获取进程命令行之四

最新推荐文章于 2023-04-27 21:01:05 发布
最新推荐文章于 2023-04-27 21:01:05 发布
阅读量4.4k 收藏 1
点赞数
分类专栏: VB原创 文章标签: attributes function parameters string integer basic
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenhui530/article/details/2032177
版权
在此之前我已经写了3篇关于如何获取进程命令行的文章,并且都提供了完整源码,这次也不例外。 
由于博客上发表的文章都是在出差之间发布的有些文章没有详细的注释,只把代码贴了出来在这里请大家谅解。以后我会尽量把注释写上让大家更好的阅读我的文章和代码。这次由于项目接近尾声有了点时间就把怎么“获取进程命令行之四”这篇文章的原理给大家说说。 
其实几篇文章的原理都很简单,有的都是通过进程环境块PEB来获取进程命令路径的。我们可以通过下面结构可以看出来 

一: 
lkd >    dt   _PEB 
ntdll!_PEB 
       + 0x000   InheritedAddressSpace   :   UChar 
       + 0x001   ReadImageFileExecOptions   :   UChar 
       + 0x002   BeingDebugged         :   UChar 
       + 0x003   SpareBool                 :   UChar 
       + 0x004   Mutant                       :   Ptr32   Void 
       + 0x008   ImageBaseAddress   :   Ptr32   Void 
       + 0x00c   Ldr                             :   Ptr32   _PEB_LDR_DATA    ' 前面有几篇文章我们是通过这个结构来获取进程命令行路径的 
       + 0x010   ProcessParameters   :   Ptr32   _RTL_USER_PROCESS_PARAMETERS    ' 今天我们通过此结构获取进程命令行 
       + 0x014   SubSystemData         :   Ptr32   Void 
       + 0x018   ProcessHeap             :   Ptr32   Void 
       + 0x01c   FastPebLock             :   Ptr32   _RTL_CRITICAL_SECTION 
       + 0x020   FastPebLockRoutine   :   Ptr32   Void 
       + 0x024   FastPebUnlockRoutine   :   Ptr32   Void 
       + 0x028   EnvironmentUpdateCount   :   Uint4B 
       + 0x02c   KernelCallbackTable   :   Ptr32   Void 
       + 0x030   SystemReserved       :   [ 1 ]   Uint4B 
       + 0x034   AtlThunkSListPtr32   :   Uint4B 
       + 0x038   FreeList                   :   Ptr32   _PEB_FREE_BLOCK 
       + 0x03c   TlsExpansionCounter   :   Uint4B 
       + 0x040   TlsBitmap                 :   Ptr32   Void 
       + 0x044   TlsBitmapBits         :   [ 2 ]   Uint4B 
       + 0x04c   ReadOnlySharedMemoryBase   :   Ptr32   Void 
       + 0x050   ReadOnlySharedMemoryHeap   :   Ptr32   Void 
       + 0x054   ReadOnlyStaticServerData   :   Ptr32   Ptr32   Void 
       + 0x058   AnsiCodePageData   :   Ptr32   Void 
       + 0x05c   OemCodePageData     :   Ptr32   Void 
       + 0x060   UnicodeCaseTableData   :   Ptr32   Void 
       + 0x064   NumberOfProcessors   :   Uint4B 
       + 0x068   NtGlobalFlag           :   Uint4B 
       + 0x070   CriticalSectionTimeout   :   _LARGE_INTEGER 
       + 0x078   HeapSegmentReserve   :   Uint4B 
       + 0x07c   HeapSegmentCommit   :   Uint4B 
       + 0x080   HeapDeCommitTotalFreeThreshold   :   Uint4B 
       + 0x084   HeapDeCommitFreeBlockThreshold   :   Uint4B 
       + 0x088   NumberOfHeaps         :   Uint4B 
       + 0x08c   MaximumNumberOfHeaps   :   Uint4B 
       + 0x090   ProcessHeaps           :   Ptr32   Ptr32   Void 
       + 0x094   GdiSharedHandleTable   :   Ptr32   Void 
       + 0x098   ProcessStarterHelper   :   Ptr32   Void 
       + 0x09c   GdiDCAttributeList   :   Uint4B 
       + 0x0a0   LoaderLock               :   Ptr32   Void 
       + 0x0a4   OSMajorVersion       :   Uint4B 
       + 0x0a8   OSMinorVersion       :   Uint4B 
       + 0x0ac   OSBuildNumber         :   Uint2B 
       + 0x0ae   OSCSDVersion           :   Uint2B 
       + 0x0b0   OSPlatformId           :   Uint4B 
       + 0x0b4   ImageSubsystem       :   Uint4B 
