Von nem anderen Prozess-Befehlszeile in Windows

Ich versuche einen anderen Prozess Kommandozeile (unter WinXP 32bit).
Ich Tue das folgende:

  hProcess = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ | PROCESS_TERMINATE, FALSE, ProcList.proc_id_as_numbers[i]);

  BytesNeeded = sizeof(PROCESS_BASIC_INFORMATION);
  ZwQueryInformationProcess(hProcess, ProcessBasicInformation, UserPool, sizeof(PROCESS_BASIC_INFORMATION), &BytesNeeded);
  pbi = (PPROCESS_BASIC_INFORMATION)UserPool;

  BytesNeeded = sizeof(PEB);
  res = ZwReadVirtualMemory(hProcess, pbi->PebBaseAddress, UserPool, sizeof(PEB), &BytesNeeded);
  /* zero value returned */
  peb = (PPEB)UserPool;

  BytesNeeded = sizeof(RTL_USER_PROCESS_PARAMETERS);
  res = ZwReadVirtualMemory(hProcess, peb->ProcessParameters, UserPool, sizeof(RTL_USER_PROCESS_PARAMETERS), &BytesNeeded);
  ProcParam = (PRTL_USER_PROCESS_PARAMETERS)UserPool;

Nach dem ersten Aufruf von pbi.UniqueProcessID korrekt ist.
Aber nach dem Aufruf ZwReadVirtualMemory ich bekomme Befehlszeile für meinen Prozess, nicht angeforderte.

Ich auch ReadProcessMemore & NtQueryInformationProcess, aber das gleiche Ergebnis erhalten.

Kann jemand helfen?

Hier http://forum.sysinternals.com/get-commandline-of-running-processes_topic6510_page1.html gesagt wird, dass dieser code funktioniert. Leider weiß ich nicht haben Zugang zu post in diesem forum, sich der Frage zu stellen.

  • Vielleicht haben Sie 0 für die Prozess-id in die OpenProcess nennen, oder sowas in der Art?
  • Nein. hProcess korrekt ist und pbi die ich bekomme, ist auch richtig.
  • Vielleicht die Befehlszeile Ihres eigenen Prozesses ist die gleiche wie in der Befehlszeile des anderen Prozesses? 🙂
  • Nein. Das ist es nicht. Ich bin versucht zu finden, javaw-Prozess von c++ - Programms.
  • Möchten Sie vielleicht, dies zu Lesen: blogs.msdn.com/b/oldnewthing/archive/2009/11/25/9928372.aspx
InformationsquelleAutor Georg | 2011-06-30
  1. 4

    Duplizieren von Wie die Abfrage eines Laufenden Prozesses für it-Parameter-Liste? (windows, C++) , so werde ich kopiere einfach meine Antwort von dort hier:

    Können Sie nicht zuverlässig diese Informationen erhalten. Es gibt verschiedene tricks, um zu versuchen und abrufen, aber es gibt keine Garantie, dass der soll-Prozess noch nicht entstellten, die-Abschnitt des Speichers. Raymond Chen diskutiert dieses eine Weile zurück auf "The Old New Thing.

    • Die Frage ist nicht doppelt vorhanden; es fragt sich, warum die spezifischen code funktioniert nicht. Die Tatsache, dass die info im anderen Prozess' PEB unzuverlässig ist, ist interessant, aber es beantwortet die Frage nicht.
    • Ich nehme an, die oldnewthing ist ziemlich veraltet. Hier lese ich das Gegenteil: stackoverflow.com/questions/24754844/... Die ursprünglichen Commandline bleibt in der PEB und GetCommandLine() gibt nur eine Kopie davon!
    InformationsquelleAutor Jon
  2. 9

    Sieht es aus wie ZwReadVirtualMemory nur einmal aufgerufen wird. Das ist nicht genug. Es ist zu berufen, für jede Ebene der Dereferenzierung Zeiger. In anderen Worten, wenn Sie, um einen Zeiger verweist es auf andere Prozess-Adressraum. Sie kann es nicht Lesen direkt. Sie müssen rufen Sie ZwReadVirtualMemory wieder. Für den Fall, dass diese Datenstrukturen ZwReadVirtualMemory als 3-mal: einmal zu Lesen PEB (das ist das, was der code oben macht), einmal zu Lesen RTL_USER_PROCESS_PARAMETERS und einmal zu Lesen UNICODE_STRING Puffer.
    Das folgende code-fragment für mich gearbeitet (Fehlerbehandlung aus Gründen der übersichtlichkeit weggelassen und ich habe dokumentiert ReadProcessMemory-API anstelle von ZwReadVirtualMemory):

