根据进程ID,获取该进程的命令行

最新推荐文章于 2022-07-19 20:21:14 发布
最新推荐文章于 2022-07-19 20:21:14 发布
阅读量587 收藏
点赞数 2
文章标签: c++ windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BirdHong/article/details/119333773
版权

参考 Windows核心编程(第5版中文版) source code

04-ProcessInfo

#include <windows.h>
#include <winternl.h>
#include <Psapi.h>

typedef struct
{
    DWORD Filler[4];
    DWORD InfoBlockAddress;
} __PEB;

typedef struct
{
    DWORD Filler[17];
    DWORD wszCmdLineAddress;
} __INFOBLOCK;

typedef NTSTATUS(CALLBACK* PFN_NTQUERYINFORMATIONPROCESS)(
    HANDLE ProcessHandle,
    PROCESSINFOCLASS ProcessInformationClass,
    PVOID ProcessInformation,
    ULONG ProcessInformationLength,
    PULONG ReturnLength OPTIONAL
    );

NTSTATUS _NtQueryInformationProcess(
	HANDLE hProcess,
	PROCESSINFOCLASS pic,
	PVOID pPI,
	ULONG cbSize,
	PULONG pLength);

bool GetProcessCmdLine(DWORD PID, WCHAR* szCmdLine, DWORD Size);

NTSTATUS _NtQueryInformationProcess(
	HANDLE hProcess,
	PROCESSINFOCLASS pic,
	PVOID pPI,
	ULONG cbSize,
	PULONG pLength)
{
	HMODULE hNtDll = LoadLibrary(TEXT("ntdll.dll"));
	if (hNtDll == NULL)
		return -1;

	NTSTATUS lStatus = -1;

	PFN_NTQUERYINFORMATIONPROCESS pfnNtQIP = (PFN_NTQUERYINFORMATIONPROCESS)GetProcAddress(hNtDll, "NtQueryInformationProcess");
	if (pfnNtQIP != NULL)
		lStatus = pfnNtQIP(hProcess, pic, pPI, cbSize, pLength);

	FreeLibrary(hNtDll);
	return lStatus;
}

bool GetProcessCmdLine(DWORD PID, WCHAR* szCmdLine, DWORD Size)
{
	if ((PID <= 0) || (szCmdLine == NULL) || (Size == 0))
		return false;

	HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, FALSE, PID);
	if (hProcess == NULL)
		return false;

	int iReturn = 1;
	DWORD dwSize;
	SIZE_T size;

	// 0. 获取进程环境块的地址
	PROCESS_BASIC_INFORMATION pbi;
	iReturn = _NtQueryInformationProcess(hProcess, ProcessBasicInformation, &pbi, sizeof(pbi), &dwSize);
	if (iReturn < 0)
		return false;
	
	// 1. 获取进程环境块
	__PEB PEB;
	size = dwSize;
	if (ReadProcessMemory(hProcess, pbi.PebBaseAddress, &PEB, sizeof(PEB), &size) == 0)
		return false;

	// 2. 获取PEB块的地址(PEB包含执行命令行地址的指针)
	__INFOBLOCK Block;
	if (ReadProcessMemory(hProcess, (LPVOID)PEB.InfoBlockAddress, &Block, sizeof(Block), &size) == 0)
		return false;

	// 3. 获取命令行
	WCHAR wszCmdLine[PROCESSCMDLINE_LENGTH] = { 0 };
	if (ReadProcessMemory(hProcess, (LPVOID)Block.wszCmdLineAddress, wszCmdLine, sizeof(wszCmdLine), &size) == 0)
		return false;

	// 4. 拷贝命令行
	WCHAR* pPos = wszCmdLine;
	if (pPos != NULL)
	{
		if (*pPos != L'\0')
			wcscpy_s(szCmdLine, Size, pPos);
		else
			szCmdLine[0] = TEXT('\0');
	}
	else
	{
		szCmdLine[0] = TEXT('\0');
	}

