windows核心编程-如何获取进程命令行信息

最新推荐文章于 2024-08-21 15:07:14 发布
最新推荐文章于 2024-08-21 15:07:14 发布
阅读量4.6k 收藏 6
点赞数 2
分类专栏: windows核心编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22423659/article/details/53373498
版权
本文介绍了如何在Windows操作系统中通过PEB(Process Environment Block)结构体获取其他进程的命令行信息,涉及到_RTL_USER_PROCESS_PARAMETERS结构体和 CommandLine 字段。
摘要由CSDN通过智能技术生成

如何获取其他进程命令行信息

每一个进程都有一个PEB数据块(PEB:Process Environment Block),这个进程环境块信息(如下结构体),

每个PEB中有_RTL_USER_PROCESS_PARAMETERS   结构体,是一个指针,指向一个结构体,这个结构体里面有一个CommandLine

命令行参数。所以要获得其他进程的命令行参数CommandLine,首先要获得其他进程的PEB结构体,通过_RTL_USER_PROCESS_PARAMETERS   

得到它的结构体,结构体里面有CommandLine;

#include<Winternl.h>

typedef struct _PEB {//PEB结构
  BYTE                          Reserved1[2];
  BYTE                          BeingDebugged;
  BYTE                          Reserved2[1];
  PVOID                         Reserved3[2];
  PPEB_LDR_DATA                 Ldr;
  PRTL_USER_PROCESS_PARAMETERS  ProcessParameters;
  BYTE                          Reserved4[104];
  PVOID                         Reserved5[52];
  PPS_POST_PROCESS_INIT_ROUTINE PostProcessInitRoutine;
  BYTE                          Reserved6[128];
  PVOID                         Reserved7[1];
  ULONG                         SessionId;
} PEB, *PPEB;




ntdll!_PEB+0x000InheritedAddressSpace : ??