            LONG status = NtQueryInformationProcess(hProcess,
                                                0,
                                                pinfo,
                                                sizeof(PVOID)*6,
                                                NULL);
        PPEB ppeb = (PPEB)((PVOID*)pinfo)[1];
        PPEB ppebCopy = (PPEB)malloc(sizeof(PEB));
        BOOL result = ReadProcessMemory(hProcess,
                                        ppeb,
                                        ppebCopy,
                                        sizeof(PEB),
                                        NULL);

        PRTL_USER_PROCESS_PARAMETERS pRtlProcParam = ppebCopy->ProcessParameters;
        PRTL_USER_PROCESS_PARAMETERS pRtlProcParamCopy =
            (PRTL_USER_PROCESS_PARAMETERS)malloc(sizeof(RTL_USER_PROCESS_PARAMETERS));
        result = ReadProcessMemory(hProcess,
                                   pRtlProcParam,
                                   pRtlProcParamCopy,
                                   sizeof(RTL_USER_PROCESS_PARAMETERS),
                                   NULL);
        PWSTR wBuffer = pRtlProcParamCopy->CommandLine.Buffer;
        USHORT len =  pRtlProcParamCopy->CommandLine.Length;
        PWSTR wBufferCopy = (PWSTR)malloc(len);
        result = ReadProcessMemory(hProcess,
                                   wBuffer,
                                   wBufferCopy, //command line goes here
                                   len,
                                   NULL);

    Warum wir Sie sehen, sehen Sie den Befehl der Linie von unseren eigenen Prozess? Das ist, weil die Prozesse festgelegt, die in einer ähnlichen Weise. Befehlszeile und PEB-Verwandte Strukturen sind wahrscheinlich die gleichen Adressen. Also, wenn Sie verpasste ReadProcessMemory Sie am Ende genau mit den lokalen Prozess' Befehlszeile.

    • Danke für die Hilfe, aber ich habe bereits eine Lösung gefunden, in einer anderen Frage. Soweit ich mich erinnere, war dein code sieht ein bisschen besser (es ist keine Magie, Konstanten etc.).
    • Dieser code ist wirklich sehr hässlich und kryptisch. Warum nutzen Sie nicht ProcessBasicInformation anstelle von null. Warum gehst du nicht verwenden, sizeof(PROCESS_BASIC_INFORMATION) anstelle von sizeof(PVOID)*6 ?
    • Bitte beachten Sie: Sie brauchen, um hinzuzufügen, beenden NULL Charakter wBufferCopy .
    InformationsquelleAutor glagolig
  3. 5

    Ich versuche zu tun, die gleiche Sache mit mingw & Qt. Ich lief in ein problem mit "undefined reference to CLSID_WbemLocator". Nach einigen Forschung scheint es, dass die version von libwbemuuid.eine, die war im Lieferumfang meiner version von mingw nur definiert IID_IWbemLocator aber nicht CLSID_WbemLocator.

    Ich festgestellt, dass manuell definieren CLSID_WbemLocator funktioniert (obwohl wahrscheinlich nicht die "richtige" Art und Weise, Dinge zu tun).

    Der endgültige code:

    #include <QDebug>
#include <QString>
#include <QDir>
#include <QProcess>
#define _WIN32_DCOM
#include <windows.h>
#include "TlHelp32.h"
#include <stdio.h>
#include <tchar.h>
#include <wbemidl.h>
#include <comutil.h>

const GUID CLSID_WbemLocator = { 0x4590F811,0x1D3A,0x11D0,{ 0x89,0x1F,0x00,0xAA,0x00,0x4B,0x2E,0x24 } }; //for some reason CLSID_WbemLocator isn't declared in libwbemuuid.a (although it probably should be).

int getProcessInfo(DWORD pid, QString *commandLine, QString *executable)
{
    HRESULT hr = 0;
    IWbemLocator         *WbemLocator  = NULL;
    IWbemServices        *WbemServices = NULL;
    IEnumWbemClassObject *EnumWbem  = NULL;

