在没有 WMI 的情况下获取进程的命令行

2024-02-07

我找到了wj32post https://wj32.org/wp/2009/01/24/howto-get-the-command-line-of-processes/关于如何通过WinAPI读取指定进程的命令行。我尝试在 C# 上翻译该示例，但有几个问题。我可以获得指向 RTL_USER_PROCESS_PARAMETERS 结构的 CommandLine 字段的有效指针，但困难在于获取字符串本身。我应该使用不安全的代码吗？如何使用 wj32 的示例正确获取进程的命令行？

using System;
using System.Runtime.InteropServices;

namespace CommandLine {
  internal static class NativeMethods {
    [DllImport("kernel32.dll", SetLastError = true)]
    [return: MarshalAs(UnmanagedType.Bool)]
    internal static extern Boolean CloseHandle(
        IntPtr hObject
    );

    [DllImport("kernel32.dll", SetLastError = true)]
    internal static extern IntPtr OpenProcess(
        UInt32  dwDesiredAccess,
        [MarshalAs(UnmanagedType.Bool)]
        Boolean bInheritHandle,
        Int32   dwProcessId
    );

    [DllImport("kernel32.dll", SetLastError = true)]
    [return: MarshalAs(UnmanagedType.Bool)]
    internal static extern Boolean ReadProcessMemory(
        IntPtr hProcess,
        IntPtr lpBaseAddress,
        out IntPtr lpBuffer,
        Int32  nSize,
        out IntPtr lpNumberOfBytesRead
    );

    [DllImport("ntdll.dll")]
    internal static extern Int32 NtQueryInformationProcess(
        IntPtr ProcessHandle,
        UInt32 ProcessInformationClass,
        ref PROCESS_BASIC_INFORMATION ProcessInformation,
        UInt32 ProcessInformationLength,
        IntPtr ReturnLength
    );

    [StructLayout(LayoutKind.Sequential)]
    internal struct PROCESS_BASIC_INFORMATION {
      internal Int32  ExitProcess;
      internal IntPtr PebBaseAddress;
      internal IntPtr AffinityMask;
      internal Int32  BasePriority;
      internal IntPtr UniqueProcessId;
      internal IntPtr InheritedFromUniqueProcessId;

      internal UInt32 Size {
        get { return (UInt32)Marshal.SizeOf(typeof(PROCESS_BASIC_INFORMATION)); }
      }
    }

    [StructLayout(LayoutKind.Sequential)]
    internal struct UNICODE_STRING {
      internal UInt16 Length;
      internal UInt16 MaximumLength;
      [MarshalAs(UnmanagedType.LPWStr)]
      internal String Buffer;
    }
  }

  internal sealed class Program {
    private const UInt32 PROCESS_QUERY_INFORMATION = 0x400;
    private const UInt32 PROCESS_VM_READ = 0x010;

    [STAThread()]
    static void Main(String[] args) {
      if (args.Length != 1) return;

      Int32 pid;
      if (!Int32.TryParse(args[0], out pid)) return;

      IntPtr proc;
      NativeMethods.PROCESS_BASIC_INFORMATION pbi = new NativeMethods.PROCESS_BASIC_INFORMATION();
      IntPtr rupp; //RTL_USER_PROCESS_PARAMETERS
      IntPtr cmdl; //CommandLine field
      IntPtr read;

      if ((proc = NativeMethods.OpenProcess(
          PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, false, pid
      )) == IntPtr.Zero) return;

      if (NativeMethods.NtQueryInformationProcess(proc, 0, ref pbi, pbi.Size, IntPtr.Zero) == 0) {
        if (NativeMethods.ReadProcessMemory(
            proc, (IntPtr)(pbi.PebBaseAddress.ToInt32() + 0x10), out rupp, IntPtr.Size, out read
        )) {
          if (NativeMethods.ReadProcessMemory(
              proc, (IntPtr)(rupp.ToInt32() + 0x40), out cmdl,
              Marshal.SizeOf(typeof(NativeMethods.UNICODE_STRING)), out read
          )) {
            // what I need to do to get command line?
          }
        }
      }

      NativeMethods.CloseHandle(proc);
    }
  }
}

好的，我已经在几个进程上测试了这个版本。请注意，它仅适用于 32 位进程，因为 64 位的内存布局不同。我没有时间来写为什么我做出了这些改变，但希望你能解决这个问题。如果我有时间我会回来更新答案

using System;
using System.Runtime.InteropServices;

namespace CommandLine
{
    internal static class NativeMethods
    {
        [DllImport("kernel32.dll", SetLastError = true)]
        [return: MarshalAs(UnmanagedType.Bool)]
        internal static extern Boolean CloseHandle(
            IntPtr hObject
        );

