在内核态通过PID获取进程名!!

最新推荐文章于 2022-10-26 15:50:45 发布
最新推荐文章于 2022-10-26 15:50:45 发布
阅读量2.9k 收藏
点赞数
分类专栏: 内核编程

毛毛虫的原作:

 

VOID GetProcessNameByPid(IN ULONG ulPid, OUT PUNICODE_STRING ustrProcessName)
{
	NTSTATUS status = STATUS_SUCCESS;
	ULONG ulNeed = 0;
	PSYSTEM_PROCESSES pSystemProcess = NULL;
	PVOID pBuf = NULL;

	status = ZwQuerySystemInformation(SystemProcessInformation, pSystemProcess, 0, &ulNeed);
	if (!NT_SUCCESS(status) && ulNeed)
	{
		pBuf = ExAllocatePool(NonPagedPool, ulNeed);
		pSystemProcess = (PSYSTEM_PROCESSES)pBuf;
		if (pSystemProcess)
		{
			status = ZwQuerySystemInformation(SystemProcessInformation, pSystemProcess, ulNeed, &ulNeed);
			if (NT_SUCCESS(status))
			{
				//遍历进程
				while (pSystemProcess->NextEntryDelta)
				{
					if (ulPid == pSystemProcess->ProcessId)
					{
						RtlCopyUnicodeString(ustrProcessName, &pSystemProcess->ProcessName);
						break;
					}

					pSystemProcess = (PSYSTEM_PROCESSES)((ULONG)pSystemProcess + pSystemProcess->NextEntryDelta);
				}
			}

