【问题标题】：Finding parent process ID on Windows在 Windows 上查找父进程 ID
【发布时间】：2021-07-09 08:48:09
【问题描述】：

问题

给定远程 Windows 主机上的进程 ID 和命令行访问权限，您如何找到其父级的 PID？

解决方案

鉴于 Marc B 的回答，我们可以使用 WMIC（命令示例 here）并执行以下操作：

wmic process where (processid=PROCID_HERE) get parentprocessid

【问题讨论】：

如果你的路径乱七八糟（像我一样），那么你会很高兴知道 wmic.exe 在“C:\Windows\System32\wbem”中
需要注意的是进程ID是复用的，所以如果一个进程的父进程已经退出，你可能会错误地将一个不相关的进程识别为父进程。（我想你可以通过比较两个进程的运行时间来检测到这一点。）

标签： windows cmd

【解决方案1】：

C:\> wmic process get processid,parentprocessid,executablepath|find "process id goes here"

【讨论】：

你太棒了，谢谢。如果我错了，请纠正我，但这会在 LHS 的第一行返回其父级，而在 RHS 上返回其自身。然后，如果它本身是父进程，它将在 LHS 上显示更多进程，在 RHS 上显示子进程。
它应该按照您在命令行中指定的顺序以列格式返回内容。您可以去掉可执行路径位以将其减少到仅 pid/ppid 数字，这确实使它更紧凑。
嘿 Marc，玩了一下，它不符合您在 cmd 行上指定它们的方式。 get parentprocessid, processid & get processid, parentprocessid 都吐出lhs上的ParentProcessId和rhs上的processid
我不会感到惊讶。一致性并不是 BillCo 的标志性特征。
由于find 将匹配一个子字符串，这通常会生成无关数据。请改用where 子句，如其他两个答案所示。

【解决方案2】：

基于joslinm's solution in the question，这里有一个关于如何在批处理脚本中使用它的sn-p：

set PID=<this is the child process ID>
for /f "usebackq tokens=2 delims==" %%a in (`wmic process where ^(processid^=%PID%^) get parentprocessid /value`) do (
    set PARENT_PID=%%a
)

【讨论】：

【解决方案3】：

在PowerShell中：

PS> wmic process  where '(processid=4632)' get 'processid,parentprocessid,executablepath'
ExecutablePath                                              ParentProcessId  ProcessId
C:\Program Files\Docker\Docker\Resources\com.docker.db.exe  4488             4632

【讨论】：

【解决方案4】：

或者您可以在 PowerShell 中执行类似的操作：

Get-CimInstance -className win32_process | where-object {$_.ProcessId -eq processId_goes_here } | select ParentProcessId, Name

您也可以按名称过滤，只需将$_.ProcessId 替换为$_.Name 属性

【讨论】：

在 Windows 11 Insider Preview 22494.1000 WMIC 中已弃用所有其他答案，因此感谢此答案