       + 0x0b8   ImageSubsystemMajorVersion   :   Uint4B 
       + 0x0bc   ImageSubsystemMinorVersion   :   Uint4B 
       + 0x0c0   ImageProcessAffinityMask   :   Uint4B 
       + 0x0c4   GdiHandleBuffer     :   [ 34 ]   Uint4B 
       + 0x14c   PostProcessInitRoutine   :   Ptr32           void   
       + 0x150   TlsExpansionBitmap   :   Ptr32   Void 
       + 0x154   TlsExpansionBitmapBits   :   [ 32 ]   Uint4B 
       + 0x1d4   SessionId                 :   Uint4B 
       + 0x1d8   AppCompatFlags       :   _ULARGE_INTEGER 
       + 0x1e0   AppCompatFlagsUser   :   _ULARGE_INTEGER 
       + 0x1e8   pShimData                 :   Ptr32   Void 
       + 0x1ec   AppCompatInfo         :   Ptr32   Void 
       + 0x1f0   CSDVersion               :   _UNICODE_STRING 
       + 0x1f8   ActivationContextData   :   Ptr32   Void 
       + 0x1fc   ProcessAssemblyStorageMap   :   Ptr32   Void 
       + 0x200   SystemDefaultActivationContextData   :   Ptr32   Void 
       + 0x204   SystemAssemblyStorageMap   :   Ptr32   Void 
       + 0x208   MinimumStackCommit   :   Uint4B 
二: 
lkd >    dt   _PEB_LDR_DATA 
ntdll!_PEB_LDR_DATA 
       + 0x000   Length                       :   Uint4B 
       + 0x004   Initialized             :   UChar 
       + 0x008   SsHandle                   :   Ptr32   Void 
       + 0x00c   InLoadOrderModuleList   :   _LIST_ENTRY    -- 通过这过链表获取路径 
       + 0x014   InMemoryOrderModuleList   :   _LIST_ENTRY 
       + 0x01c   InInitializationOrderModuleList   :   _LIST_ENTRY 
       + 0x024   EntryInProgress     :   Ptr32   Void 
三: 
lkd >    dt   _RTL_USER_PROCESS_PARAMETERS 
ntdll!_RTL_USER_PROCESS_PARAMETERS 
       + 0x000   MaximumLength         :   Uint4B 
       + 0x004   Length                       :   Uint4B 
       + 0x008   Flags                         :   Uint4B 
       + 0x00c   DebugFlags               :   Uint4B 
       + 0x010   ConsoleHandle         :   Ptr32   Void 
       + 0x014   ConsoleFlags           :   Uint4B 
       + 0x018   StandardInput         :   Ptr32   Void 
       + 0x01c   StandardOutput       :   Ptr32   Void 
       + 0x020   StandardError         :   Ptr32   Void 
       + 0x024   CurrentDirectory   :   _CURDIR   
       + 0x030   DllPath                     :   _UNICODE_STRING 
       + 0x038   ImagePathName         :   _UNICODE_STRING 
       + 0x040   CommandLine             :   _UNICODE_STRING      -- 从这里获取进程命令行路径,位置在0x44上 
       + 0x048   Environment             :   Ptr32   Void 
       + 0x04c   StartingX                 :   Uint4B 
       + 0x050   StartingY                 :   Uint4B 
       + 0x054   CountX                       :   Uint4B 
       + 0x058   CountY                       :   Uint4B 
       + 0x05c   CountCharsX             :   Uint4B 
       + 0x060   CountCharsY             :   Uint4B 
       + 0x064   FillAttribute         :   Uint4B 
       + 0x068   WindowFlags             :   Uint4B 
       + 0x06c   ShowWindowFlags     :   Uint4B 
       + 0x070   WindowTitle             :   _UNICODE_STRING 
       + 0x078   DesktopInfo             :   _UNICODE_STRING 
       + 0x080   ShellInfo                 :   _UNICODE_STRING 
       + 0x088   RuntimeData             :   _UNICODE_STRING 
       + 0x090   CurrentDirectores   :   [ 32 ]   _RTL_DRIVE_LETTER_CURDIR 

好了既然原理知道了那就请看下面完整代码吧!! 

