获得调用者进程信息

最新推荐文章于 2021-08-08 19:28:19 发布
最新推荐文章于 2021-08-08 19:28:19 发布
阅读量70 收藏
点赞数
原文链接:http://www.cnblogs.com/spriteflk/p/4710128.html
版权

 

 1 DWORD ShowParentProcessInfo()  
 2 {
 3     typedef LONG (WINAPI *PROCNTQSIP)(HANDLE,UINT,PVOID,ULONG,PULONG);  
 4     PROCNTQSIP NtQueryInformationProcess;  
 5     NtQueryInformationProcess = (PROCNTQSIP)GetProcAddress(  
 6         GetModuleHandle(_T("ntdll")),  
 7         "NtQueryInformationProcess"  
 8         );  
 9 
10     if (!NtQueryInformationProcess)  
11         return 0;  
12 
13     DWORD dwId = ::GetCurrentProcessId();
14     LONG                      status;  
15     DWORD                     dwParentPID = 0;  
16     HANDLE                    hProcess;  
17     W_PROCESS_BASIC_INFORMATION pbi;  
18 
19     // Get process handle  
20     hProcess = OpenProcess(PROCESS_QUERY_INFORMATION, NULL, dwId);  
21     if (!hProcess)  
22         return 0;  
23 
24     // Retrieve information  
25     status = NtQueryInformationProcess( hProcess,  
26         ProcessBasicInformation,  
27         (PVOID)&pbi,  
28         sizeof(W_PROCESS_BASIC_INFORMATION),  
29         NULL  
30         );  
31 
32     // Copy parent Id on success  
33     if  (!status)  
34     {
35         dwParentPID = pbi.InheritedFromUniqueProcessId;  
36         HANDLE hParentProcess = NULL;
37         hParentProcess = OpenProcess(PROCESS_QUERY_INFORMATION|PROCESS_VM_READ, NULL, dwParentPID);  
38         if (hParentProcess)
39         {
40             TCHAR szTemp[MAX_PATH] = {0};
41             TCHAR szProcessName[MAX_PATH] = {0};
42             DWORD dwErr = ::GetModuleFileNameEx(hParentProcess,NULL,szTemp,MAX_PATH);
43             ::GetLongPathName(szTemp, szProcessName, MAX_PATH);
44             if (dwErr)
45                 Log4cxx(LOG4CXX__INFO, MODULENAME , _T("Caller=%s, ParentProcessID=%d"), szProcessName, dwParentPID);
46             else
47                 Log4cxx(LOG4CXX__INFO, MODULENAME , _T("Caller=%s, ParentProcessID=%d, LastError=%d"), szProcessName, dwParentPID, dwErr);
48         }
49         CloseHandle (hParentProcess);
50     }
51 
52     CloseHandle (hProcess);  
53 
54     return dwParentPID;  
55 }

 

结果

Caller=C:\Program Files (x86)\Wind\Wind.NET.Client\WindNET\bin\wmain.exe, ParentProcessID=6012

 

