获取进程全路径

最新推荐文章于 2020-05-16 10:29:51 发布
最新推荐文章于 2020-05-16 10:29:51 发布
阅读量1.7k 收藏 3
点赞数

先获取进程PID,通过PID获取eprocess结构后调用KeStackAttachProcess附加到该结构上,然后调用ZwQueryInformationProcess查询进程ProcessImageFileName结构找到进程全路径。

封装函数如下,调用入口为GetProcessFullNameByPid

NTSTATUS  GetProcessFullNameByPid(HANDLE nPid, PUNICODE_STRING  FullPath)
{

    HANDLE               hFile      = NULL;
    ULONG                nNeedSize  = 0;
    NTSTATUS             nStatus    = STATUS_SUCCESS;
    NTSTATUS             nDeviceStatus = STATUS_DEVICE_DOES_NOT_EXIST;
    PEPROCESS            Process    = NULL;
    KAPC_STATE           ApcState   = {0};          
    PVOID                lpBuffer   = NULL;
    OBJECT_ATTRIBUTES    ObjectAttributes = {0};
    IO_STATUS_BLOCK      IoStatus   = {0}; 
    PFILE_OBJECT         FileObject = NULL;
    PFILE_NAME_INFORMATION FileName = NULL;   
    WCHAR                FileBuffer[MAX_PATH] = {0};
    DECLARE_UNICODE_STRING_SIZE(ProcessPath,MAX_PATH);
    DECLARE_UNICODE_STRING_SIZE(DosDeviceName,MAX_PATH);

    PAGED_CODE();

    nStatus = PsLookupProcessByProcessId(nPid, &Process);
    if(NT_ERROR(nStatus))
    {
        KdPrint(("%s error PsLookupProcessByProcessId.\n",__FUNCTION__));
        return nStatus;
    }



    __try
    {

        KeStackAttachProcess(Process, &ApcState);

        nStatus = ZwQueryInformationProcess(
            NtCurrentProcess(),
            ProcessImageFileName,
            NULL,
            NULL,
            &nNeedSize
            );

        if (STATUS_INFO_LENGTH_MISMATCH != nStatus)
        {
            KdPrint(("%s NtQueryInformationProcess error.\n",__FUNCTION__)); 
            nStatus = STATUS_MEMORY_NOT_ALLOCATED;
            __leave;

        }

        lpBuffer = ExAllocatePoolWithTag(NonPagedPool, nNeedSize,'GetP');
        if (lpBuffer == NULL)
        {
            KdPrint(("%s ExAllocatePoolWithTag error.\n",__FUNCTION__));
            nStatus = STATUS_MEMORY_NOT_ALLOCATED;
            __leave; 
        }

       nStatus =  ZwQueryInformationProcess(
           NtCurrentProcess(),
           ProcessImageFileName, 
           lpBuffer, 
           nNeedSize,
           &nNeedSize
           );

       if (NT_ERROR(nStatus))
       {
           KdPrint(("%s NtQueryInformationProcess error2.\n",__FUNCTION__));
           __leave;
       }

       RtlCopyUnicodeString(&ProcessPath,(PUNICODE_STRING)lpBuffer);
       InitializeObjectAttributes(
           &ObjectAttributes,
           &ProcessPath,
           OBJ_CASE_INSENSITIVE,
           NULL,
           NULL
           );

       nStatus = ZwCreateFile(
           &hFile,
           FILE_READ_ATTRIBUTES,
           &ObjectAttributes,
           &IoStatus,
           NULL,
           FILE_ATTRIBUTE_NORMAL,
           0,
           FILE_OPEN,
           FILE_SYNCHRONOUS_IO_NONALERT | FILE_NON_DIRECTORY_FILE,
           NULL,
           0
           );  

       if (NT_ERROR(nStatus))
       {
           hFile = NULL;
           __leave;
       }

       nStatus = ObReferenceObjectByHandle(
           hFile, 
           NULL,
           *IoFileObjectType, 
           KernelMode, 
           (PVOID*)&FileObject,
           NULL
           );

       if (NT_ERROR(nStatus))
       {
           FileObject = NULL;
           __leave;
       }