 Option     Explicit  

 Private    Type   CLIENT_ID 
        UniqueProcess    As     Long  
        UniqueThread      As     Long  
 End    Type 

 Private     Const    SYNCHRONIZE    As     Long     =     & H100000 
 Private     Const    STANDARD_RIGHTS_REQUIRED    As     Long     =     & HF0000 
 Private     Const    PROCESS_VM_READ    =     & H10 
 Private     Const    PROCESS_QUERY_INFORMATION    As     Long     =    ( & H400) 
 Private    Declare    Function    NtQueryInformationProcess   Lib    " ntdll.dll "    (ByVal   ProcessHandle    As     Long ,   _ 
                                                                ByVal   ProcessInformationClass    As    PROCESSINFOCLASS,   _ 
                                                                ByVal   ProcessInformation    As     Long ,   _ 
                                                                ByVal   ProcessInformationLength    As     Long ,   _ 
                                                                ByRef   ReturnLength    As     Long )    As     Long  
Private    Enum   PROCESSINFOCLASS 
        ProcessBasicInformation    =     0  
        ProcessQuotaLimits 
        ProcessIoCounters 
        ProcessVmCounters 
        ProcessTimes 
        ProcessBasePriority 
        ProcessRaisePriority 
        ProcessDebugPort 
        ProcessExceptionPort 
        ProcessAccessToken 
        ProcessLdtInformation 
        ProcessLdtSize 
        ProcessDefaultHardErrorMode 
        ProcessIoPortHandlers 
        ProcessPooledUsageAndLimits 
        ProcessWorkingSetWatch 
        ProcessUserModeIOPL 
        ProcessEnableAlignmentFaultFixup 
        ProcessPriorityClass 
        ProcessWx86Information 
        ProcessHandleCount 
        ProcessAffinityMask 
        ProcessPriorityBoost 
        ProcessDeviceMap 
        ProcessSessionInformation 
        ProcessForegroundInformation 
        ProcessWow64Information 
        ProcessImageFileName 
        ProcessLUIDDeviceMapsEnabled 
        ProcessBreakOnTermination 
        ProcessDebugObjectHandle 
        ProcessDebugFlags 
        ProcessHandleTracing 
        ProcessIoPriority 
        ProcessExecuteFlags 
        ProcessResourceManagement 
        ProcessCookie 
        ProcessImageInformation 
        MaxProcessInfoClass 
 End    Enum 

 Private    Type   PROCESS_BASIC_INFORMATION 
        ExitStatus    As     Long     ' NTSTATUS 
        PebBaseAddress    As     Long     ' PPEB 
        AffinityMask    As     Long     ' ULONG_PTR 
        BasePriority    As     Long     ' KPRIORITY 
        UniqueProcessId    As     Long     ' ULONG_PTR 
        InheritedFromUniqueProcessId    As     Long     ' ULONG_PTR 
End    Type 

 Private    Declare    Function    NtOpenProcess   Lib    " ntdll.dll "    (ByRef   ProcessHandle    As     Long ,   _ 
                                                                ByVal   AccessMask    As     Long ,   _ 
                                                                ByRef   ObjectAttributes    As    OBJECT_ATTRIBUTES,   _ 
                                                                ByRef   ClientID    As    CLIENT_ID)    As     Long  

 Private    Type   OBJECT_ATTRIBUTES 
        Length    As     Long  
        RootDirectory    As     Long  
        ObjectName    As     Long  
        Attributes    As     Long  
        SecurityDescriptor    As     Long  
        SecurityQualityOfService    As     Long  
 End    Type 


 Private    Declare    Sub    CopyMemory   Lib    " kernel32.dll "    Alias    " RtlMoveMemory "    (ByRef   Destination    As    Any,   _ 
                                                                            ByRef   Source    As    Any,   _ 
                                                                            ByVal   Length    As     Long
                                                                            
 Private    Declare    Function    CloseHandle   Lib    " kernel32 "    (ByVal   hObject    As     Long )    As     Long  

 Private    Declare    Function    ReadProcessMemory   Lib    " kernel32 "    (ByVal   hProcess    As     Long ,   lpBaseAddress    As    Any,   lpBuffer    As    Any,   ByVal   nSize    As     Long ,   lpNumberOfBytesWritten    As     Long )    As     Long  

 ' 判断Nt系列函数调用是否成功 
Private     Function    NT_SUCCESS(ByVal   nStatus    As     Long )    As     Boolean  
        NT_SUCCESS    =    (nStatus    >   =     0
End     Function  

