通过进程ID得到进程名

最新推荐文章于 2024-08-10 16:34:42 发布
最新推荐文章于 2024-08-10 16:34:42 发布
阅读量1.7k 收藏
点赞数
分类专栏: 驱动开发学习

在内核中,通过进程ID,得到进程名称,有多种方法。

我使用了两种方法,第一种是使用ZwOpeProcess得到句柄

然后ObReferenceObjectByHandle函数得到PEPROCESS结构,然后

char *ProcessName = (char*)EProcess + 0x174;

第二种方法是得到PEPROCESS结构之后,使用PsGetProcessImageFileName函数得到进程名。

 

具体代码如下:

[cpp]  view plain  copy
  1. #include<ntddk.h>  
  2. #include<wdm.h>  
  3.   
  4. UCHAR* PsGetProcessImageFileName(PEPROCESS Process);  
  5.   
  6. NTSTATUS Unload(IN PDRIVER_OBJECT  DriverObject)  
  7. {  
  8.     DbgPrint("驱动已经卸载/n");     
  9. }   
  10.   
  11. void GetProcessName(ULONG dwPid)  
  12. {  
  13.     HANDLE ProcessHandle;  
  14.     NTSTATUS status;  
  15.     OBJECT_ATTRIBUTES  ObjectAttributes;  
  16.     CLIENT_ID myCid;  
  17.     PEPROCESS EProcess;  
  18.   
  19.     InitializeObjectAttributes(&ObjectAttributes,0,0,0,0);   
  20.   
  21.     myCid.UniqueProcess = (HANDLE)dwPid;  
  22.     myCid.UniqueThread = 0;  
  23.   
  24.     //打开进程,获取句柄  
  25.     status = ZwOpenProcess (&ProcessHandle,PROCESS_ALL_ACCESS,&ObjectAttributes,&myCid);  
  26.     if (!NT_SUCCESS(status))  
  27.     {  
  28.         DbgPrint("打开进程出错/n");  
  29.         return;  
  30.     }  
  31.       
  32.     //得到EPROCESS,结构中取进程名  
  33.     status = ObReferenceObjectByHandle(ProcessHandle,FILE_READ_DATA,0,KernelMode,&EProcess, 0);  
  34.     if (status == STATUS_SUCCESS)  
  35.     {  
  36.         char *ProcessName = (char*)EProcess + 0x174;  
  37.         char *PsName = PsGetProcessImageFileName(EProcess);  
  38.   
  39.         DbgPrint("ProcessName is %s/n",ProcessName);  
  40.         DbgPrint("PsName is %s/n",PsName);  
  41.   
  42.         ZwClose(ProcessHandle);  
  43.     }  
  44.     else  
  45.     {  
  46.         DbgPrint("Get ProcessName error");  
  47.     }  
  48. }  
  49.   
  50. NTSTATUS   
  51.   DriverEntry(  
  52.     IN PDRIVER_OBJECT  DriverObject,  
  53.     IN PUNICODE_STRING  RegistryPath  
  54.     )  
  55. {  
  56.     DbgPrint("驱动已经加载了/n");  
  57.     GetProcessName(2044);  
  58.     DriverObject->DriverUnload = Unload;   
  59.     return STATUS_SUCCESS;  
  60. }  