        [DllImport("kernel32.dll", SetLastError = true)]
        internal static extern IntPtr OpenProcess(
            UInt32 dwDesiredAccess,
            [MarshalAs(UnmanagedType.Bool)]
        Boolean bInheritHandle,
            Int32 dwProcessId
        );


        [DllImport("kernel32.dll", SetLastError = true)]
        [return: MarshalAs(UnmanagedType.Bool)]
        internal static extern Boolean ReadProcessMemory(
            IntPtr hProcess,
            IntPtr lpBaseAddress,
            byte[] lpBuffer,
            Int32 nSize,
            out IntPtr lpNumberOfBytesRead
        );

        [DllImport("ntdll.dll")]
        internal static extern Int32 NtQueryInformationProcess(
            IntPtr ProcessHandle,
            UInt32 ProcessInformationClass,
            ref PROCESS_BASIC_INFORMATION ProcessInformation,
            UInt32 ProcessInformationLength,
            IntPtr ReturnLength
        );

        [StructLayout(LayoutKind.Sequential, Pack=1)]
        internal struct PROCESS_BASIC_INFORMATION
        {
            internal Int32 ExitProcess;
            internal IntPtr PebBaseAddress;
            internal IntPtr AffinityMask;
            internal Int32 BasePriority;
            internal IntPtr UniqueProcessId;
            internal IntPtr InheritedFromUniqueProcessId;

            internal UInt32 Size
            {
                get { return (UInt32)Marshal.SizeOf(typeof(PROCESS_BASIC_INFORMATION)); }
            }
        }

        [StructLayout(LayoutKind.Sequential, Pack=1)]
        internal struct UNICODE_STRING
        {
            internal UInt16 Length;
            internal UInt16 MaximumLength;
            internal IntPtr buffer;
        }
    }

    internal sealed class Program
    {
        private const UInt32 PROCESS_QUERY_INFORMATION = 0x400;
        private const UInt32 PROCESS_VM_READ = 0x010;

        [STAThread()]
        static void Main(String[] args)
        {
            if (args.Length != 1) return;

            Int32 pid;
            if (!Int32.TryParse(args[0], out pid)) return;

            IntPtr proc;
            NativeMethods.PROCESS_BASIC_INFORMATION pbi = new NativeMethods.PROCESS_BASIC_INFORMATION();
            IntPtr read;

            if ((proc = NativeMethods.OpenProcess(
                PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, false, pid
            )) == IntPtr.Zero) return;

            if (NativeMethods.NtQueryInformationProcess(proc, 0, ref pbi, pbi.Size, IntPtr.Zero) == 0)
            {
                byte[] rupp = new byte[IntPtr.Size];
                if (NativeMethods.ReadProcessMemory(
                    proc, (IntPtr)(pbi.PebBaseAddress.ToInt32() + 0x10), rupp, IntPtr.Size, out read
                ))
                {
                    Int32 ruppPtr = BitConverter.ToInt32(rupp,0);
                    byte[] cmdl = new byte[Marshal.SizeOf(typeof(NativeMethods.UNICODE_STRING))];

                    if (NativeMethods.ReadProcessMemory(
                        proc, (IntPtr)(ruppPtr + 0x40), cmdl,
                        Marshal.SizeOf(typeof(NativeMethods.UNICODE_STRING)), out read
                    ))
                    {
                        NativeMethods.UNICODE_STRING ucsData;
                        ucsData = ByteArrayToStructure<NativeMethods.UNICODE_STRING>(cmdl);
                        byte[] parms =new byte[ucsData.Length];
                        if (NativeMethods.ReadProcessMemory(
                            proc, ucsData.buffer, parms,
                            ucsData.Length, out read
                            ))
                        {
                            var s = System.Text.Encoding.Unicode.GetString(parms);
                            Console.WriteLine("Parameters = {0}", s);
                        }
                    }
                }
            }

            NativeMethods.CloseHandle(proc);
        }
        static T ByteArrayToStructure<T>(byte[] bytes) where T : struct
        {
            GCHandle handle = GCHandle.Alloc(bytes, GCHandleType.Pinned);
            T stuff = (T)Marshal.PtrToStructure(handle.AddrOfPinnedObject(), typeof(T));
            handle.Free();
            return stuff;
        }
    }
}

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

c

在没有 WMI 的情况下获取进程的命令行的相关文章

添加 Nullable int 时保持 null？

我想添加可为空的int 并保留null当所有值都是null 我想要这个结果 1 2 3 1 null 1 null null null O null 0 问题是如果我将一个值与 null 相加结果为 null int i1 1 int
CMake 找不到请求的 Boost 库

既然我已经浏览了其他人的解决方案几个小时但找不到适合我的问题的正确答案我想将我的具体问题带给您我正在尝试使用 CMake 构建 vsomeip 为此我之前构建了 boost 1 55 但是我在 CMake 中收到以下错误 The
Poco c++Net：Http 从响应中获取标头

