在内核态通过PID获取进程名!!

毛毛虫的原作:

 

VOID GetProcessNameByPid(IN ULONG ulPid, OUT PUNICODE_STRING ustrProcessName)
{
	NTSTATUS status = STATUS_SUCCESS;
	ULONG ulNeed = 0;
	PSYSTEM_PROCESSES pSystemProcess = NULL;
	PVOID pBuf = NULL;

	status = ZwQuerySystemInformation(SystemProcessInformation, pSystemProcess, 0, &ulNeed);
	if (!NT_SUCCESS(status) && ulNeed)
	{
		pBuf = ExAllocatePool(NonPagedPool, ulNeed);
		pSystemProcess = (PSYSTEM_PROCESSES)pBuf;
		if (pSystemProcess)
		{
			status = ZwQuerySystemInformation(SystemProcessInformation, pSystemProcess, ulNeed, &ulNeed);
			if (NT_SUCCESS(status))
			{
				//遍历进程
				while (pSystemProcess->NextEntryDelta)
				{
					if (ulPid == pSystemProcess->ProcessId)
					{
						RtlCopyUnicodeString(ustrProcessName, &pSystemProcess->ProcessName);
						break;
					}

					pSystemProcess = (PSYSTEM_PROCESSES)((ULONG)pSystemProcess + pSystemProcess->NextEntryDelta);
				}
			}

			if (pBuf)
			{
				ExFreePool(pBuf);
			}
		}
	}

	return;
}

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值