			if (pBuf)
			{
				ExFreePool(pBuf);
			}
		}
	}

	return;
}

「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux下的进程描述符task_struct 结构体认识
cvhbfgh的博客
04-18 898
操作系统在管理文件的时候主要有俩个步骤,先描述再组织。每一个进程都有一个pcb控制块,pcb控制块用task_struct结构体来存放内容,那么这个结构体当中到底放了一些什么内容,我们可以简单的认识一下,下面是一些基本的内容以及功能。 struct task_struct {       //这个是进程的运行时状,-1代表不可运行,0代表可运行,>0代表已停止。  volatile
linux获取当前进程进程号,Linux内核获取当前进程结构的current宏
weixin_31440053的博客
04-28 2344
上篇文章Linux内核的源码结构简介(1)简单介绍了Linux内核源码的目录结构,以及和进程的task_struct的几个关键变量,最后提到了在内核获取当前进程pid的代码:current->pid。current,属于内核的一个宏,指向get_current()函数。#define current get_current()所以代码current,实际是获取get_current()函...
内核用户进程间通讯之Netlink
u010304442的博客
06-10 2122
Netlink是linux提供的用于内核用户进程之间的通信方式。但是注意虽然Netlink主要用于用户空间和内核空间的通信,但是也能用于用户空间的两个进程通信。只是进程间通信有其他很多方式,一般不用Netlink。除非需要用到Netlink的广播特性时。 一般来说用户空间和内核空间的通信方式有三种:/proc、ioctl、Netlink。而前两种都是单向的,但是Netlink可以实现双工通信。...
Linux kernel如何获取PID
10-26 1566
/获取线程pid描述符。// 传入进程任何一个线程pid, 并查找进程PID(就是进程中leader线程的PID)
内核获取进程KeGetProcName
avder的专栏
06-14 3815
内核获取进程,使用EPROCESS中的ImageFileName只能显示15个字节,如下:    +0x174 ImageFileName    : [16]  "aaaaaaaaaaaaaaa" 问了mo哥后发现SeAuditProcessCreationInfo中有ImageFileName 字段,类型为_OBJECT_NAME_INFORMATION,可以从该字段获取全路径和进程。一
linux根据pid获取进程获取进程pid(c语言获取pid)
09-04
以上两个函数分别实现了根据PID获取进程和根据进程获取PID的功能。在实际应用中,这些功能可以用于自动化进程管理任务,比如监控特定进程的状或根据需要结束进程。 在某些场景下,如需要终止所有匹配特定进程...
Linux中怎么通过PID号找到对应的进程及所在目录方法
09-15
在处理Java进程时,由于Java应用通常通过JVM启动,因此可能需要查看`/proc/PID/cmdline`来获取完整的命令行参数,从而确定实际的启动目录。在示例中,通过`/proc/28990/cmdline`我们可以确认,Java进程是在`/opt/...
利用kernel提供的接口打印进程号(pid)
01-10
c文件printPid.c 代码如下:#include <linux>#include <linux>#include <linux>#include <linux>#include static __init int printPid(void) //安装模块函数{ struct task_struct *task,*p; struct list_head *ps...
Linux内核私闯进程地址空间并修改进程内存的方法
09-14
6. **内核访问进程内存**:在获取到正确的页表条目后,内核可以通过修改pte中的内容来改变内存的值。这通常需要谨慎操作,因为直接修改可能会导致数据一致性问题,尤其是在多线程环境下。 7. **安全性和权限**:...
内核中取得调用进程PID
刘末的专栏
11-03 3119
task_pid_nr(current);
Linux内核PID管理
HZero
05-06 1007
目录1. 前言2. PID相关的数据结构struct pidstruct upidstruct pid_namespacestruct task_struct3. PID使用fork函数中如何分配一个新的pidpid_nr函数 1. 前言 PID进程描述符在linux kernel中的分配和管理比较复杂。 本文分析了其相关数据结构以及函数。 代码基于v3.0.3,和pid相关的数据结构,函数定义: include/linux/pid.h include/linux/pid_namespace.h ker
linux api获取进程pid,进程管理 – Linux内核API pid_nr
weixin_39911998的博客
04-28 634
pid_nr函数功能描述:函数pid_nr( )用于获取进程的全局进程号,根据输入参数所代表的进程描述符获取全局进程号。pid_nr文件包含#include pid_nr函数定义在内核源码中的位置:linux-3.19.3/include/linux/pid.h函数定义格式:static inline pid_t pid_nr(struct pid *pid){pid_t nr = 0;if (p...
FreeBSD:从内核获取其他进程pid及cpu占用率
weixin_30414635的博客
09-02 196
最近在做一个项目,需要内核监控一个本机用户进程cpu占用率, 当时考虑有以下几种方法: 1,使用ps命令获取。 方法简单,直接执行命令,再过滤就行。但是从内核调用命令,查了一下,好像Linux可以使用call_usermodehelper,使内核调用用户的程序 具体的解释在这里~http://www.cnblogs.com/hoys/archive/2012/03/13/2395232....
Linux内核模块获取自身路径,从内核linux中获取pid的完整进程路径
weixin_36462845的博客
05-11 367
我正在为我的设备构建自定义内核linux(如嵌入式设备)。我想记录杀死系统调用的所有信息。所以我在kill系统调用中修改代码并获得pid来杀死。但是我无法获得完整的流程路径,我刚刚获得当前流程的完整路径。 这是我从pid获取进程路径的代码。从内核linux中获取pid的完整进程路径long GetProcessPathFromPid(const pid_t p_id, char* pszProce...
银河麒麟4.0.2 内核(4.11.0)中获取进程
sword__wj的博客
12-08 1152
介绍了在银河麒麟4.0.2 内核(4.11.0)中获取进程时,如何避免获取不完整以及获取到pool的方法。
PID得到进程
Sorawa
05-28 759
<br />网上比较多都是枚举进程获得进程...<br /> 比较麻烦<br />所以查了下GetModuleFileNameEx的第2个参数NULL情况下获得进程<br /> <br />// GetProcessNameByPID.cpp : Defines the entry point for the console application.<br />//<br />#include "stdafx.h"<br />#include "windows.h"<br />#include "std
内核驱动程序中获取当前用户进程进程的方法
坦然
08-13 3235
驱动程序的加载函数DriverEntry是运行在System进程中的.通过PsGetCurrentProcess可以获取System进程内核EPROCESS结构的地址,然后从该地址开始寻找"System"字符串.找到后,便是EPROCESS的进程存放的偏移处.得到进程在EPROCESS结构的偏移后,以后的进程调用驱动的时候,就可以直接在该偏移处获取当前进程.代码如下: DWORD Get
驱动中获取进程的正确方法
求索
04-29 6869
这是个古老的话题,没有技术含量,只不过看到网上很多驱动代码在获取进程时总喜欢去读偏移 EPROCESS.ImageFileName,感觉比较误导新人。 这个方法其实很不科学,硬编码偏移带来的兼容性问题以及16字节截断的问题(Win7过后是15字节)就不用说了,关键是这个 EPROCESS.ImageFileName 其实并不靠谱。 咱们可以做个实验,随便打开一个程序,比如记事本notep
Linux内核通过包获取指定进程pid
最新发布
06-06
在Linux内核中,可以通过进程的包获取进程pid。可以使用以下代码来实现: ``` struct task_struct *task; struct pid *pid_struct; char *pname = [指定的进程]; // 遍历进程列表 for_each_process(task) { // 判断进程的命令行是否包含指定的进程 if (strstr(task->comm, pname) != NULL) { pid_struct = get_task_pid(task, PIDTYPE_PID); // 获取进程pid pid_t pid = pid_nr(pid_struct); // 处理获取到的pid } } ``` 上面的代码中,使用函数`for_each_process`来遍历系统中所有的进程,然后判断每个进程的命令行是否包含指定的进程。如果包含,则获取进程pid,并进行相应的处理。需要注意的是,获取进程pid时,需要先通过`get_task_pid`函数将进程的task_struct结构体转换为pid_struct结构体,然后再使用`pid_nr`函数获取pid值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值