我使用 POCO C Net 库进行 http 我想尝试制定持久缓存策略首先我认为我需要从缓存标头中获取过期时间并与缓存值进行交叉检查如果我错了请告诉我那么我如何从中提取缓存头httpResponse 我已经看到你可以用 Jav
在路由mvc 4中添加公司名称

我一直在尝试为 Facebook 等用户提供在 URL 中添加公司名称的选项 http localhost 50753 MyCompany Login 我尝试过不同的网址但没有成功 routes MapRoute name Default
如何在另一个应用程序中挂钩 api 调用

我正在尝试挂钩另一个应用程序的 ExtTextOut 和 DrawTextExt GDI 方法调用我知道我需要使用 GetProcAddress 来查找 gdi32 dll 中那些方法的地址并用我的函数的地址覆盖我想要挂钩的进程中的地址
在 Java 中创建 T 的新实例

在C 中我们可以定义一个泛型class A
检测wlan是否关闭

任何人都可以给我一个提示如何在 Windows Phone 上以编程方式检测 C 8 1 应用程序不是 8 0 是否启用禁用 WLAN 我不想更改这些设置只是需要知道该解决方案是一个 Windows 8 1 通用应用程序 Wind
从模板切换传递的类型

在 C 中是否可以检查传递给模板函数的类型例如 template
运行需要 MySql.Data 的内置 .NET 应用程序

我在运行我编写的内置 NET 应用程序时遇到问题我的应用程序使用最新的 MySql 连接器该连接器安装在我的系统上当我尝试将其添加为引用时该连接器显示为 NET 4 Framwork 组件当我在环境中以调试模式运行应用程序时一切
为什么'enable_if'不能用于禁用这里声明

include
使用查询表达式对 List 进行排序

我在使用 Linq 订购这样的结构时遇到问题 public class Person public int ID get set public List
增强精神、递归和堆栈溢出

为什么下面的代码在运行时崩溃它会给出堆栈溢出错误 include
C# 编译器不会优化不必要的强制转换

前几天在写答案的时候这个问题 https stackoverflow com questions 2208315 why is any slower than contains在这里关于溢出我对 C 编译器感到有点惊讶它没有按照我的
如何对 NServiceBus.Configure.WithWeb() 进行单元测试？

我正在构建一个 WCF 服务该服务接收外部 IP 上的请求并将其转换为通过 NServiceBus 发送的消息我的单元测试之一调用Global Application Start 它执行应用程序的配置然后尝试将 Web 服务解析为验
搜索实体的所有字段

我正在尝试在客户数据库上实现多功能框类型的搜索其中单个查询应尝试匹配客户的任何属性这是一些示例数据来说明我想要实现的目标 FirstName LastName PhoneNumber ZipCode Mary Jane 12345
使用具有抗锯齿功能的 C# 更改抗锯齿图像的背景颜色

我有一个图像需要更改背景颜色例如将下面示例图像的背景更改为蓝色然而图像是抗锯齿的所以我不能简单地用不同的颜色替换背景颜色我尝试过的一种方法是创建第二个图像仅作为背景并更改其颜色并将两个图像合并为一个图像但是这不起作用因为
如何从 Rx Subscribe 回调异步函数？

我想回调 Rx 订阅中的异步函数例如像那样 public class Consumer private readonly Service service new Service public ReplaySubject
选择查询不适用于使用Parameters.AddWithValue 的参数

C 中的以下查询不起作用但我看不出问题所在 string Getquery select from user tbl where emp id emp id and birthdate birthdate cmdR Parameters
C++ 中 void(*)() 和 void(&)() 之间的区别[重复]

这个问题在这里已经有答案了在此示例代码中 func1是类型void int double and funky是类型void int double include
结构化绑定的用例有哪些？

C 17 标准引入了新的结构化绑定 http en cppreference com w cpp language structured binding功能最初是proposed http www open std org jtc1 sc

随机推荐

Kafka 连接可以使用批量模式的自定义查询吗？

我正在尝试发送 7 天前的每行记录这是我正在研究的配置但它即使查询在数据库服务器上生成记录也不起作用 connector class io confluent connect jdbc JdbcSourceConnector task
索引缓冲区对象和 UV 坐标效果不佳

这会生成 25 个主要顶点 For x As Single 1 To 1 Step 0 5F For y As Single 1 To 1 Step 0 5F Dim pt1 As New Vector3 x y 0 tFloats Add
使用 Vue 3 Composition API 创建全局商店

我正在尝试仅使用 Vue 3 Composition API 创建一个全局商店到目前为止我一直在做实验并且阅读了很多如何使用 Composition API 但知道我不知道如何使用provide和inject 我所知道的是provid
Java：获取字符串中最后一个单词的最简单方法

