任务管理器如何获取进程的命令行可执行路径？

Question

我正在查看任务管理器的进程列表，并启用查看 > 选择列 > 命令行以查看包含 exe 路径和命令行参数。

我尝试使用GetModuleFileNameEx 来实现相同的功能，但存在一些问题；首先，结果不包含任何参数，并且对于某些进程也会失败，例如 WinRar.exe 或 Opera.exe。

我知道任务管理器使用 WMI 来获取其中一些数据（我尝试关闭服务，但它失败了，就像我的脚本一样，对于相同的进程），但我想知道，是什么让进程的路径“无法获取” “？

Answer 1

任务管理器使用进程的PEB 结构来访问命令行参数（以及其他内容）。如果您对目标进程有HANDLE（以及访问其内存的足够权限），则可以使用NtQueryInformationProcess() 函数访问PEB（将其ProcessInformationClass 参数设置为ProcessBasicInformation 以接收@987654335 @结构）来获取目标进程地址空间内PEB的内存地址（除其他外）。然后，您可以根据需要使用ReadProcessMemory() 将PEB 的内容读入应用程序的地址空间。命令行参数使用PEB::ProcessParameters 字段定位，该字段是指向RTL_USER_PROCESS_PARAMETERS 结构的指针，该结构包含CommandLine 类型为UNICODE_STRING 的字段。

如果您是 32 位进程访问 64 位进程的 PEB，则事情会变得有点棘手，反之亦然。您必须考虑不同大小的指针（4 个 32 位，8 个 64 位），这会影响结构大小和偏移量。

但这就是它的要点。