Windows编程-获取其他进程的命令行信息

最新推荐文章于 2024-05-03 05:31:20 发布
最新推荐文章于 2024-05-03 05:31:20 发布
阅读量1.1k 收藏 6
点赞数 1
分类专栏: Windows 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NINE_world/article/details/120602239
版权 
#include <iostream>
#include <windows.h>
#include <tchar.h>
#include <winternl.h>
//如何获得其他进程的命令行信息?
/*
 * 每一个进程里面都对应一个环境变量快PEB
 * 如果想要获得其他进程的命令行信息,首先就要获得其他进程的PEB结构体
 *
 * 如何获得其他进程的PEB结构体信息?
 * NtQueryinformationProcess 函数
 * 第一个参数是进程句柄
 * 第二个参数是ProcessBasicInfomation结构体->查文档
 * 第三个PROCESS_BASIC_INFOMATION
 * 第四个前面结构体的大小
 * 第五个是返回值的大小
 *
 * 这个函数有点危险,以后可能会被杀掉
 * 要先拿到别的进程的句柄
 */

//由于直接使用NtQueryInformationProcess函数会报错未定义,所以手动装入dll,官方查询这个函数在Ntdll.dll库里

//定义一个函数指针
typedef NTSTATUS (WINAPI *QT)(HANDLE, PROCESSINFOCLASS, PVOID, ULONG, PULONG);
using namespace std;
int main(int argc, char* argv[])
{
    HMODULE hModule = 0;
    hModule = LoadLibrary(L"Ntdll.dll");
    QT NtQuery;
    if(hModule)
    {
        NtQuery = (QT)GetProcAddress(hModule, "NtQueryInformationProcess");
    }


    PROCESS_BASIC_INFORMATION pi;
    memset(&pi, 0, sizeof(pi));
    NTSTATUS re = NtQuery(OpenProcess(PROCESS_ALL_ACCESS, FALSE, 17720),
                              ProcessBasicInformation,/*还必须用这个,不能用0*/
                              &pi,
                              sizeof (pi),
                              NULL);
    /*
     * 在pi中,pi.PedBaseAddress指向PEB,那么这个指针指向的地址,是哪个地址?
     * 是17720进程中的地址
     * 17720 是我自己找的进程ID
     */
    if(NT_SUCCESS(re))
    {
        wcout << "OK" << endl;
    }

    //拿到地址开始读内存
    HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, 17720);
    PEB peb;
    RTL_USER_PROCESS_PARAMETERS para;
    ReadProcessMemory(hProcess, pi.PebBaseAddress, &peb, sizeof (PEB), NULL);
    ReadProcessMemory(hProcess, peb.ProcessParameters, &para, sizeof (para), NULL);
    TCHAR CommandLine[1024];
    ReadProcessMemory(hProcess, para.CommandLine.Buffer, CommandLine, 1024*2, NULL);