       FileName = (PFILE_NAME_INFORMATION)FileBuffer;

       nStatus = ZwQueryInformationFile(
           hFile,
           &IoStatus,
           FileName,
           sizeof(WCHAR)*MAX_PATH,
           FileNameInformation
           );

       if (NT_ERROR(nStatus))
       {
           __leave;
       }

       if (FileObject->DeviceObject == NULL)
       {
           nDeviceStatus = STATUS_DEVICE_DOES_NOT_EXIST;
           __leave;
       }

       nDeviceStatus = RtlVolumeDeviceToDosName(FileObject->DeviceObject,&DosDeviceName);

    }
    __finally
    {
        if (NULL != FileObject)
        {
            ObDereferenceObject(FileObject);
        }

        if (NULL != hFile)
        {
            ZwClose(hFile);
        }

        if (NULL != lpBuffer)
        {
            ExFreePool(lpBuffer);
        }

        KeUnstackDetachProcess(&ApcState);


    }

    if (NT_SUCCESS(nStatus))
    {
        RtlInitUnicodeString(&ProcessPath,FileName->FileName);

        if (NT_SUCCESS(nDeviceStatus))
        {
            RtlCopyUnicodeString(FullPath,&DosDeviceName);
            RtlUnicodeStringCat(FullPath,&ProcessPath);
        }
        else
        {
            RtlCopyUnicodeString(FullPath,&ProcessPath);
        }
    }


