无法获取进程 ID 4 (ntoskrnl.exe) 的可执行路径

Question

我一直在尝试通过枚举所有进程来获取可执行路径。我同时使用了 GetModuleFileNameExA 和 QueryFullProcessImageNameA 来获取可执行文件的路径。

它适用于几乎所有东西，除了少数像 ntoskrnl.exe（系统，进程 ID：4）。当我使用这些方法时，获得的 HANDLE 是 NOT NULL 但函数 fail。

GetLastError 结果是 31

代码是否有任何问题或必须采取任何解决方法？ 注意：我的 EXE 是 32 位 EXE，我有 64 位操作系统。这有关系吗？

INT32 GetFileNameAndPath(DWORD processId,string &filePath,string &fileName)
{
CHAR path[MAX_PATH];
DWORD size=MAX_PATH;
smatch match;

HANDLE hProcess = OpenProcess(PROCESS_QUERY_LIMITED_INFORMATION,FALSE,processId);

if(hProcess != NULL)
{
    regex regx("[^\\\\]+$");

    if(GetModuleFileNameExA(hProcess,NULL,path,size) != 0)
    {
        filePath = path;

        if(regex_search(filePath,match,regx))
            fileName = match.str();
    }
    else if(QueryFullProcessImageNameA(hProcess,0,path,&size) != 0)
    {
        filePath = path;

        if(regex_search(filePath,match,regx))
            fileName = match.str();
    }
    else
    {
        cout<<GetLastError();
    }
}

CloseHandle(hProcess);

return SUCCESS;
}

Answer 1

是的！答案是无法获取ntoskrnl.exe的路径。我想知道任务管理器是如何做到的。经过几个小时的检查，我找到了它！ :P（不应该花那么多钱）。

Task Manager Screenshot

如果您看到该屏幕截图，您可以看到进程 系统的图像路径名称 是 C:\WINDOWS 而对于 conhost.exe 它是 C:\Windows。

甚至窗口都为该 Exe 进行了硬编码。他们将其硬编码为 %Systemroot%\system32\ntoskrnl.exe。只有当您展开 Systemroot 时，您才会获得 C:\WINDOWS 的值。当您使用诸如 GetModuleFileNameEx 之类的 API 时，您将获得路径为 C:\Windows。所以技术上没有办法。根据我的假设，出于安全原因，他们不允许任何用户获取 Exe 的路径。