    MessageBox(NULL, CommandLine, L"OK", MB_OK);//windows编程下的通知栏,防止黑窗口不能完全显示汉字
    wcout << CommandLine << endl;
    CloseHandle(hProcess);
    FreeLibrary(hModule);
    return 0;
}
橙子砰砰枪
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
windows核心编程-如何获取进程命令信息
qq_22423659的博客
11-28 4509
如何获取其他进程命令信息 每一个进程都有一个PEB数据块(PEB:Process Environment Block),这个进程环境块信息(如下结构体), 每个PEB中有_RTL_USER_PROCESS_PARAMETERS   结构体,是一个指针,指向一个结构体,这个结构体里面有一个CommandLine 命令参数。所以要获得其他进程命令参数CommandLine,首先要获得其他
获取进程命令之四
chenhui530的专栏
01-09 4392
在此之前我已经写了3篇关于如何获取进程命令的文章,并且都提供了完整源码,这次也不例外。 由于博客上发表的文章都是在出差之间发布的有些文章没有详细的注释,只把代码贴了出来在这里请大家谅解。以后我会尽量把注释写上让大家更好的阅读我的文章和代码。这次由于项目接近尾声有了点时间就把怎么“获取进程命令之四”这篇文章的原理给大家说说。 其实几篇文章的原理都很简单,有的都是通过进程环境块PEB来获取进程
获取进程基址小技巧(傀儡进程
Sven的忘却日记
07-29 1965
创建傀儡进程时,一般需要以挂起模式创建进程,然后调用未导出NT函数NtQueryInformationProcess来获取目标进程的PEB地址,拿到PEB地址后,再通过ReadProcessMemory获取目标进程的PEB数据,最后NtUnMapViewOfSection,传入PEB结构中的ImageBaseAddress来卸载目标进程的内存。 其实可以直接通过GetThreadContext这个...
32位 64位 获得进程peb的方法
aijuzhou1959的博客
02-14 484
基于上一篇文章,大概了解了peb的获取方法,但是那个方法只能获得当前进程的PEB,不能获得其他的进程的PEB。根据那个思想,获得其他进程PEB则需要注入,得到进程信息,然后进程间通信,将信息返回来,经过考虑,这个方法太复杂。 下面介绍的方法是 用了一个未公开的函数NtQueryInformationProcess,获得进程信息,然后去读对方进程ReadProcessMemory。 结...
[Windows]查看运进程的参数【wmic】
最新发布
2401_84046635的博客
05-03 1114
谈到面试,其实说白了就是刷题刷题刷题,天天作死的刷。。。。。为了准备这个“金三银四”的春招,狂刷一个月的题,狂补超多的漏洞知识,像这次美团面试问的算法、数据库、Redis、设计模式等这些题目都是我刷到过的并且我也将自己刷的题全部整理成了PDF或者Word文档(含详细答案解析)66个Java面试知识点架构专题(MySQL,Java,Redis,线程,并发,设计模式,Nginx,Linux,框架,微服务等)+大厂面试题详解(百度,阿里,腾讯,华为,迅雷,网易,中兴,北京中软等)算法刷题(PDF)
C++ 修改指定进程 PEB 中路径和命令信息实现进程伪装
LYSM
06-24 2591
背景 所谓的进程伪装,指的修改任意一个指定进程信息,是它的信息在系统中的显示是另一个进程信息,这样看来,指定的进程就像是被伪装的进程一样,因为进程信息相同,但实际上,它还是原来的进程,做着原来的进程操作。 函数介绍 NtQueryInformationProcess NTSTATUS WINAPI NtQueryInformationProcess( _In_ HANDLE ProcessHandle, // 要获取信息进程的句柄。
获取进程命令参数
wr960204(武稀松)的专栏
04-16 3233
type  UNICODE_STRING = packed record    Length: Word;    MaximumLength: Word;    Buffer: PWideChar;  end;  PUNICODE_STRING = UNICODE_STRING;type  PROCESS_PARAMETERS = packed record    AllocationSize:
如何得到其它进程的启动命令参数
神经网络爱好者
04-26 1952
如何得到其它进程的启动命令参数 ILSY:这个程序可以得到其他进程命令参数。// procmdline.cpp (Windows NT/2000)//// This example shows how to get the command line for almost any process// on the system for Windows NT/2000// //// (c)199
如何获取其它程序的命令参数
Ackarlix的专栏
08-30 2304
 如何获取其它程序的命令参数整理:Ackarlix下载源代码开发环境: VC6 Windows XP测试环境: WindowsXP我们都知道,在程序里获取命令参数很简单,WinMain函数会以参数的形式传递给我们,或者可以调用API GetCommandLine 获取。但是GetCommandLine函数不接受参数,获取的只是自己程序的命令参数。那么如果我们想获取别的应用
商业编程-源码-如何获取系统进程命令.zip
06-23
如果需要编程实现,可以使用Darwin库中的`kern.procargs2`系统调用来获取进程命令参数。这个系统调用需要`sysctl`函数来执。 对于Unix-like系统,如Solaris或FreeBSD,也可以使用`kvm`库来访问内核数据结构,...
Windows编程-杀死指定路径程序文件的进程
12-17