cosmoslife
关注
专栏目录
VC进程ID获得主窗口句柄获得进程
12-03
VC获得进程ID获得主线程ID获得窗口句柄获得主窗口获得进程 1.窗口类 窗口句柄 窗口标题 窗口句柄 HWND FindWindow( LPCTSTR lpClassName, //窗口类 可用 VC或者VS自带的Spy++查看 LPCTSTR lpWindowName //窗口标题 ); 举例: 以 记事本为例, 记事本 窗口类 为:NotePad, 窗口标题 视按具体情况而定,假设为"新建 文本文档.txt - 记事本" 窗口类 窗口句柄 TCHAR lpClassName[]=TEXT("NotePad"); HWND hWnd=::FindWindow(lpClassName,NULL); if(hWnd && IsWindow(hWnd)) ::ShowWindow(hWnd,SW_HIDE); 窗口标题 窗口句柄 TCHAR lpWindowName[]=TEXT("新建 文本文档.txt - 记事本"); HWND hWnd=::FindWindow(NULL,lpWindowName); if(hWnd && IsWindow(hWnd)) ::ShowWindow(hWnd,SW_HIDE); 2.窗口句柄 进程ID 窗口句柄 主线程ID 要使用到的函数: DWORD GetWindowThreadProcessId( HWND hWnd, //目标窗口句柄 LPDWORD lpdwProcessId //返回目标窗口对应进程ID ); 例子: DWORD dwProcId=0;//存放返回的进程ID DWORD dwThreadId=0;//存放返回的主线程ID HWND hWnd=XXXX;//这里省略,可能用任务方式得到一个窗口的句柄.比如用1中的方法. dwThreadId=GetWindowThreadProcessId(hWnd,&dwProcId);//同时得到进程ID和主线程ID. 3.窗口HAND CWnd 用CWnd::FromHandle(HWND hWnd)函数.很多类都有这个函数. 4.进程 进程ID (注:进程,即在"任务管理器"中看到的字) 用CCheckObject类(详细实现源文件); 例子: 以记事本为例,进程为 NOTEPAD.EXE (不一定是大写哦,得到任务管理器是显示而定); CCheckObject ch; TCHAR Name[]=TEXT("NOTEPAD.EXE"); DWORD dwProcId=ch.GetProcessId(Name); 5. 进程 主线程ID 例子: CCheckObject ch; TCHAR Name[]=TEXT("NOTEPAD.EXE"); DWORD dwThreadId=ch.GetThreadId(Name); 6. 进程 主窗口句柄 CCheckObject ch; TCHAR Name[]=TEXT("NOTEPAD.EXE"); HWND hWnd=ch.GetTargetWindowHanle(Name); 7. 其它说明 从CCheckObject类和上面的源码中,不难写出从 进程ID 主线程ID 进程ID 主窗口句柄 主线程ID--->主窗口句柄 等等其它类似转换. 对于主窗口,特点如下: A. 不能用进程ID,要用线程ID,因为一个进程可能有多个线程,每个线程都可能会有主窗口. B. 主窗口不会有WS_CHILD属性 C. 主窗口没有父窗口 D. 主窗口一般都有子窗口(这个不是一定的,但是具有普遍性)
Java如何获取当前进程ID以及所有Java进程进程ID
08-30
Java如何获取当前进程ID以及所有Java进程进程ID Java 获取当前进程ID是指在 Java 程序中获取当前进程ID 号码,而获取所有 Java 进程进程 ID 则是指获取所有当前正在运行的 Java 进程ID 号码。这些信息...
C++】根据进程获取进程ID
AAADiao的博客
07-06 2873
Windows下根据进程名称查找进程,若查到则返回PID,若未查到则返回-2;
如何通过进程ID获取进程
niujixiao的专栏
07-15 3267
含头文件:     #include   "tlhelp32.h"   CreateToolhelp32Snapshot函数为指定的进程进程使用的堆[HEAP]、模块[MODULE]、线程[THREAD])建立一个快照[snapshot]。   示例:     CString   strName = "***";    HANDLE   hProcessSnap=NULL;    PROCESSENTRY32   pe32={0};    hProcessSnap=CreateToolhelp32Snap
C++:如何获得当前进程对应的文件
最新发布
程序猿视角
08-10 388
C++中,直接获取当前进程对应的文件(即可执行文件的名称)并不是C++标准库直接提供的功能,因为C++标准主要关注于语言和编程的抽象层面,而不是操作系统层面的细节。不过,你可以使用特定于操作系统的API或方法来获取这一信息。
