首页 新闻 搜索 专区 学院

懂C++,win32救我,两天了,还没弄出来,获取进程命令行

0
悬赏园豆:50 [待解决问题]

在网上找了一份代码,能跑,但是结果很迷,我虽然刚刚接触win32编程,但是能看文档,按照文档上的要求,代码逻辑应该是没有问题的,但是结果就很迷,大家能帮我看一下这份代码哪里出问题了吗,或者帮我写一个函数,通过进程的句柄获取命令行也行

需求: 输入进程的PID ,获取进程的命令行 CommandLine,代码如下

typedef NTSTATUS (WINAPI *QT)(HANDLE,PROCESSINFOCLASS,PVOID,ULONG,PULONG);//NtQueryInformationProcess
TCHAR* ProcessInfo::GetProcessCommandLine(HANDLE hProcess)
{
    HMODULE hModule = 0;
    QT NtQuery = { 0 };
    hModule = LoadLibrary("Ntdll.dll");  //加载动态链接
    if (hModule)
    {
        NtQuery = (QT)GetProcAddress(hModule, "NtQueryInformationProcess");
        if (NtQuery == NULL){
            std::cout<<"NtQuery == NULL"<<std::endl;
            return 0;
        }
    }
    else{
        std::cout<<"hModule == NULL"<<std::endl;
        return 0;
    }
    PROCESS_BASIC_INFORMATION pi={0} ;
    NTSTATUS re = NtQuery(hProcess,
        ProcessBasicInformation, &pi, sizeof(pi), NULL);
    if (!NT_SUCCESS(re))
    {
        std::cout<<"!NT_SUCCESS(re)"<<std::endl;
        return 0;
    }
    PEB peb;
    RTL_USER_PROCESS_PARAMETERS para;
    ReadProcessMemory(hProcess, pi.PebBaseAddress, &peb, sizeof(peb), NULL); //将pi.PebBaseAddress的信息读取到peb中
    ReadProcessMemory(hProcess, peb.ProcessParameters,&para , sizeof(para), NULL);// 读取peb中的ProcessParameters
    TCHAR* CommandLine=(TCHAR*)malloc(sizeof(TCHAR)*30);
    ReadProcessMemory(hProcess, para.CommandLine.Buffer, CommandLine, 30 * 2, NULL);
    CloseHandle(hProcess);
    FreeLibrary(hModule);
    return CommandLine;
}
进击的汪sir的主页 进击的汪sir | 初学一级 | 园豆:152
提问于:2021-08-09 00:01
< >
分享
所有回答(2)
0

是不是方法不对,多百度几种,测试。

Supper_litt | 园豆:793 (小虾三级) | 2021-08-09 14:55
0

你的代码可以说是对的,但可能会造成commandline读取不全的情况。但32位不能读取64位的,懂不?否则会读取失败。还有注意权限的问题。

寂静的羽夏 | 园豆:441 (菜鸟二级) | 2021-10-09 20:48
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册