Windows编程中,有时我们需要对系统进操作,例如结束某个特定程序的进程。本文将深入探讨如何通过编程方式实现这一功能,特别是在C++环境中。我们将主要关注两种方法:使用`taskkill`命令工具和利用Windows ...
查看获得进程对应的命令(参数们)
04-05
获得进程对应的命令(参数们)
获取进程命令.e
05-16
获取进程的启动参数 和进程信息 含有源码 和一个已编译文件 易语言
获取进程命令(3法)的软件源码
04-09
获取进程命令(3法)这个是很经典的例子,大家做软件可能用到,欢迎下载
商业编程-源码-获取CPU使用率.zip
06-23
类Unix系统通常使用`kstat`接口或者`/usr/bin/vmstat`、`/usr/bin/top`等命令工具获取CPU使用情况。在C或C++程序中,可以使用`kstat`库来访问内核统计信息,或者通过执外部命令并解析输出来获取CPU利用率。 4....
ubunt---linux命令简明教程--
11-11
在IT领域,Linux操作系统是开发者、系统管理员和爱好者们广泛使用的平台之一,尤其以其命令界面(CLI)闻名。Ubuntu Linux作为最受欢迎的发版之一,它的命令工具提供了高效、强大的功能。本教程将深入浅出地...
c语言获取进程参数,如何获取其它程序的命令参数
weixin_39875167的博客
05-18 387
DWORD g_GetCmdLine(DWORD dwPID,TCHAR* pCmdLine,DWORD dwBufLen){#define BUFFER_LEN 512 //reading buffer for the commandlineHANDLE hProc = OpenProcess(PROCESS_VM_READ,FALSE,dwPID);if(hProc == ...
QT实现获取进程信息
luoshiyong123的博客
10-21 6046
主要是通过QProcess实现cmd命令tasklist,然后再将得到的信息写到表上,但是表中英文显示居然会乱码,也是醉了 QProcess ps1; ps1.start("tasklist.exe"); if(ps1.waitForFinished()) { QByteArray result = ps1.readAll(); QS...
NtQueryInformationProcess用法
热门推荐
yiyefangzhou24的专栏
03-12 2万+
<br />      从所周知,在Windows NT/2000系统的API黑洞之一便是NTDLL.DLL,此DLL包含了许多未公开的API函数。本文将列举一、二,并以如何获取任何指定进程的父进程ID为例作为示范。<br />   NTDLL.DLL中有一个函数叫NtQueryInformationProcess,用它可以将指定类型的进程信息拷贝到某个缓冲。其原型如下:<br />NTSYSAPI<br />NTSTATUS<br />NTAPI<br />NtQueryInformationProces
列举20种c++结束windows上的进程的思路
07-10
以下是一些可以用于在Windows上结束进程的 C++ 思路,我为您列举了20种: 1. 使用 Windows API 函数 `TerminateProcess` 来终止指定进程。 2. 使用 `taskkill` 命令工具通过调用 `system` 函数执命令来结束进程。 3. 使用 `GetProcessId` 和 `OpenProcess` 函数获取进程句柄,并使用 `TerminateProcess` 函数终止进程。 4. 使用 `EnumProcesses` 和 `OpenProcess` 函数遍历所有进程,找到目标进程并使用 `TerminateProcess` 函数终止它。 5. 使用第三方库,如 Boost.Process 或 Poco 库,来终止进程。 6. 使用 WMI(Windows Management Instrumentation)接口来获取进程信息,并使用 `Terminate` 方法终止进程。 7. 使用 PowerShell 脚本编写一个 C++ 程序来结束进程。 8. 使用系统注册表编辑器或命令工具修改注册表,以禁用或删除进程的启动项。 9. 使用系统管理员权限登录,并使用管理员权限执程序来结束进程。 10. 使用远程管理工具,如远程桌面协议(RDP)或 PowerShell 远程管理,以远程方式结束进程。 11. 使用调试器工具,如 WinDbg 或 Visual Studio,附加到进程并使用调试器的终止命令结束进程。 12. 使用系统监控工具,如 Process Explorer 或 Task Manager,找到目标进程并使用工具提供的终止选项结束进程。 13. 使用系统安全软件,如防火墙或杀毒软件,设置规则以阻止或终止指定进程。 14. 使用 Windows Service 控制管理器(SCM)来停止特定服务,从而结束关联的进程。 15. 使用 C++ 的 `CreateProcess` 函数创建一个新进程,并在该进程中执命令来结束目标进程。 16. 使用 `tasklist` 命令工具通过调用 `popen` 函数执命令,并解析输出以获取进程信息,然后使用 `taskkill` 命令终止进程。 17. 使用 C++ 文件操作函数打开进程相关的文件,如 `\\.\pipe\` 或 `\\.\mailslot\`,并发送指令来结束进程。 18. 使用 C++ 的网络编程库,如 Winsock 或 Boost.Asio,连接到目标进程的网络端口,并发送终止命令来结束进程。 19. 使用 C++ 的多线程编程,在一个线程中循环检查进程状态,并在满足条件时使用 `TerminateProcess` 函数终止进程。 20. 使用 C++ 的 Windows Hook 技术,监测进程的创建和退出事件,并在目标进程创建时注入 DLL 并终止进程。 这些思路提供了不同的方式来在 Windows 上结束进程。请注意,在实际使用中要遵循法律法规,并确保有足够的权限来执这些操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

橙子砰砰枪

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值