通过进程id获取用户
pureman_mega的博客
12-24 917
可以看到,User name这一栏里面,有NT AUTHORITY\SYSTEM,NT AUTHORITY\LOCAL SERVICE,HKS\1909等。不同的用户拥有不同的权限。下面的代码获取的用户与ProcessHacker的结果有一点不同。在一个样本中看到的:通过进程id获取对应的用户,来确定需要注入的目标进程。实际结果中SYSTEM对应的是HKS$(HKS是设备名称,后面跟着'$‘,来表示SYSTEM);其他的LOCAL SERVICE,1909是一样的。
根据进程ID获取进程
codehxy的专栏
03-01 6504
private static String processName() { // shell获取指定pid进程字 // ps | grep pid | awk '{print $9}' String processName=null; try { int pid = android.os.Process.myPid()
进程1:由进程ID获取进程
xh_xinhua的博客
09-07 814
#define SVP_RCHMI_PROCESS_NAME "rc_hmi" static pid_t process_pid = 1000; int main() { FILE *fp_handle; SVPChar buf[128] = {'\0'}; SVPChar cmd[128] = {'\0'}; SVPChar dest_path[1
易语言获取进程id的方法
08-26
易语言获取进程id的方法是指在易语言中通过编程来获取当前系统中某个进程进程标识符(Process ID)。在本文中,我们将介绍如何通过易语言来获取进程ID,整个过程不需要使用dll和模块,非常简单。 在易语言中,...
根据进程ID获取进程的用户
07-06
根据进程ID号,获取进程的用户,包括系统用户,系统登录这用户,LOCALSERVICE NETWORKSERVICE 都可以获取
C++搞的盗Q源码 根据进程ID得到进程名称
11-19
主要代码分析如下: //根据进程ID得到进程名称 BOOL processIdToName(LPTSTR lpszProcessName, DWORD PID) { HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); PROCESSENTRY32 pe;
通过进程id获取主窗口句柄及主窗口标题
09-01
通过进程id获取到所在进程的主窗口的句柄,及通过该主窗口句柄获取当前主窗口的标题,进程;这是一个demo例程,仅供参考
取窗口句柄+进程+进程ID
04-28
取指定标题窗口的句柄,进程进程ID 取指定标题窗口的句柄,进程进程ID 取指定标题窗口的句柄,进程进程ID 取指定标题窗口的句柄,进程进程ID 取指定标题窗口的句柄,进程进程ID
通过窗口句柄取得进程ID
06-01
进程ID`将得到进程ID。 在实际应用中,我们可能需要遍历系统中的所有窗口,找到目标窗口并获取进程ID。这可以通过枚举窗口并检查每个窗口的类或标题来实现。以下是一个简单的示例: ```e .窗口句柄 = 首个窗口...
获取进程ID.获取进程ID的代码 NtQueryInformationProces
03-20
在Windows操作系统中,获取一个进程的父进程ID是一项常见的任务,这在系统监控、调试或者安全分析中都可能用到。本主题将详细介绍如何通过NtQueryInformationProcess API来实现这个功能。 ...
通过进程ID获取进程
weixin_30632899的博客
10-18 292
uses TLhelp32 function GetProcessNameById(const AID: Integer): String; var h:thandle; f:boolean; lppe:tprocessentry32; begin Result := ''; h := CreateToolhelp32Snapsho...
Linux下获得进程id进程
热门推荐
bulreed的专栏
08-12 1万+
编程过程中,有的时候需要通过进程id得到进程字,或则通过进程字来得到id。通过shell可以很容易得到,这里通过代码来实现。 1. 通过进程得到进程id。 pid_t getProcessPidbyName(char *name) {     FIL
python通过进程获取进程id
03-14
在Python中,可以使用`psutil`库来获取进程的相关信息,包括通过进程获取进程ID。`psutil`是一个跨平台的库,可以用于获取系统信息和进程管理。 要通过进程获取进程ID,可以按照以下步骤进行操作: 1. 首先,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值