 ' 获取进程命令行 
Public     Function    GetProcessCommandLine(ByVal   dwProcessId    As     Long )    As     String  
         Dim    ntStatus    As     Long  
         Dim    objBasic    As    PROCESS_BASIC_INFORMATION 
         Dim    objFlink    As     Long  
         Dim    objPEB    As     Long ,   objLdr    As     Long  
         Dim    objBaseAddress    As     Long  
         Dim    bytName( 260     *     2     -     1 )    As     Byte  
         Dim    strModuleName    As     String ,   objName    As     Long  
         Dim    objCid    As    CLIENT_ID 
         Dim    objOa    As    OBJECT_ATTRIBUTES 
         Dim    hProcess    As     Long  
        objOa.Length    =     Len (objOa) 
        objCid.UniqueProcess    =    dwProcessId 
        ntStatus    =    NtOpenProcess(hProcess,   PROCESS_QUERY_INFORMATION    Or    PROCESS_VM_READ,   objOa,   objCid) 
         If    hProcess    =     0     Then  
                GetProcessCommandLine    =     ""  
                 Exit     Function  
         End     If  
         Dim    lngRet    As     Long ,   lngReturn    As     Long  
        ntStatus    =    NtQueryInformationProcess(hProcess,   ProcessBasicInformation,   VarPtr(objBasic),    Len (objBasic),   ByVal    0 &
         If    (NT_SUCCESS(ntStatus))    Then  
                 ' 获取PEB指针 
                objPEB    =    objBasic.PebBaseAddress 
                 ' 获取_RTL_USER_PROCESS_PARAMETERS结构指针 
                lngRet    =    ReadProcessMemory(hProcess,   ByVal   objPEB    +     & H10,   objLdr,    4 ,   ByVal    0 &
                 If    lngRet    <>     1     Then     Exit     Function  
                 ' 获取路径指针 
                lngRet    =    ReadProcessMemory(hProcess,   ByVal   objLdr    +     & H44,   objName,    4 ,   ByVal    0 &
                 If    lngRet    <>     1     Then     Exit     Function  
                 ' 获取路径 
                lngRet    =    ReadProcessMemory(hProcess,   ByVal   objName,   bytName( 0 ),    260     *     2 ,   ByVal    0 &
                 If    lngRet    <>     1     Then     Exit     Function  
                strModuleName    =    bytName 
                 If     InStr (strModuleName,    " "" " )    =     0     Then  
                        strModuleName    =     Mid (strModuleName,    InStr (strModuleName,    Chr ( 0 ))    +     1 ,    Len (strModuleName)    -     InStr (strModuleName,    Chr ( 0 ))) 
                        strModuleName    =    SetPath(strModuleName) 
                 Else  
                        strModuleName    =     Mid (strModuleName,    InStr (strModuleName,    " "" " ),    Len (strModuleName)    -     InStr (strModuleName,    " "" " )) 
                 End     If  
                strModuleName    =     Left (strModuleName    &     Chr ( 0 ),    InStr (strModuleName    &     Chr ( 0 ),    Chr ( 0 ))    -     1
                GetProcessCommandLine    =    strModuleName 
         End     If  
        CloseHandle   hProcess 
 End     Function  
 