    return nStatus;
}

代码来自麦洛克菲

zyorz
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
通过PID获取进程路径的几种方法
08-29 2082
通过PID获取进程路径的几种方法 想获得进程可执行文件的路径最常用的方法是通过GetModuleFileNameEx函数获得可执行文件的模块路径这个函数从WindowsNT4.0开始到现在的Vista系统都能使用,向后兼容性比较好。第二种方法是GetProcessImageFileName函数,这个函数在WindowsXP及其以后的系统中都能使用,使用此函数返回的路径不是通...
Windows驱动获得当前进程路径的方法
trents的专栏
02-20 3094
方法: 通过ZwQueryInformationProcess函数查询ImageFileName 支持的系统:XP以上操作系统 具体方法如下: BOOL  GetProcessPathNameByHandle(HANDLE ProcessHandle,char * path)     {         DWORD ret;             ULONG
获取进程路径方法(支持xp、win7、win10系统)
深之JohnChen的专栏
06-14 5037
获取进程路径方法(支持xp、win7、win10系统)获取进程路径的函数包括GetModuleFileNameEx、GetProcessImageFileName、QueryFullProcessImageName。这三个函数的原型:DWORD GetModuleFileNameEx(HANDLE hProcess,HMODULE hModule,LPTSTR lpFilename,DWOR...
路径:(绝对路径和相对路径
S15031618的博客
03-30 1496
1.绝对路径 通俗的说就是路径,也就是文件的真正存在的路径,是指从硬盘的根目录(盘符)开始,进行一级级目录指向文件 2.相对路径 就现在位置,相对于自己的目标文件位置。也就是以当前文件为基准进行一级级目录指向被引用的资源文件。 ../ 当前文件所在的目录的上一级目录 ./ 当前文件所在的目录(可以省略) / 当前站点的根目录(域名映射的硬盘目录) ...
通过GetProcessImageFileName函数获取进程路径
陌路缘
04-24 2万+
由于函数GetModuleFileName() 和 函数GetModuleFileNameEx()都是通过PE文件头信息获取进程文件路径,所以它们只能工作于与调用进程相同位数的进程,比如:调用进程32位时,这两个函数只对32位进程有效,64位同理。所以在64位进程与32位进程并存的64位机器中,只能通过GetProcessImageFileName()函数获取进程的DOS文件路径
获取应用程序路径(进程路径)
02-07
然而,如果你需要获取进程的ID以及其对应的路径,可能需要结合操作系统级别的API。在Windows系统中,可以使用`GetProcessPath`函数,而在Unix/Linux系统中,可以使用`/proc`文件系统来获取。 在提供的压缩包文件...
通过PID获取进程路径
09-29
标题“通过PID获取进程路径”所指的,就是利用进程ID(PID)来查找该进程执行时所在的文件路径。在Windows环境下,这个功能在调试、监控或者管理进程中非常实用。 描述中提到的“vs2010代码”表明我们可以使用...
MFC中获取进程路径
04-26
在MFC(Microsoft Foundation Classes)框架中,获取进程路径是一项常见的任务,这涉及到对操作系统中的进程和线程的理解,以及如何在MFC中利用API函数来获取这些信息。本文将详细探讨这一主题。 首先,我们要了解...
易语言获取进程所在路径的方法
08-26
在编程领域,获取进程所在路径是一项基础且重要的任务,它能帮助开发者了解...希望这些内容能帮助你更好地理解和应用易语言进行进程路径获取。如果你想要进一步学习相关知识,可以查阅更多易语言的教程或参考资料。
获取进程路径
11-28
获取正在运行进程的完整路径 function EnabledDebugPrivilege(const bEnabled: Boolean): Boolean; var hToken: THandle; tp: TOKEN_PRIVILEGES; a: DWORD; const SE_DEBUG_NAME = 'SeDebugPrivilege'; begin ...
根据进程句柄获得可执行文件路径的几种方法
热门推荐
while(1) { smile(); }
11-28 13万+
转载自: http://blog.csdn.net/hellokandy/article/details/52160077 通过进程句柄,获得可执行文件的路径,主要有以下几种方法: 第一种方法:也是最常用的方法,是通过GetModuleFileNameEx函数获得可执行文件的模块路径,这个函数从Windows NT 4.0开始到现在的Vista系统都能使用,向后兼容性比较好。
C/C++win32获取所有进程路径
u010097616的专栏
08-11 4104
#include #include #include #include int main() { TCHAR chBuf[1024]; DWORD lpidProcess[1024*2]; DWORD cbNeeded; //获取所有进程pid if (!EnumProcesses(lpidProcess, sizeof(lpidProcess), &cbNeeded)) {
通过PID获取进程路径进程名的两种方法
CC's Blog
04-25 2万+
通过PID获取进程路径进程名,使用了psapi.h类,获取进程路径,通过_splitpath()函数,获取路径中的文件名。 _splitpath()使用方法: void _splitpath( const char *path, char *drive, char *dir, char *fname, char *ext ); Return Value None Paramet
获取当前运行程序路径
lytton_jing
05-20 7060
VC上或取当前路径有多种方法,最常用的是使用 GetCurrentDirectory和GetModuleFileName函数,个中都有诸多注意事项,特别总结一下。 一、获取当前运行目录的绝对路径 1、使用GetCurrentDirectory函数 假设程序路径为D:\Test\tst.exe,执行GetCurrentDirectory函数 char pBuf[MAX_PATH]; GetC
进程篇----获取进程完整路径、DosPath转化为NtPath(By ProcessID)
qq_42021840的博客
05-16 807
写这些文章的目的,就是为了简单方便的将这些代码记录下来,以后用到的时候,可以直接拿来用。 #ifdef UNICODE #define GetProcessFullPath GetProcessFullPathW #else #define GetProcessFullPath GetProcessFullPathA #endif BOOL GetProcessFullPathA(CHAR** ProcessFullPath, ULONG_PTR* ProcessFullPathLength,.
函数-从进程名获得进程ID、从进程ID获得进程路径
ORC-Lee的博客
04-14 1086
BOOL CGlobal::GetProcessIdByName(LPSTR szProcessname, LPDWORD lpPID) { PROCESSENTRY32 ps; HANDLE hSnapshot; //Fills a block of memory with zeros. ZeroMemory(&ps, sizeof(PROCESSENTRY32));
linux内核获取进程路径3种方法
weixin_34336526的博客
10-21 650
linux内核获取进程路径3种方法 本文档的CopyRight归jonathan所有,可自由转载,转载时请保持文档的完整性。 /*------------------------------...
zwquerysysteminformation 获取进程路径
最新发布
05-01
如果想要从SYSTEM_INFORMATION结构体中获取进程路径,可以通过遍历进程信息来实现。具体来说,需要得到系统中所有进程进程ID,并使用OpenProcess函数打开每个进程的句柄。然后再使用GetModuleFileNameEx函数获取每...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值