	CloseHandle(hProcess);
	return true;
}

我是江鸟,即将迈向社会的程序猿,欢迎交流~
在这里插入图片描述

木木+江鸟
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
windows核心编程-如何获取进程命令行信息
qq_22423659的博客
11-28 4549
如何获取其他进程命令行信息 每一个进程都有一个PEB数据块(PEB:Process Environment Block),这个进程环境块信息(如下结构体), 每个PEB中有_RTL_USER_PROCESS_PARAMETERS   结构体,是一个指针,指向一个结构体,这个结构体里面有一个CommandLine 命令行参数。所以要获得其他进程命令行参数CommandLine,首先要获得其他
获取进程命令行.e
05-16
获取进程的启动参数 和进程信息 含有源码 和一个已编译文件 易语言
<转>得到其它进程命令行
weixin_33809981的博客
10-29 101
#include &lt;windows.h&gt; #include &lt;stdio.h&gt; #define ProcessBasicInformation 0 typedef struct { USHORT Length; USHORT MaximumLength; PWSTR Buffer; } UNICODE_STRING, *...
取得某进程命令行
yanhuaju9的专栏
06-19 561
 ***************************************************************************模 块 名:ModGetRemoteCmdLine**说    明:取得某进程命令行**创 建 人:马大哈 http://www.m5home.com/**日    期:2007年6月19日**版    本:V1.0********
获取进程列表、进程命令行、结束进程
dubuzherui的专栏
10-30 1555
装载地址:CString MyGetProcess() { CString csTemp = "", csPid; HANDLE hSnapshot, mehandle; hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); PROCESSENTRY32 pe; MODULEENTRY32 me; pe.dwS
Windows编程-获取其他进程命令行信息
NINE_world的博客
10-04 1215
#include <iostream> #include <windows.h> #include <tchar.h> #include <winternl.h> //如何获得其他进程命令行信息? /* * 每一个进程里面都对应一个环境变量快PEB * 如果想要获得其他进程命令行信息,首先就要获得其他进程的PEB结构体 * * 如何获得其他进程的PEB结构体信息? * NtQueryinformationProcess 函数 * 第一个参数是进
查看获得进程对应的命令行(参数们)
04-05
获得进程对应的命令行(参数们)
linux shell 根据进程获取pid的实现方法
09-14
在处理多进程环境时,有时我们需要根据进程名称来获取其对应的进程ID(PID)。这篇文章将详细讲解如何在Linux shell中根据进程获取PID,并提供不同场景下的实现方法。 1. **交互式Bash Shell获取进程PID** 在...
获取系统正在运行的进程ID.rar_获取 进程
09-23
在IT领域,获取系统正在运行的进程ID是一项基础但至关重要的任务。这通常涉及到操作系统管理和监控,例如性能分析、故障排查或资源管理。在Windows操作系统中,我们可以利用各种方法来实现这一目标。以下是一些主要...
商业编程-源码-如何获取系统进程命令行.zip
06-23
这些API函数需要与结构体`PROCESSENTRY32`配合使用,从中提取出进程ID,然后通过进程ID读取命令行字符串。 在Linux系统中,我们可以利用`/proc`文件系统。每一个运行的进程在`/proc`目录下都有一个以进程ID命名的子...
获取其他进程启动(命令行)参数
11-03
获取其他进程启动(命令行)参数 需要安装.net2.0才能使用
获取进程命令行(3法)的软件源码
04-09
获取进程命令行(3法)这个是很经典的例子,大家做软件可能用到,欢迎下载
VC实现获取当前正在运行的进程
09-03
2. **PROCESSENTRY32**: 这是一个结构体,用于存储进程的详细信息,包括进程名称(`szExeFile`)、进程ID(`th32ProcessID`)等。在使用之前,需要先设置`dwSize`成员为结构体的大小。 3. **Process32First** 和 **...
linux根据id查找进程,Linux如何根据进程ID查找启动程序的路径
weixin_42172204的博客
04-29 1217
遇到一个问题,背景是这样的:我们工作环境不正常,使用ps命令查看,发现有程序A的两个进程状态一个是状态,一个是正常运行.由于该程序A是个通用服务程序,被拷贝成多份,分发到不同的目录中单独启动,只有各自配置不同而已,因此想知道是哪个目录的A程序处于僵死状态.正常运行中的进程树关系如下(为了简化,只显示一部分进程):$ ps xPID TTY STAT TIME COMMAND17279...
win32根据进程获取进程ID或者终止进程
zjx_cfbx的博客
09-04 7314
第一部分: 根据进程获取进程ID。 首先我们需要了解三个windows API函数: HANDLE WINAPI CreateToolhelp32Snapshot( DWORD dwFlags, DWORD th32ProcessID ); CreateToolhelp32Snapshot函数可以得到系统进程快照的句柄,如果函数调用成功返回快照句柄,否则返回INVALID_HA...
linux根据进程号PID查找启动程序的全路径(程序实现根据PID进程号得到进程名字或根据进程名字取得进程号)
sweetfather的博客
04-09 3847
sam9x25-linux login: rootPassword: root@sam9x25-linux:~ cd approot@sam9x25-linux:~/app ps  PID TTY          TIME CMD  749 ttyp2    00:00:00 login  750 ttyp2    00:00:00 sh  752 ttyp2    00:00:00 psroo...
Windows命令行进程路径
skyyx2002的博客
07-19 2244
通过wmic命令获取进程路径
使用进程id查询程序启动路径
Meiko记录
03-24 577
1.我们可以从ps命令中得到进程的PID,如23347。 2.进入/proc目录下以该PID命名的目录。 3.输入ls -ail,结果中exe链接对应的就是可执行文件的全路经详细信息。 例子: [root@iZbp16g2h00mfhlkven4lcZ /] cd /proc/23347 [root@edu-iZbp16g2h00mfhlkven4lcZ 23347] ls –ail ...
根据进程id查看进程在做什么(执行的sq语句)
weixin_33962923的博客
10-11 421
有时候会见到一个操作进程占用了很多系统资源,此时需要弄清楚这个进程是在干什么,将红色标记的部分替换成操作系统进程id(PID)即可。selectdistinct'-------------------------------------------'||chr(10)||'USERAME:'||s.username||chr(10)|...
Windows 驱动根据EPROCESS获取进程命令行参数
最新发布
05-31
// 根据进程ID获取EPROCESS结构体指针 status = PsLookupProcessByProcessId(processId, &process); if (!NT_SUCCESS(status)) { DbgPrint("Failed to lookup process by process ID, status: 0x%x\n", status)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

木木+江鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值