转载于:https://www.cnblogs.com/spriteflk/p/4710128.html

weixin_30593261
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于获取进程句柄的问题
轻疯 清风
01-25 7801
使用CreateProcess创建一个进程后,PROCESS_INFORMATION结构中会包含进程的handle,和唯一存在的进程ID 而后使用openprocess打开进程时,根据第一个参数 (dwDesiredAccess:想拥有的该进程访问权限PROCESS_ALL_ACCESS  //所有能获得的权限PROCESS_CREATE_PROCESS  //需要创建一个进程PR
Windows API收集
南宫封清的博客
04-04 546
GetWindowText 函数功能:该函数将指定窗口的标题条文本(如果存在)拷贝到一个缓存区内。如果指定的窗口是一个控制,则拷贝控制的文本。但是,GetWindowTeXt不能接收在其他应用程序中的控制文本。 函数原型:Int GetWindowText(HWND hWnd,LPTSTR lpString,Int nMaxCount); 参数: hWnd:带文本...
打开一已存在的进程OpenProcess
abc470337944的专栏
10-30 1788
OpenProcess 函数功能描述:打开一已存在的进程 函数原形:   HANDLE OpenProcess(        DWORD dwDesiredAccess,        BOOL bInheritHandle,        DWORD dwProcessId   ); 参数:   DWORD dwDesiredAccess   访问权限   [输入
关于OpenProcess权限
aktostream的专栏
09-29 2012
今天写了一个程序试图在用户模式下获得系统进程csrss.exe的进程句柄,然后得到该进程的一些信息。打开句柄权限为PROCESS_QUERY_INFORMATION,HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION,F
FindWindow ,GetWindowThreadProcessId , OpenProcess 和ReadProcessMemory
寻梦&之璐
01-13 1548
FindWindow 函数功能: 函数检索处理顶级窗口的类名和窗口名称匹配指定的字符串,这个函数不搜索子窗口。 第一个是要找的窗口的类,第二个是要找的窗口的标题 函数声明: WINUSERAPI HWND WINAPI FindWindowW( _In_opt_ LPCWSTR lpClassName, _In_opt_ LPCWSTR lpWindowName); 在搜索的时候不一定两者都知道,但至少要知道其中的一个。 第一个参数 lpClassName,输入参数,指向一个以null结尾
汇编源码取所有进程信息
10-19
- 需要正确设置堆栈,因为stdcall约定规定,由被调用者清理堆栈。 - 使用适当的结构体和数据类型来保存和处理进程信息。 - 错误处理是必不可少的,需要检查API调用的返回值,以确保操作成功。 在实际应用中,汇编...
调用者:渗透测试实用程序
02-06
7. **进程和CMD控制**:调用者可能包含功能来创建、终止进程,或者通过命令行(CMD)执行命令,这在执行复杂的攻击链中非常常见。 8. **任务计划程序**:利用Windows的任务计划程序,攻击者可以安排恶意程序在特定...
枚举调用dll的进程列表-易语言
06-13
2. 遍历得到的PID列表,对每个进程使用`OpenProcess` API函数获取访问权限。 3. 使用`QueryFullProcessImageName` API函数获取进程的可执行文件全路径,从中分析出加载的DLL信息。 4. 对比DLL列表,如果找到目标DLL...
VB杀死指定进程,强制关闭程序_vb进程管理_
09-29
VB程序会使用之前`OpenProcess`得到的进程句柄,然后调用`TerminateProcess`来立即结束目标进程。这种方法通常不推荐,因为它不给予进程清理资源的机会,但有时为了快速关闭无响应或恶意进程,它是必要的。 在VB...
Linux下使用python调用top命令获得CPU利用率
09-22
在尝试获取CPU利用率时,初学者可能会写出这样的代码: ```python import os while True: print(os.popen('top -bi -n 1').read().split('\n')[2]) ``` 然而,这种做法有一个问题:`top -bi -n 1`命令仅获取一次...
NtQueryInformationProcess用法
热门推荐
yiyefangzhou24的专栏
03-12 2万+
<br />      从所周知,在Windows NT/2000系统的API黑洞之一便是NTDLL.DLL,此DLL包含了许多未公开的API函数。本文将列举一、二,并以如何获取任何指定进程的父进程ID为例作为示范。<br />   NTDLL.DLL中有一个函数叫NtQueryInformationProcess,用它可以将指定类型的进程信息拷贝到某个缓冲。其原型如下:<br />NTSYSAPI<br />NTSTATUS<br />NTAPI<br />NtQueryInformationProces
WindowsAPI详解——获得进程可执行文件路径的几种方法
thanklife的专栏
03-20 1万+
WindowsAPI详解——获得进程可执行文件路径的几种方法   想获得进程可执行文件的路径最常用的方法是通过GetModuleFileNameEx函数获得可执行文件的模块路径这个函数从Windows NT 4.0开始到现在的Vista系统都能使用,向后兼容性比较好。第二种方法是GetProcessImageFileName函数,这个函数在Windows XP及其以后的系统中都能使用,使用此函
获取进程全路径方法(支持xp、win7、win10系统)
深之JohnChen的专栏
06-14 5105
获取进程全路径方法(支持xp、win7、win10系统)获取进程的全路径的函数包括GetModuleFileNameEx、GetProcessImageFileName、QueryFullProcessImageName。这三个函数的原型:DWORD GetModuleFileNameEx(HANDLE hProcess,HMODULE hModule,LPTSTR lpFilename,DWOR...
Win2K下关联进程/端口之代码初步分析
09-13 1077
作者:Shotgun@xici.net    在西祠或者中绿的BBS中,经常见到网友问:如何才能关联我的进程和端口呀?没错,关联进程和端口是一个非常有用的功能,你可以清楚地知道哪些程序在使用哪些端口,对于查杀木马很有帮助。可是我们虽然可以使用任务管理器浏览进程列表,使用Netstat查看端口的使用状况,却没有一个命令可以直接关联进程和端口(WinXP上增加了新的NetStat功能,支持直接查看
python psutil模块查找进程_在Python中查找每个正在运行的进程的路径
weixin_30284125的博客
12-30 573
作为管理员,如果不能获得PROCESS_QUERY_INFORMATION(0x400),则可以获得给定进程的PROCESS_QUERY_LIMITED_INFORMATION(0x1000)访问权限。QueryFullProcessImageNameW只需要有限的访问权限。然而,并不是所有情况下都能奏效。例如,上的安全描述符csrss.exe文件只授予对系统帐户的访问权限,不授予管理员权限。另一...
获取进程信息
甜筒八部 的专栏
08-08 2701
使用 NtQueryInformationProcess 函数Retrieves information about the specified process. Windows NT/2000系统的NTDLL.DLL包含了许多未公开的API函数。 NtQueryInformationProcess就是微软 NTDLL.DLL包含的未公开 的一个 API。 NTDLL.DLL中有一个函数叫NtQueryInformationProcess,用它可以指定参数,获得指定结构体类型的进程信息,拷贝到...
QueryInformationProcess API
zwh37333的专栏
08-24 3253
这是一个在MSDN上公开信息不是很多的API,但是这个API确很是有用。1. 进程的ID2. 映像文件的位置3. 命令行参数在很多不同的OS 版本上都有支持,API 的参数定义,要参考SDK。可是使用这个API 和Readmemory 这个API 实现很多API的功能,这样就可以解决那些衍生的API 在特定的OS上美哟实现的问题。      
深入理解Linux内核:从系统调用到进程切换
"Linux内核视频教程是一套详细的教程,涵盖了从基础到深入的Linux系统编程知识,包括计算机工作原理、操作系统机制、构建简单Linux系统Menu0S、系统调用的解析、进程管理以及程序执行流程等内容。教程通过8个章节...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值