chenhui530
关注
专栏目录
windows核心编程-如何获取进程命令行信息
qq_22423659的博客
11-28 4578
如何获取其他进程命令行信息 每一个进程都有一个PEB数据块(PEB:Process Environment Block),这个进程环境块信息(如下结构体), 每个PEB中有_RTL_USER_PROCESS_PARAMETERS   结构体,是一个指针,指向一个结构体,这个结构体里面有一个CommandLine 命令行参数。所以要获得其他进程命令行参数CommandLine,首先要获得其他
c# 获取进程相关信息(命令行、32/64位、位置等)
10-05
获取进程相关信息(命令行、32/64位、位置、友好名称)
获取进程命令行.e
05-16
获取进程的启动参数 和进程信息 含有源码 和一个已编译文件 易语言
windows程序如何获取进程命令行
ztstupid的专栏
07-24 1286
// 获得命令行 PTSTR pCmdLine = GetCommandLine(); // 解析命令行并返回,其中iNumArgs存储命令行的实参数目 int iNumArgs; PWSTR *pstr = CommandLineToArgvW(pCmdLine, &iNumArgs); // pCmdLine:in iNumArgs:out // 遍历解析后的命令行 CStr
Windows编程-获取其他进程命令行信息
NINE_world的博客
10-04 1280
#include <iostream> #include <windows.h> #include <tchar.h> #include <winternl.h> //如何获得其他进程命令行信息? /* * 每一个进程里面都对应一个环境变量快PEB * 如果想要获得其他进程命令行信息,首先就要获得其他进程的PEB结构体 * * 如何获得其他进程的PEB结构体信息? * NtQueryinformationProcess 函数 * 第一个参数是进
获取进程命令行之一
chenhui530的专栏
12-10 2377
Private Type CLIENT_ID    UniqueProcess As Long    UniqueThread  As LongEnd TypePrivate Const SYNCHRONIZE As Long = &H100000Private Const STANDARD_RIGHTS_REQUIRED As Long = &HF0000Private Declar
查看获得进程对应的命令行(参数们)
04-05
获得进程对应的命令行(参数们)
获取进程命令行(3法)的软件源码
04-09
在IT领域,获取进程命令行参数是常见的需求,特别是在系统监控、调试或者安全分析中。本文将详细解析三种方法来实现这一功能,并提供VB(Visual Basic)语言的源码示例。 方法一:使用Windows API函数 Windows操作...
获取进程命令行参数
wr960204(武稀松)的专栏
04-16 3244
type  UNICODE_STRING = packed record    Length: Word;    MaximumLength: Word;    Buffer: PWideChar;  end;  PUNICODE_STRING = UNICODE_STRING;type  PROCESS_PARAMETERS = packed record    AllocationSize:
取得某进程命令行
yanhuaju9的专栏
06-19 565
 ***************************************************************************模 块 名:ModGetRemoteCmdLine**说    明:取得某进程命令行**创 建 人:马大哈 http://www.m5home.com/**日    期:2007年6月19日**版    本:V1.0********
获取所有进程命令行和文件全路径
11-29
可以获取到所有进程命令行和可执行文件全路径
获取其他进程启动(命令行)参数
11-03
获取其他进程启动(命令行)参数 需要安装.net2.0才能使用
Cmd 获取进程命令行
记事本
01-31 4356
cmd 输入 下列命令 Chrome.exe为进程名 wmic process where caption="Chrome.exe" get caption,commandline /value
查看进程的命令
2302_76775707的博客
04-27 658
通常会全屏显示,而且会随着进程状态的变化不断更新整个系统的信息也会显示,为查找问题提供了便利可以显示系统总共有多少CPU和内存资源以及负载平衡等信息(q键退出)将所有行程以树状图显示,树状图将会以pid(如果有指定)或是以init这个基本进程为根,如果有指定使用者id,则树状图会只显示该使用者所拥有的进程。kill命令向指定的进程发出一个信号signal,在默认情况下,kill命令向指定进程发出信号15,正常情下,将杀死那些不捕捉或不忽略这个信号的进程。语法:ps [options]
cmd方式获取进程启动命令行commandline
baidu_38621657的博客
02-11 2981
1.问题 一些场景下需要获取进程的详细信息,如命令行commandline等,该怎么操作? 2.方案 使用wmic获取 服务显示名 为 "notepad.exe" 的caption、commandline信息, wmic process where caption="notepad.exe" get caption,commandline /value 显示详细信息也可以这样, process where name="notepad.exe" list full 大家可能有疑问了.
如何获取进程命令的详细信息
myths_0的专栏
08-22 2424
由于一些命令参数太多太长,所以ps -ef也无法显示的Command,如: # ps -ef   PID  Uid        VSZ Stat Command     1 root       1784 SW  init            2 root            SW     3 root            SW     4 root            SW
如何获取进程
专注Java(全栈)应用开发,求知若渴,虚心若愚,talk is cheap, show me the code.
10-13 596
Activiti工作流引擎使用详解(一)目录概 述相关工具如下:分析:小结:参考资料和推荐阅读 LD is tigger forever,CG are not brothers forever, throw the pot and shine forever. Modesty is not false, solid is not naive, treacherous but not deceitful, stay with good people, and stay away from poor peo
获取进程命令行之二
chenhui530的专栏
12-10 1900
Option ExplicitPrivate Type CLIENT_ID    UniqueProcess As Long    UniqueThread  As LongEnd TypePrivate Const SYNCHRONIZE As Long = &H100000Private Const STANDARD_RIGHTS_REQUIRED As Long = &HF000
2021-09-07快速获取进程ID的命令-宽窄表
09-08 220
宽表和窄表 简单快速获取进程ID的命令 pgrep -f processname pkill -f processname #杀掉进程 [dolphinscheduler@host1 ~]$ jps 1705 Jps 1692 AlertServer [dolphinscheduler@host1 ~]$ [dolphinscheduler@host1 ~]$ ps -ef|grep AlertServer dolphin+ 1692 1 62 10:31 pts/1 00:00:09
c++ 获取进程命令行
最新发布
09-02
您可以使用Windows API函数`GetCommandLine`来获取当前进程命令行参数。以下是一个简单的示例代码: ```c #include #include int main() { LPWSTR commandLine = GetCommandLineW(); wprintf(L"Command line...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值