    //initializate the Windows security
    hr = CoInitializeEx(0, COINIT_MULTITHREADED);
    hr = CoInitializeSecurity(NULL, -1, NULL, NULL, RPC_C_AUTHN_LEVEL_DEFAULT, RPC_C_IMP_LEVEL_IMPERSONATE, NULL, EOAC_NONE, NULL);
    hr = CoCreateInstance(CLSID_WbemLocator, 0, CLSCTX_INPROC_SERVER, IID_IWbemLocator, (LPVOID *) &WbemLocator);

    //connect to the WMI
    hr = WbemLocator->ConnectServer(L"ROOT\\CIMV2", NULL, NULL, NULL, 0, NULL, NULL, &WbemServices);
    //Run the WQL Query
    hr = WbemServices->ExecQuery(L"WQL", L"SELECT ProcessId,CommandLine,ExecutablePath FROM Win32_Process", WBEM_FLAG_FORWARD_ONLY, NULL, &EnumWbem);

    qDebug() << "Got here." << (void*)hr;
    //Iterate over the enumerator
    if (EnumWbem != NULL) {
        IWbemClassObject *result = NULL;
        ULONG returnedCount = 0;

        while((hr = EnumWbem->Next(WBEM_INFINITE, 1, &result, &returnedCount)) == S_OK) {
            VARIANT ProcessId;
            VARIANT CommandLine;
            VARIANT ExecutablePath;

            //access the properties
            hr = result->Get(L"ProcessId", 0, &ProcessId, 0, 0);
            hr = result->Get(L"CommandLine", 0, &CommandLine, 0, 0);
            hr = result->Get(L"ExecutablePath", 0, &ExecutablePath, 0, 0);

            if (ProcessId.uintVal == pid)
            {
                *commandLine = QString::fromUtf16((ushort*)(long)CommandLine.bstrVal);//+ sizeof(int)); //bstrs have their length as an integer.
                *executable = QString::fromUtf16((ushort*)(long)ExecutablePath.bstrVal);//+ sizeof(int)); //bstrs have their length as an integer.

                qDebug() << *commandLine << *executable;
            }

            result->Release();
        }
    }

    //Release the resources
    EnumWbem->Release();
    WbemServices->Release();
    WbemLocator->Release();

    CoUninitialize();
    //getchar();

    return(0);
}

    und in meinem Qt-Projekt-Datei (.pro -) ich link die folgenden Bibliotheken:

    LIBS += -lole32 -lwbemuuid
    • Dieser code findet mehrere Fehler überprüft und Leckagen des Speichers für die CommandLine und ExecutablePath BSTR. Jedoch, mithilfe von WMI ist die einzige zuverlässige Ansatz, um Kommandozeilen-Parameter, also +1 von mir.
    • plus 1 von mir...
    InformationsquelleAutor bruceceng
  4. 3

    Müssen Sie mehr diszipliniert mit der überprüfung der return-codes. Kann es sein, dass alle Ihre ZwReadVirtualMemory Anrufe Ertrag ein Fehler-code, die Punkte, die Sie in die richtige Richtung.

    Insbesondere die ProcList.proc_id_as_numbers[i] Teil deutet darauf hin, dass Sie die Ausführung dieses Codes in einer Schleife. Die Chancen sind, dass die procPeb.ProcessParameters Struktur ist immer noch gefüllt mit den Werten einer früheren loop-iteration - und da die ZwReadVirtualMemory rufen Sie schlägt auf Ihr Ziel-Prozess, erhalten Sie zu sehen, die Befehl Linie, von welchem Prozess war zuvor abgefragt.

    • Ich habe bearbeitet den code in der post. Auch ich markierte Zeile (erste Aufruf ZwReadVirtualMemory) was aber nicht funktioniert. Ich bin immer Fehlercode 122 (nicht genügend Puffer). Aber BytesNeeded nicht ändern, ist es Wert.
    InformationsquelleAutor Frerich Raabe
  5. 1

    Müssen Sie nicht Lesen Sie die VM von der Ziel-Prozess, dies zu tun. Nur stellen Sie sicher, dass Sie die richtige Prozess-ID des zielprozesses.

    Sobald Sie den Vorgang Griff über OpenProcess, dann können Sie NtQueryInformationProcess detaillierte Prozess-info. Verwenden Sie die ProcessBasicInformation option, um die PEB des Prozesses - diese enthält eine andere Struktur Zeiger RTL_USER_PROCESS_PARAMETERS, über die Sie bekommen können die Befehl Linie.

    • Wie es aussieht, man muss ZwReadVirtualMemory oder einige äquivalent, die.
    InformationsquelleAutor Steve Townsend
Schreibe einen Kommentar