如何在NT下获取进程的路径

最新推荐文章于 2024-02-07 11:42:06 发布
最新推荐文章于 2024-02-07 11:42:06 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: C++语言 转贴文章 系统编程 文章标签: path 测试 api query c
 
如何在NT下获取进程的路径

整理:Ackarlix
下载示例源代码

 一:获取NT下进程路径的方法
  在Win9X系统中,利用ToolHelp API中的相关函数可以很方便得得到进程的名称及其路径。但这种方法在NT系统中就不能奏效了,szExeFile仅仅得到的是进程的名称,并没有包含进程的路径。
  如何在NT下获取进程的路径呢?(由于WIN9X系统不在我们讨论的范围之内,所以我们选用PSAPI中的相关函数进行说明,这仅仅适用于NT系统。)其实也很简单——OpenProcess()函数将进程打开后,再利用EnumProcessModules()函数枚举该进程的模块,最后利用GetModuleFileNameEx()函数就能取得该进程的路径了。
  下面的这段程序将枚举NT系统中的进程,并将显示每个进程的路径。当然,这种方法对一些系统保护的进程而言或多或少会出现些问题,例如:smss.exewinlogon.execsrss.exe等。如果谁有更好的方法请赐教,不胜感激。
二:具体实践
//
 
/*
* ShowProcessPath_PSAPI
* 版权所有 (C) 2004 赵春生
* 2004.08.08
* http://timw.yeah.net
* http://timw.126.com
* 本程序适用于:WinNT
* 代码在Win2000P+SP4 + VC6+SP5测试通过
*/
 
#include <stdio.h>
#include <windows.h>
#include "PSAPI.H"
#pragma comment( lib, "PSAPI.LIB" )
 
int main(void)
{
 
DWORD processid[1024],needed,processcount,i;
HANDLE hProcess;
HMODULE hModule;
char path[MAX_PATH] = "",temp[256];
 
printf("ShowProcessPath with [Process Status API]/n/n");
 
EnumProcesses(processid, sizeof(processid), &needed);
processcount=needed/sizeof(DWORD);
 
for (i=0;i<processcount;i++)
{
hProcess=OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ,false,processid[i]);
if (hProcess)
{
EnumProcessModules(hProcess, &hModule, sizeof(hModule), &needed);
GetModuleFileNameEx(hProcess, hModule, path, sizeof(path));
GetShortPathName(path,path,256);
itoa(processid[i],temp,10);
printf("%s --- %s/n",path,temp);
}
else
printf("Failed!!!/n");
}
 
CloseHandle(hProcess);
CloseHandle(hModule);
 
itoa(processcount,temp,10);
printf("/nProcess Count:%s/n/n",temp);
 
return 0;
}
 
//
 
三:相关测试
  用ToolHelp API按上述方法也能达到获取进程路径的目的,但和PSAPI相比后者则更有优势,详见下表,测试环境为:Win2000P+SP4
-----进程名 --------PSAPI----THAPI---
|  smss.exe   |  Y     N  |
  csrss.exe    N    N
|  winlogon.exe |  Y     N   |
  services.exe   Y     N
|  lsass.exe  |  Y     N  |
  svchost.exe   Y    N
|  WinMgmt.exe |  Y     N  |
  Explorer.EXE   Y     Y
|  mobsync.exe |  Y     Y  |
  conime.exe    Y     Y
------------------------------------

