Windows编程-获取其他进程的命令行信息

最新推荐文章于 2024-04-18 15:24:36 发布
最新推荐文章于 2024-04-18 15:24:36 发布
阅读量1k 收藏 6
点赞数 1
分类专栏: Windows 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NINE_world/article/details/120602239
版权 
#include <iostream>
#include <windows.h>
#include <tchar.h>
#include <winternl.h>
//如何获得其他进程的命令行信息?
/*
 * 每一个进程里面都对应一个环境变量快PEB
 * 如果想要获得其他进程的命令行信息,首先就要获得其他进程的PEB结构体
 *
 * 如何获得其他进程的PEB结构体信息?
 * NtQueryinformationProcess 函数
 * 第一个参数是进程句柄
 * 第二个参数是ProcessBasicInfomation结构体->查文档
 * 第三个PROCESS_BASIC_INFOMATION
 * 第四个前面结构体的大小
 * 第五个是返回值的大小
 *
 * 这个函数有点危险,以后可能会被杀掉
 * 要先拿到别的进程的句柄
 */

//由于直接使用NtQueryInformationProcess函数会报错未定义,所以手动装入dll,官方查询这个函数在Ntdll.dll库里

//定义一个函数指针
typedef NTSTATUS (WINAPI *QT)(HANDLE, PROCESSINFOCLASS, PVOID, ULONG, PULONG);
using namespace std;
int main(int argc, char* argv[])
{
    HMODULE hModule = 0;
    hModule = LoadLibrary(L"Ntdll.dll");
    QT NtQuery;
    if(hModule)
    {
        NtQuery = (QT)GetProcAddress(hModule, "NtQueryInformationProcess");
    }


    PROCESS_BASIC_INFORMATION pi;
    memset(&pi, 0, sizeof(pi));
    NTSTATUS re = NtQuery(OpenProcess(PROCESS_ALL_ACCESS, FALSE, 17720),
                              ProcessBasicInformation,/*还必须用这个,不能用0*/
                              &pi,
                              sizeof (pi),
                              NULL);
    /*
     * 在pi中,pi.PedBaseAddress指向PEB,那么这个指针指向的地址,是哪个地址?
     * 是17720进程中的地址
     * 17720 是我自己找的进程ID
     */
    if(NT_SUCCESS(re))
    {
        wcout << "OK" << endl;
    }

    //拿到地址开始读内存
    HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, 17720);
    PEB peb;
    RTL_USER_PROCESS_PARAMETERS para;
    ReadProcessMemory(hProcess, pi.PebBaseAddress, &peb, sizeof (PEB), NULL);
    ReadProcessMemory(hProcess, peb.ProcessParameters, &para, sizeof (para), NULL);
    TCHAR CommandLine[1024];
    ReadProcessMemory(hProcess, para.CommandLine.Buffer, CommandLine, 1024*2, NULL);

