通过进程ID得到进程名

最新推荐文章于 2017-03-01 15:34:06 发布
最新推荐文章于 2017-03-01 15:34:06 发布
阅读量2.4k 收藏
点赞数
分类专栏: 驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cmdasm/article/details/9961203
版权

在内核中,通过进程ID,得到进程名称,有多种方法。

我使用了两种方法,第一种是使用ZwOpeProcess得到句柄

然后ObReferenceObjectByHandle函数得到PEPROCESS结构,然后

char *ProcessName = (char*)EProcess + 0x174;

第二种方法是得到PEPROCESS结构之后,使用PsGetProcessImageFileName函数得到进程名。 

具体代码如下:

#include<ntddk.h>
#include<wdm.h>

UCHAR* PsGetProcessImageFileName(PEPROCESS Process);

NTSTATUS Unload(IN PDRIVER_OBJECT  DriverObject)
{
	DbgPrint("驱动已经卸载/n");	
} 

void GetProcessName(ULONG dwPid)
{
	HANDLE ProcessHandle;
	NTSTATUS status;
	OBJECT_ATTRIBUTES  ObjectAttributes;
	CLIENT_ID myCid;
	PEPROCESS EProcess;

	InitializeObjectAttributes(&ObjectAttributes,0,0,0,0); 

	myCid.UniqueProcess = (HANDLE)dwPid;
	myCid.UniqueThread = 0;

	//打开进程,获取句柄
	status = ZwOpenProcess (&ProcessHandle,PROCESS_ALL_ACCESS,&ObjectAttributes,&myCid);
	if (!NT_SUCCESS(status))
	{
		DbgPrint("打开进程出错/n");
		return;
	}
	
	//得到EPROCESS,结构中取进程名
	status = ObReferenceObjectByHandle(ProcessHandle,FILE_READ_DATA,0,KernelMode,&EProcess, 0);
	if (status == STATUS_SUCCESS)
	{
		char *ProcessName = (char*)EProcess + 0x174;
		char *PsName = PsGetProcessImageFileName(EProcess);

		DbgPrint("ProcessName is %s/n",ProcessName);
		DbgPrint("PsName is %s/n",PsName);

                  DbgPrint("PID: %d\n;", PsGetProcessId(EProcess));//PsGetProcessId
	ZwClose(ProcessHandle);
	}
	else
	{
		DbgPrint("Get ProcessName error");
	}
}

NTSTATUS 
  DriverEntry(
    IN PDRIVER_OBJECT  DriverObject,
    IN PUNICODE_STRING  RegistryPath
    )
{
	DbgPrint("驱动已经加载了/n");
	GetProcessName(2044);
	DriverObject->DriverUnload = Unload;	
	return STATUS_SUCCESS;
}


 

DELPHI获取PID代码

procedure TForm1.Button1Click(Sender: TObject);
var
  hw:HWND;
  pid:DWORD;
begin
  hw:=FindWindow(nil,'计算器');
  GetWindowThreadProcessId(hw,pid);
  if pid <> 0 then
  Caption := IntToStr(pid)
end;


 