四:测试环境

以上代码在Win2000P+SP4 + VC6+SP5测试通过。

源码也可从我的个人主页下载。
http://timw.yeah.net
http://timw.126.com
 
 
Ackarlix
关注
专栏目录
NT / Win9x上枚举进程
04-11
它包含`CreateToolhelp32Snapshot`函数,用于创建一个进程快照,以及`Process32First`和`Process32Next`函数,用于遍历快照并获取进程信息。 另一方面,`PSAPI`库在Windows NT及以后的版本中更为常见,它提供了一组...
NtQueryDirectoryFile隐藏文件夹
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
02-24 111
NtQueryDirectoryFile隐藏文件夹
Windows Rootkit 技术分析
斑竹的程序设计专栏
11-29 1537
现在很多人对rootkit认识不够,可以说空白。而此文的目的就是让大家认识rootkit→了解rootkit。也让一些想研究它的人把这篇文章当作一个参考或是入门级的指导。************************************************************转载请保留文章完整,谢谢! *Date:2005/9/11 祝童童生日快乐。也纪念世贸大厦 *作者:sunwe
使用 NtQuerySystemInformation 遍历进程信息
最新发布
溡漪幽博客
02-07 1648
通过遍历系统进程信息,我们可以了解系统中运行的各种进程的详细信息,从而更好地进行系统管理和性能优化。本文介绍了一种通过调用 Windows 系统API获取并遍历系统进程信息的技术,并提供了一段示例代码以帮助读者理解该技术的实现方法。
逆向知识点
qq_42021840的博客
01-18 998
PE 如何判断PE是DLL还是EXE FileHeader.Characteristics EXE:010F(H) DLL:210(H) 如何判断PE是32位还是64位 imageNtHeaders.FileHeader.Machine 32 IMAGE_FILE_MACHINE_I386 64 IMAGE_FILE_MACHINE_IA64 IMAGE_FILE_MACHINE_AMD64 imageNtHeader...
获取其他进程启动参数方法
07-21
在注册表的`HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options`或`HKCU\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options`下,为每个进程创建键值,键名...
windows驱动写日志,有Zw和Flt,记录操作某一文件夹的进程
12-16
Zw系列函数是Windows NT内核提供的低级别系统调用接口,用于在内核模式下执行各种操作。在驱动程序中,我们可以利用`ZwCreateFile`、`ZwWriteFile`等函数创建和写入日志文件。例如,当驱动检测到对特定文件夹的操作...
在 本地计算机 无法启动mysql服务 错误1067:进程意外中止
10-01
当我们在本地计算机尝试启动 MySQL 服务时遇到“错误1067:进程意外中止”,这通常意味着 MySQL 服务在启动过程中遇到了某些问题而未能成功启动。错误1067是一个Windows错误代码,表明在尝试启动服务时,服务控制器...
进程注入的研究与实现-上下
09-06
**原理**:在Windows NT/2000/XP/2003等操作系统中,存在一个特殊的注册表键值`HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs`。当某个进程加载User32.dll时,该键值中列...
C++ 获取进程所在目录(全路径
LYSM
08-05 5607
定位某个进程(比如 QQMusic.exe)所在的全路径,下面是代码: string GetProcessInfo(HANDLE hProcess,char* processName) { PROCESSENTRY32* pinfo = new PROCESSENTRY32; //进程信息 (pinfo->dwSize = sizeof(PROCESSENTRY32);) MODULEE...
NT5/NT6上的获取进程路径
zhuhuibeishadiao
04-12 4765
前面说过使用一大堆函数获取路径 PID->eprocess->KeStackAttachProcess->ZwQueryInformationProcess->ProcessImageFileName->ZwCreateFile ->ObReferenceObjectByHandle->RtlVolumeDeviceToDosName ->ZwQueryInformationF
根据进程句柄 获得可执行文件路径 的几种方法
HelloKandy's Blog
08-09 6121
通过进程句柄,获得可执行文件的路径,主要有以下几种方法: 第一种方法:也是最常用的方法,是通过GetModuleFileNameEx函数获得可执行文件的模块路径,这个函数从Windows NT 4.0开始到现在的Vista系统都能使用,向后兼容性比较好。 【函数原型】调用失败将返回0。注:进程的句柄须有PROCESS_QUERY_INFORMATION 和 PROCESS_VM_READ权限。
通过Hook ZwCreateProcess获取进程路径(缓存问题解决方案)
博客模版
06-01 2587
环境:WinXP 我们在拦截进程启动时,会去拦截ZwCreateProcess函数,然后在中间获取启动进程的了全路径,判断进程是否合法。 首先看下ZwCreateProcess函数的原型如下: 其中我们主要是利用SectionHandle参数,通过ObReferenceObjectByHandle获取文件对象,然后再利用ObQueryNameString函数进行刷新文件名缓存
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值