    MessageBox(NULL, CommandLine, L"OK", MB_OK);//windows编程下的通知栏,防止黑窗口不能完全显示汉字
    wcout << CommandLine << endl;
    CloseHandle(hProcess);
    FreeLibrary(hModule);
    return 0;
}
橙子砰砰枪
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
windows核心编程-如何获取进程命令行信息
qq_22423659的博客
11-28 4449
如何获取其他进程命令行信息 每一个进程都有一个PEB数据块(PEB:Process Environment Block),这个进程环境块信息(如下结构体), 每个PEB中有_RTL_USER_PROCESS_PARAMETERS   结构体,是一个指针,指向一个结构体,这个结构体里面有一个CommandLine 命令行参数。所以要获得其他进程命令行参数CommandLine,首先要获得其他
获取进程命令行之四
chenhui530的专栏
01-09 4369
在此之前我已经写了3篇关于如何获取进程命令行的文章,并且都提供了完整源码,这次也不例外。 由于博客上发表的文章都是在出差之间发布的有些文章没有详细的注释,只把代码贴了出来在这里请大家谅解。以后我会尽量把注释写上让大家更好的阅读我的文章和代码。这次由于项目接近尾声有了点时间就把怎么“获取进程命令行之四”这篇文章的原理给大家说说。 其实几篇文章的原理都很简单,有的都是通过进程环境块PEB获取进程
QT实现获取进程信息
luoshiyong123的博客
10-21 5965
主要是通过QProcess实现cmd命令tasklist,然后再将得到的信息写到表上,但是表中英文显示居然会乱码,也是醉了 QProcess ps1; ps1.start("tasklist.exe"); if(ps1.waitForFinished()) { QByteArray result = ps1.readAll(); QS...
获得目标进程PEB,并获得进程各种信息
weixin_33762130的博客
02-14 1045
本程序可完美获得x64和x86程序PEB,及环境变量等信息。 程序首先用OpenProcess打开目标进程,然后用Ntddl.dll导入表中微软未公开函数NtWow64QueryInformationProcess64(NtQueryInformationProcess)、NtWow64ReadVirtualMemory64(ReadProcessMemory)来获得目标进程信息。 // En...
64位进程获取32位进程PEB
SHELLCODE_8BIT的博客
04-20 916
c++ - Get 32bit PEB of another process from a x64 process - Stack Overflow
NtQueryInformationProcess用法
热门推荐
yiyefangzhou24的专栏
03-12 2万+
<br />      从所周知,在Windows NT/2000系统的API黑洞之一便是NTDLL.DLL,此DLL包含了许多未公开的API函数。本文将列举一、二,并以如何获取任何指定进程的父进程ID为例作为示范。<br />   NTDLL.DLL中有一个函数叫NtQueryInformationProcess,用它可以将指定类型的进程信息拷贝到某个缓冲。其原型如下:<br />NTSYSAPI<br />NTSTATUS<br />NTAPI<br />NtQueryInformationProces
查看获得进程对应的命令行(参数们)
04-05
获得进程对应的命令行(参数们)
获取进程基址小技巧(傀儡进程
Sven的忘却日记
07-29 1923
创建傀儡进程时,一般需要以挂起模式创建进程,然后调用未导出NT函数NtQueryInformationProcess获取目标进程PEB地址,拿到PEB地址后,再通过ReadProcessMemory获取目标进程PEB数据,最后NtUnMapViewOfSection,传入PEB结构中的ImageBaseAddress来卸载目标进程的内存。 其实可以直接通过GetThreadContext这个...
C++ 修改指定进程 PEB 中路径和命令行信息实现进程伪装
LYSM
06-24 2424
背景 所谓的进程伪装,指的修改任意一个指定进程信息,是它的信息在系统中的显示是另一个进程信息,这样看来,指定的进程就像是被伪装的进程一样,因为进程信息相同,但实际上,它还是原来的进程,做着原来的进程操作。 函数介绍 NtQueryInformationProcess NTSTATUS WINAPI NtQueryInformationProcess( _In_ HANDLE ProcessHandle, // 要获取信息进程的句柄。
精通Windows.API-函数、接口、编程实例.pdf
01-27
6.2.1 创建进程获取进程相关信息获取启动参数 153 6.2.2 编写控制台程序和图形用户界面应用程序 158 6.2.3 获取和设置环境变量 158 6.3 线程、纤程 162 6.3.1 创建线程、退出线程、获取线程信息 162 ...
精通windows server 2008 命令行与powershell 电子书PDF单文件完整版
09-08
精通windows server 2008 命令行与powershell 电子书PDF单文件完整版 内容简介: 本书全面地介绍了Windows Server 2008命令行、PowerShell和脚本的使用,包括文件和文件夹的管理、磁盘管理、系统管理、活动目录...
windows驱动开发技术详解-part2
07-06
 5.1.4 Windows驱动程序和进程的关系  5.1.5 分页与非分页内存  5.1.6 分配内核内存  5.2 在驱动中使用链表  5.2.1 链表结构  5.2.2 链表初始化  5.2.3 从首部插入链表  5.2.4 从尾部插入链表  ...
Windows驱动开发技术详解的光盘-part1
07-06
 5.1.4 Windows驱动程序和进程的关系  5.1.5 分页与非分页内存  5.1.6 分配内核内存  5.2 在驱动中使用链表  5.2.1 链表结构  5.2.2 链表初始化  5.2.3 从首部插入链表  5.2.4 从尾部插入链表  ...
JAVA 集合框架(二) List集合详解和常用方法
云恒要逆袭的博客
04-18 369
获取指定元素在列表中最后一次出现的索引,如果列表中不包含该元素则返回-1。// 创建一个 List 集合// 获取"Banana"在集合中最后一次出现的索引// 若集合中不含"Banana",则输出-1// 输出:5。
stream流
qq_40603125的博客
04-11 640
lambdastream数组集合简洁可读性。
Java将List平均分成多少份或者按照指定大小进行分割
最新发布
weixin_44953227的博客
04-18 207
Java将List平均分成多少份或者按照指定大小进行分割 此方法其实就是将一个列表按照指定份数或者指定大小对数据列表进行分割,如果不能整除则会将剩余的放到最后一个数组。
酒店管理系统
weixin_43654123的博客
04-18 311
基于springboot+vue前后端分离的酒店管理系统
【做算法学数据结构】【链表】删除排序链表中的重复元素
yh4494的博客
04-18 388
当涉及到数据结构时,链表是一种常见且重要的数据结构。链表由一系列节点组成,每个节点包含数据和指向下一个节点的引用。相比于数组,链表的大小可以动态地增长或缩小,因为每个节点只需要存储自己的数据和指向下一个节点的引用。
列举20种c++结束windows上的进程的思路
07-10
6. 使用 WMI(Windows Management Instrumentation)接口来获取进程信息,并使用 `Terminate` 方法终止进程。 7. 使用 PowerShell 脚本编写一个 C++ 程序来结束进程。 8. 使用系统注册表编辑器或命令行工具修改...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

橙子砰砰枪

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值