郁闷的坦然
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
VC进程ID获得主窗口句柄获得进程
12-03
VC获得进程ID获得主线程ID获得窗口句柄获得主窗口获得进程 1.窗口类 窗口句柄 窗口标题 窗口句柄 HWND FindWindow( LPCTSTR lpClassName, //窗口类 可用 VC或者VS自带的Spy++查看 LPCTSTR lpWindowName //窗口标题 ); 举例: 以 记事本为例, 记事本 窗口类 为:NotePad, 窗口标题 视按具体情况而定,假设为"新建 文本文档.txt - 记事本" 窗口类 窗口句柄 TCHAR lpClassName[]=TEXT("NotePad"); HWND hWnd=::FindWindow(lpClassName,NULL); if(hWnd && IsWindow(hWnd)) ::ShowWindow(hWnd,SW_HIDE); 窗口标题 窗口句柄 TCHAR lpWindowName[]=TEXT("新建 文本文档.txt - 记事本"); HWND hWnd=::FindWindow(NULL,lpWindowName); if(hWnd && IsWindow(hWnd)) ::ShowWindow(hWnd,SW_HIDE); 2.窗口句柄 进程ID 窗口句柄 主线程ID 要使用到的函数: DWORD GetWindowThreadProcessId( HWND hWnd, //目标窗口句柄 LPDWORD lpdwProcessId //返回目标窗口对应进程ID ); 例子: DWORD dwProcId=0;//存放返回的进程ID DWORD dwThreadId=0;//存放返回的主线程ID HWND hWnd=XXXX;//这里省略,可能用任务方式得到一个窗口的句柄.比如用1中的方法. dwThreadId=GetWindowThreadProcessId(hWnd,&dwProcId);//同时得到进程ID和主线程ID. 3.窗口HAND CWnd 用CWnd::FromHandle(HWND hWnd)函数.很多类都有这个函数. 4.进程 进程ID (注:进程,即在"任务管理器"中看到的字) 用CCheckObject类(详细实现源文件); 例子: 以记事本为例,进程为 NOTEPAD.EXE (不一定是大写哦,得到任务管理器是显示而定); CCheckObject ch; TCHAR Name[]=TEXT("NOTEPAD.EXE"); DWORD dwProcId=ch.GetProcessId(Name); 5. 进程 主线程ID 例子: CCheckObject ch; TCHAR Name[]=TEXT("NOTEPAD.EXE"); DWORD dwThreadId=ch.GetThreadId(Name); 6. 进程 主窗口句柄 CCheckObject ch; TCHAR Name[]=TEXT("NOTEPAD.EXE"); HWND hWnd=ch.GetTargetWindowHanle(Name); 7. 其它说明 从CCheckObject类和上面的源码中,不难写出从 进程ID 主线程ID 进程ID 主窗口句柄 主线程ID--->主窗口句柄 等等其它类似转换. 对于主窗口,特点如下: A. 不能用进程ID,要用线程ID,因为一个进程可能有多个线程,每个线程都可能会有主窗口. B. 主窗口不会有WS_CHILD属性 C. 主窗口没有父窗口 D. 主窗口一般都有子窗口(这个不是一定的,但是具有普遍性)
内核程序中进程的pid,handle,eprocess之间相互转换的方法
whatday的专栏
09-10 5653
在win32内核程序开发中,我们常常需要取得某进程的pid或句柄,或者需要检索进程的eprocess结构,很多API函数需要的参数也不同,所以掌握pidhandleeprocess相互转换的方法会大大提高我们的开发效率。 以下就是我自己在实际开发中总结出来的转换方法,在此记录下来,以供需要的朋友参考。 1、pid->handle OBJECT_ATTRIBUTES Objec
通过进程名称获取进程ID、通过子进程ID获取其父进程ID及通过进程ID获取进程名称
shushuidewoniu的专栏
07-23 3137
最近一个MFC项目里有个需求是:需要根据一个进程名称获取其父进程名称。于是查了些资料整理出来份代码,并进行了些测试结果OK。直接拿来即可当工具类使用,以下贴上代码: 头文件GetProcessInfo.h: #pragma once #include #define ProcessBasicInformation 0 typedef struct { DWORD ExitStatus;
根据进程ID获取进程
codehxy的专栏
03-01 6466
private static String processName() { // shell获取指定pid进程字 // ps | grep pid | awk '{print $9}' String processName=null; try { int pid = android.os.Process.myPid()
如何获取某个进程的主窗口以及创建进程的程序(进程映像)
System Architect
04-09 2373
在编写工具程序以及系统管理程序的时候。常常需要获取某个进程的主窗口以及创建此进程的程序获取主窗口的目的是向窗口发送各种消息。获取启动进程的程序可以控制对进程的操作。但是有些进程往往有多个主窗口。你要的是哪一个主窗口呢?如果你用过Outlook程序,你就会发现它有多个主窗口,一个窗口列出收件箱和其它文件夹。如果你打开e-mail,便会有另外一个窗口显示信息。它们都是没有父窗口(或者说宿主窗口)
如何通过进程ID获取进程
niujixiao的专栏
07-15 3237
含头文件:     #include   "tlhelp32.h"   CreateToolhelp32Snapshot函数为指定的进程进程使用的堆[HEAP]、模块[MODULE]、线程[THREAD])建立一个快照[snapshot]。   示例:     CString   strName = "***";    HANDLE   hProcessSnap=NULL;    PROCESSENTRY32   pe32={0};    hProcessSnap=CreateToolhelp32Snap
通过进程ID杀死进程
09-03
通过进程ID杀死进程