在Java中获取字符串的最后一个单词的最简单方法是什么您可以假设没有标点符号只有字母字符和空格 String test This is a sentence String lastWord test substring test las
如何创建像 Delphi 应用程序一样的独立（没有 DLL 文件依赖项）C++Builder 控制台应用程序？

当我创建 Delphi 控制台应用程序时我可以部署生成的 EXE 文件而不必担心外部 DLL 文件但如果我创建非常简单C Builder http en wikipedia org wiki C Builder 2007 版控制台应
VirtualLock 真的如其所说吗？

出于安全目的我目前正在研究如何避免在程序执行过程中交换某些数据块据我搜索我在Linux上找到了mlock 这似乎正是我需要的工具在Windows上找到了VirtualLock 对于后者我发现了不同的看法这文档 https msd
什么是调用方法和被调用方法？

调用方法和被调用方法是否相同我想知道的是调用方法是指调用另一个方法在大多数情况下是主方法的方法还是主方法本身调用方法是包含实际调用的方法被调用的方法是被调用的方法他们是不同的例如 Calling method void
查找所有参与者都可以参加的会议时段的算法

在采访博客中遇到这个问题给出表格中的空闲时间安排 a b i e from a to b of n人们打印所有时间间隔其中所有n参与者有空它就像一个日历应用程序建议可能的会议时间 Example Person1 4 16 18 2
Google Cloud Storage 存储桶抛出错误“要计费的项目与已关闭的计费帐户关联。”

我已经检查了我的项目它有一个活跃的计费帐户 https i stack imgur com NKKrd png 我正在使用节点js var gcloud require gcloud var gcs gcloud storage proj
有没有一种快速的方法来获得鼠标下的控制？

我需要在另一个控件的事件中找到鼠标下的控件我可以从GetTopLevel并使用向下迭代GetChildAtPoint 但是有没有更快的方法呢这段代码没有多大意义但它确实避免了遍历 Controls 集合 System Runtime
python BeautifulSoup解析表

我正在学习Pythonrequests和美丽汤作为练习我选择编写一个快速的纽约停车罚单解析器我能够得到一个相当难看的 html 响应我需要抓住lineItemsTable并解析所有票据您可以通过以下方式重现该页面 https pa
同步代码比非同步代码执行得更快

我得到了这个令人惊叹的结果但我绝对不知道原因我有两种方法可以简化为 private static final ConcurrentHashMap
我的查询第二次运行得更快，我该如何阻止它？

我正在 oracle 10 中运行查询select A from B where C DB 有数百万条记录 C 上没有索引第一次运行大约需要 30 秒第二次运行查询大约需要 1 秒显然它正在缓存一些东西我希望它停止它每次我运行查询
如何使用 C# 中的类型创建通用委托？

如果我有一个类型例如 Type type myObject GetType 如何创建使用该类型的对象作为参数的通用委托我期望代码类似于 myDelegate Action
使用 mySQL 返回多个表的排名

这是我的表结构 Lang LAN Id LAN En DI Direct WE Web OT Other 细分 SEG Id SEG Code 1 DI 2 WE 3 OT
致命错误：require(): 无法打开所需的 'C:\wamp\www\sep24\e/src/functions.php' (include_path='.;C:\php\pear')

尝试从 wamp 服务器的路径运行 trans php 程序 C wamp www sep24 e trans php 我已将 AWS 文件夹包含在 C wamp www sep24 e 亚马逊 wamp www 文件夹中的 AWS 凭证文
SVG 到 PDF 的转换适用于 Plotly.js，但不适用于 C3.js

我正在使用 css2pdf 在 onclick 事件后将我的 svg 图表保存为 pdf 它适用于plotly js 但不适用于c3 js 请参阅我的小提琴 http jsfiddle net 3hs7cs4f http jsfiddle
如何获取对象的id？

如何获取对象的id 我知道id是hola 但我需要在运行时获取它 alert hola id 想法是这样的 Use attr http api jquery com attr 读取属性 alert hola att
apache cxf客户端初始化缓慢

我正在使用 wsdl2java 生成的类和以下代码 MyService f new MyService MyServicePortType type f getMyServicePortType 每个调用最多需要 30 秒这是为什么经过
在没有 WMI 的情况下获取进程的命令行

我找到了wj32post https wj32 org wp 2009 01 24 howto get the command line of processes 关于如何通过WinAPI读取指定进程的命令行我尝试在 C 上翻译该示例但

在没有 WMI 的情况下获取进程的命令行

在没有 WMI 的情况下获取进程的命令行 的相关文章

随机推荐

热门标签

在没有 WMI 的情况下获取进程的命令行的相关文章