通过进程ID得到进程名
在内核中,通过进程ID,得到进程名称,有多种方法。
我使用了两种方法,第一种是使用ZwOpeProcess得到句柄
然后ObReferenceObjectByHandle函数得到PEPROCESS结构,然后
char *ProcessName = (char*)EProcess + 0x174;
第二种方法是得到PEPROCESS结构之后,使用PsGetProcessImageFileName函数得到进程名。
具体代码如下:
- #include<ntddk.h>
- #include<wdm.h>
- UCHAR* PsGetProcessImageFileName(PEPROCESS Process);
- NTSTATUS Unload(IN PDRIVER_OBJECT DriverObject)
- {
- DbgPrint("驱动已经卸载/n");
- }
- void GetProcessName(ULONG dwPid)
- {
- HANDLE ProcessHandle;
- NTSTATUS status;
- OBJECT_ATTRIBUTES ObjectAttributes;
- CLIENT_ID myCid;
- PEPROCESS EProcess;
- InitializeObjectAttributes(&ObjectAttributes,0,0,0,0);
- myCid.UniqueProcess = (HANDLE)dwPid;
- myCid.UniqueThread = 0;
- //打开进程,获取句柄
- status = ZwOpenProcess (&ProcessHandle,PROCESS_ALL_ACCESS,&ObjectAttributes,&myCid);
- if (!NT_SUCCESS(status))
- {
- DbgPrint("打开进程出错/n");
- return;
- }
- //得到EPROCESS,结构中取进程名
- status = ObReferenceObjectByHandle(ProcessHandle,FILE_READ_DATA,0,KernelMode,&EProcess, 0);
- if (status == STATUS_SUCCESS)
- {
- char *ProcessName = (char*)EProcess + 0x174;
- char *PsName = PsGetProcessImageFileName(EProcess);
- DbgPrint("ProcessName is %s/n",ProcessName);
- DbgPrint("PsName is %s/n",PsName);
- ZwClose(ProcessHandle);
- }
- else
- {
- DbgPrint("Get ProcessName error");
- }
- }
- NTSTATUS
- DriverEntry(
- IN PDRIVER_OBJECT DriverObject,
- IN PUNICODE_STRING RegistryPath
- )
- {
- DbgPrint("驱动已经加载了/n");
- GetProcessName(2044);
- DriverObject->DriverUnload = Unload;
- return STATUS_SUCCESS;
- }
通过进程ID得到进程名相关推荐
- Windows下根据进程id获得进程名
//根据进程id获得进程名 wstring GetModuleName(DWORD dwPid) {HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS ...
- VC++如何根据进程名获取进程ID
VC++如何根据进程名获取进程ID #include <Tlhelp32.h> UINT GetProcessIdByName(LPCTSTR pszExeFile) { UINT nPr ...
- win32根据进程名获取进程ID或者终止进程
第一部分: 根据进程名获取进程ID. 首先我们需要了解三个windows API函数: HANDLE WINAPI CreateToolhelp32Snapshot(DWORD dwFlags,DWO ...
- 根据进程名杀死进程 -kill进程名
知道进程名怎样杀死这个进程. #pkill 进程名 或是 #killall 进程名 的确这个两个命令都能做到这些,而且我们平时一般知道进程名需要杀死进程的时候也都是用的这两个命令.可是他叫我用kil ...
- java通过进程名称杀进程_根据进程名杀死进程 -kill进程名
知道进程名怎样杀死这个进程. #pkill 进程名 或是 #killall 进程名 的确这个两个命令都能做到这些,而且我们平时一般知道进程名需要杀死进程的时候也都是用的这两个命令.可是他叫我用kill ...
- 易语言通过进程名称获取进程ID
通过系统映像的名称来获取进程的PID,有了PID就可以通过(进程_ID取窗口句柄) 获取窗口句柄,有了句柄就可以大漠后台绑定窗口,所以最终目的还是通过进程名称来获取进程所在窗口的句柄,用来窗口的绑定操 ...
- WIN32进程快照以及进程ID和句柄查找
要对进程进行某种操作,就必须首先知道该进程的进程句柄或者进程ID,否则一切无从谈起,对于程序自己创建的子进程来说,CreateProcess函数返回了进程句柄和进程ID,但如果需要调试系统中已经运行的 ...
- linux如何查询进程ID和关闭进程
1.查看端口占用的进程号 (1)比如要查询8080 端口 lsof -i:8080 COMMAND:进行成名,如上说明8080被一个server进程占用 PID:进程的ID,一般杀掉进程时就是指定进程 ...
- pgrep java是什么意思_pgrep查找正在运行的进程ID
pgrep是一个命令行实用程序,根据给定的条件查找正在运行的程序的进程id.它可以是完整的或部分的进程名.运行该进程的用户或其他属性. 如何使用pgrep命令 语法: pgrep [options] ...
最新文章
- 解读Raft(二 选举和日志复制)
- UML系统分析与设计01-准备
- qt中json构造一个数组_告别撸单元格!我来分享Excel中如何利用一条公式得到一个数组...
- C++——多态实现原理分析
- 101 Tips to MySQL Tuning and Optimization
- P2486 [SDOI2011]染色
- php怎么调试小程序,教你如何配置微信小程序
- In aggregated query without GROUP BY, expression #2 of SELECT list contains nonaggregated column...
- 前端倒计时不准的问题
- python查找元素的下标 leetcode 392
- Nuxt项目支持import写法的最新解决方案
- Flash MX 2004 中的文本遮罩
- python中如何反解函数_PyTorch中反卷积的用法详解
- 学习笔记DL003:神经网络第二、三次浪潮,数据量、模型规模,精度、复杂度,对现实世界冲击...
- Boost Asio Work类
- 物联网(工程师)+嵌入式学习路线图各个阶段
- 人工智能研究中心快递柜——代码分析四
- 计算机组成原理笔记——机器指令
- Java实验3 第十二题:财务应用程序:信用卡号的合法性
- 徒步穿越神农架无人区