易语言通过窗口句柄取得进程ID
08-21
通过窗口句柄取得进程ID系统结构:句柄获得进程ID_DLL, ======窗口程序集1 || ||------_按钮1_被单击 || || ======调用的Dll || ||---[dll]------句柄获得进程ID_DLL 调用的DLL命令: .DLL命令句柄获得进程
易语言获取进程id的方法
08-26
在本篇内容里小编为大家分享了关于易语言获取进程id的方法和步骤,需要的朋友们可以学习下。
通过进程id获取主窗口句柄及主窗口标题
09-01
通过进程id获取到所在进程的主窗口的句柄,及通过该主窗口句柄获取当前主窗口的标题,进程;这是一个demo例程,仅供参考
内核重载
坦然
09-12 2879
/*++ BUILD Version: 0004 // Increment this if a change has global effects Copyright (c) Microsoft Corporation. All rights reserved. You may only use this code if you agree to the terms of the Win
键盘过滤驱动源代码
坦然
08-22 2199
#include "ntddk.h" #include "ntddkbd.h" #include "stdio.h" #define KEY_UP 1 #define KEY_DOWN 0 #define LCONTROL ((USHORT)0x1D) #define CAPS_LOCK ((USHORT)0x3A
MmGetSystemRoutineAddress函数获取内存地址
坦然
08-24 2126
#include "ntddk.h" ULONG GetCidAddr() { PUCHAR addr; PUCHAR p; UNICODE_STRING pslookup; ULONG cid; RtlInitUnicodeString (&pslookup, L"PsLookupProcessByProcessId"); //RtlInitU
DRIVER_OBJECT结构
坦然
09-03 745
DRIVER_OBJECT STRUCT ; sizeof= 0A8h _Type SWORD ? ; 0000h (IO_TYPE_DRIVER = 4) (original field name Type) _Size SWORD ? ; 0004h (original name Size) ; The following links all of the devices created
springboot(酒店管理系统)
最新发布
04-25
开发语言:Java JDK版本:JDK1.8(或11) 服务器:tomcat 数据库:mysql 5.6/5.7(或8.0) 数据库工具:Navicat 开发软件:idea 依赖管理包:Maven 代码+数据库保证完整可用,可提供远程调试并指导运行服务(额外付费)~ 如果对系统的中的某些部分感到不合适可提供修改服务,比如题目、界面、功能等等... 声明: 1.项目已经调试过,完美运行 2.需要远程帮忙部署项目,需要额外付费 3.本项目有演示视频,如果需要观看,请联系我 4.调试过程中可帮忙安装IDEA,eclipse,MySQL,JDK,Tomcat等软件 重点: 需要其他Java源码联系我,更多源码任你选,你想要的源码我都有! 需要加v19306446185
如何通过进程获取进程id
07-28
要通过进程获取进程ID,可以使用以下步骤: 1. 获取系统中所有正在运行的进程的快照。可以使用函数如`CreateToolhelp32Snapshot`或`EnumProcesses`来实现。 2. 遍历进程快照,逐个比较进程字与目标进程字是否匹配。可以使用函数如`Process32First`和`Process32Next`来遍历进程快照,或者使用`EnumProcesses`函数来获取进程ID列表。 3. 当找到匹配的进程字时,获取进程进程ID。在遍历过程中,可以使用函数如`GetProcessId`来获取进程ID。 以下是一个简单示例代码(使用Windows API)来演示如何通过进程获取进程ID: ```cpp #include <iostream> #include <windows.h> #include <tlhelp32.h> DWORD GetProcessIdByName(const char* processName) { PROCESSENTRY32 pe32; pe32.dwSize = sizeof(PROCESSENTRY32); HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); if (hSnapshot == INVALID_HANDLE_VALUE) { return 0; } if (!Process32First(hSnapshot, &pe32)) { CloseHandle(hSnapshot); return 0; } do { if (strcmp(pe32.szExeFile, processName) == 0) { CloseHandle(hSnapshot); return pe32.th32ProcessID; } } while (Process32Next(hSnapshot, &pe32)); CloseHandle(hSnapshot); return 0; } int main() { const char* targetProcessName = "target.exe"; DWORD targetProcessId = GetProcessIdByName(targetProcessName); if (targetProcessId != 0) { std::cout << "Process ID of " << targetProcessName << ": " << targetProcessId << std::endl; } else { std::cout << "Process " << targetProcessName << " not found." << std::endl; } return 0; } ``` 请注意,这只是一个简单的示例,实际应用中可能需要更多的错误处理和逻辑判断。还要注意,获取进程ID可能需要管理员权限或特定的访问权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值