAD.EXE (不一定是大写哦,得到任务管理器是显示而定); CCheckObject ch; TCHAR Name[]=TEXT("NOTEPAD.EXE"); DWORD dwProcId=ch.GetProcessId(Name); 5. 进程名 主线程ID 例子: CCheckObject ch; TCHAR Name[]=TEXT("NOTEPAD.EXE"); DWORD dwThreadId=ch.GetThreadId(Name); 6. 进程名 主窗口句柄 CCheckObject ch; TCHAR Name[]=TEXT("NOTEPAD.EXE"); HWND hWnd=ch.GetTargetWindowHanle(Name); 7. 其它说明 从CCheckObject类和上面的源码中,不难写出从 进程ID 主线程ID 进程ID 主窗口句柄 主线程ID--->主窗口句柄 等等其它类似转换. 对于主窗口,特点如下: A. 不能用进程ID,要用线程ID,因为一个进程可能有多个线程,每个线程都可能会有主窗口. B. 主窗口不会有WS_CHILD属性 C. 主窗口没有父窗口 D. 主窗口一般都有子窗口(这个不是一定的,但是具有普遍性)
使用openprocess时解决问题,关于权限分配有感
tuolovelin的专栏
01-24 591
今天解bug的时候,发现枚举后台进程获取ID放入数组dwids,然后调用 HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwids[i]); ....... GetModuleFileNameEx(hProcess,NULL,lpPathName,MAX_PATH); hProcess 一直为空,打印getlast
Linux通过进程ID查看文件路径
YHJ
05-31 6617
1、用ps -ef |grep xxxxx得到该进程的pid 2、输入ls -l ,结果中 exe链接对应的就是可执行文件的路径 $ ls -l /proc/18283 以下是/proc目录中进程18283的信息 /proc/18283 pid为N的进程信息 /proc/18283/cmdline 进程启动命令 /proc/18283/cwd 链接到进程当前工作目录 /proc/18283/environ 进程环境变量列表 /proc/18283/exe 链接到进程的执行命令文件 /pro.
VC根据进程名获得进程IDVC获得系统特殊文件夹 SHGetSpecialFolderPathVC写入注册表,使程序开机启动
我是guyue,guyue就是我O(∩_∩)O
05-11 781
DWORD GetProcessIDFromName(char *name)  {   HANDLE snapshot;   PROCESSENTRY32 processinfo;   processinfo.dwSize = sizeof(processinfo);   snapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
获取进程基址
热门推荐
物知馆
05-17 1万+
有很多种方法可以获得进程空间的基址: 方法一:在x86上,可以直接用汇编语言来获得: HINSTANCE ins = NULL; __asm { mov eax, fs:[0x30]; mov eax, DWORD PTR [eax+8]; mov ins, eax; } return bRet; ins就是当前进程的基址。 然而在x64
ios获取内存镜像模块基址
翻滚吧骚年
09-21 4875
参考: https://developer.apple.com/library/ios/documentation/System/Conceptual/ManPages_iPhoneOS/man3/dyld.3.html http://gslab.qq.com/article-42-1.html #include #include intptr_t _dyld_get_
根据进程ID获取进程路径
weixin_33995481的博客
06-16 580
根据进程ID获取进程路径有两种方法方法1:OpenProcess --> GetModuleFileNameEx方法2:OpenProcess --> EnumProcessModules --> GetModuleFileNameEx 注意事项:1、使用GetModuleFileNameEx()而不是GetModuleFileName()2、GetModuleFileNam...
获取进程的基址
经典的误导的专栏
12-06 8456
直接上我写KingDom Rush外挂的代码,一开始想法是直接在内存中定位到关键汇编代码,直接在内存中改写就可以了。 发现基址和定位的关键汇编地址没有任何联系,可能是随机分配的缘故吧。不过还是纪录一下这种方法 #include #include #include #include using namespace std; bool changeAsm(HANDLE mproc, DWORD
进程篇----获取进程完整路径、DosPath转化为NtPath(By ProcessID
qq_42021840的博客
05-16 815
写这些文章的目的,就是为了简单方便的将这些代码记录下来,以后用到的时候,可以直接拿来用。 #ifdef UNICODE #define GetProcessFullPath GetProcessFullPathW #else #define GetProcessFullPath GetProcessFullPathA #endif BOOL GetProcessFullPathA(CHAR** ProcessFullPath, ULONG_PTR* ProcessFullPathLength,.
GetModuleFileName获取当前进程已加载模块的文件的完整路径
u012764241的专栏
01-28 1255
DWORD CMonPrtAndSScard::_LoadUploadModule() { DWORD dwRet = 0; wchar_t wszAppPath[MAX_PATH] = {NULL}; GetModuleFileName(NULL, wszAppPath, MAX_PATH); wstring wsTemp(wszAppPath); wstring wsUploadp
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

breaksoftware

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值