+0x001ReadImageFileExecOptions : ??
+0x002BeingDebugged : ??
+0x003SpareBool : ??
+0x004Mutant : ????
+0x008ImageBaseAddress : ????
+0x00cLdr : ????
+0x010ProcessParameters : _RTL_USER_PROCESS_
最低0.47元/天 解锁文章
poppy飞翔
关注
专栏目录
WINDOWS核心编程--Windows程序内部运行机制
20岁爱吃必胜客
11-10 1301
WinMain 函数接收 4 个参数,这些参数都是在系统调用 WinMain 函数时,传递给应用程序的。第一个参数 hInstance 表示该程序当前运行的实例的句柄,这是一个数值。当程序在 Windows 下运行时,它唯一标识运行中的实例(注意,只有运行中的程序实例,才有实例句柄)。一个应用程序可以运行多个实例,每运行一个实例,系统都会给该实例分配一个句柄值,并通过 hInstance 参数传递给 WinMain 函数。第二个参数 hPre
获取进程命令行之四
chenhui530的专栏
01-09 4422
在此之前我已经写了3篇关于如何获取进程命令行的文章,并且都提供了完整源码,这次也不例外。 由于博客上发表的文章都是在出差之间发布的有些文章没有详细的注释,只把代码贴了出来在这里请大家谅解。以后我会尽量把注释写上让大家更好的阅读我的文章和代码。这次由于项目接近尾声有了点时间就把怎么“获取进程命令行之四”这篇文章的原理给大家说说。 其实几篇文章的原理都很简单,有的都是通过进程环境块PEB来获取进程
Windows编程-获取其他进程命令行信息
NINE_world的博客
10-04 1346
#include <iostream> #include <windows.h> #include <tchar.h> #include <winternl.h> //如何获得其他进程命令行信息? /* * 每一个进程里面都对应一个环境变量快PEB * 如果想要获得其他进程命令行信息,首先就要获得其他进程的PEB结构体 * * 如何获得其他进程的PEB结构体信息? * NtQueryinformationProcess 函数 * 第一个参数是进
获取进程命令行.e
05-16
获取进程的启动参数 和进程信息 含有源码 和一个已编译文件 易语言
Windows C++ 根据进程id 获取命令行参数
最新发布
programer_wei的博客
08-21 441
if (!PEB peb;
windows程序如何获取进程命令行
ztstupid的专栏
07-24 1302
// 获得命令行 PTSTR pCmdLine = GetCommandLine(); // 解析命令行并返回,其中iNumArgs存储命令行的实参数目 int iNumArgs; PWSTR *pstr = CommandLineToArgvW(pCmdLine, &iNumArgs); // pCmdLine:in iNumArgs:out // 遍历解析后的命令行 CStr
Windows下查看进程命令行参数
尹平华
10-25 688
由于Windows任务管理器信息显示不完整,因此需要用到命令行来查看Windows进程启动命令行参数.
取得某进程命令行
yanhuaju9的专栏
06-19 577
 ***************************************************************************模 块 名:ModGetRemoteCmdLine**说    明:取得某进程命令行**创 建 人:马大哈 http://www.m5home.com/**日    期:2007年6月19日**版    本:V1.0********
商业编程-源码-获取CPU使用率.zip
06-23
类Unix系统通常使用`kstat`接口或者`/usr/bin/vmstat`、`/usr/bin/top`等命令行工具获取CPU使用情况。在C或C++程序中,可以使用`kstat`库来访问内核统计信息,或者通过执行外部命令并解析输出来获取CPU利用率。 4....
Windows核心编程进程创建与终止详解
在《Windows核心编程系列》中,进程的建立和终止是基础且关键的概念。进程是操作系统中的核心概念,作为资源管理和分配的基本单元,其核心在于进程内核对象。进程内核对象是一种数据结构,与进程紧密相关,类似于...
windows核心编程-获取系统中进程信息
程序人生的专栏
05-18 7485
通过CreateToolhelp32Snapshot函数可以获取系统中进程的详细信息,先看看函数的说明吧 CreateToolhelp32Snapshot函数通过获取进程信息为指定的进程进程使用的堆[HEAP]、模块[MODULE]、线程[THREAD]建立一个快照[snapshot]。 HANDLE WINAPI CreateToolhelp32Snapshot( DWORD dwFla
获取Windows系统的进程运行信息
caocg504的专栏
05-17 608
自从出现windows系统以来,各种各样的软件层出不穷。购买或者免费下载以后,轻轻点击Install或者Setup以后,稍作些许简单配置就完成安装的整个过程。显然这给用户带来了许多方便,但对用户来说这些软件似乎是个"黑匣子",展现在用户面前的仅仅是华丽的外表和简洁的操作,至于软件运行过程中调用了哪些文件和模块文件就无法知道了。或许真正希望了解这些的用户并不是很多,甚至对某些用户来说是不必要的,但是
<转>得到其它进程命令行
weixin_33809981的博客
10-29 113
#include &lt;windows.h&gt; #include &lt;stdio.h&gt; #define ProcessBasicInformation 0 typedef struct { USHORT Length; USHORT MaximumLength; PWSTR Buffer; } UNICODE_STRING, *...
获取windows程序运行的命令行参数
weixin_64304788的博客
10-15 594
如果想查询某一个进程命令行参数,使用下列方式:
查看windows后台进程命令行参数
bangtanhui的博客
11-21 468
PID]替换为任务管理器中看到的PID。
获取其他进程启动(命令行)参数
11-03
获取其他进程启动(命令行)参数 需要安装.net2.0才能使用
基于visual c++之windows核心编程代码分析(52)使用WMI 获取进程启动参数
尹成的技术博客
01-24 4556
WMI,是Windows 2K/XP管理系统的核心;对于其他的Win32操作系统,WMI是一个有用的插件。WMI以CIMOM为基础,CIMOM即公共信息模型对象管理器(Common Information Model Object Manager),是一个描述操作系统构成单元的对象数据库,为MMC和脚本程序提供了一个访问操作系统构成单元的公共接口。有了WMI,工具软件和脚本程序访问操作系统的不同部
获取进程命令行参数
donglinshengan的专栏
04-14 4458
#include &lt;Winternl.h&gt;void GetProcessCommandLine(DWORD pid){ pid = 1688; HANDLE hProc = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid); if (INVALID_HANDLE_VALUE != hProc) { HANDLE hNewProcess = NUL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值