获取所有进程的映像路径以及命令VC源代码

48 阅读 0 评论 32 点赞

我是靠谱客的博主美好唇彩，最近开发中收集的这篇文章主要介绍获取所有进程的映像路径以及命令VC源代码，觉得挺不错的，现在分享给大家，希望可以做个参考。

概述

http://code1.okbase.net/codefile/CommandLine.cpp_201211112590_1.htm

/*****************************************************************************************
在网上，我们似乎很难找到关于获取其他进程命令行的方案或源代码，呵呵~，反正我找了很久还是找不着~~~。废话就不说了，开始进入正题。
我们知道，如果获取本进程命令行的话，可以通过调用 GetCommandLine 获得， GetCommandLine 返回的是LPTSTR类型的数据，该返回值便是本进程命令行的内存首地址。那么，我们可以让远程执行 GetCommandLine 这个函数，然后获取远程进程中这个函数的返回值，再通过 ReadProcessMemory 把远程进程的命令行读出来就得到我们想要的了。
具体实现步骤如下：
1、通过 GetProcAddress 取得 GetCommandLineA 的地址。
2、用 CreateRemoteThread 启动远程线程，使远程进程执行 GetCommandLineA 。
3、用 WaitForSingleObject 等待远程线程结束。
4、用 GetExitCodeThread 取得远程线程退出代码，其实就是远程进程中 GetCommandLineA 函数的返回值，这是远程进程命令行的首地址。
5、通过 GetProcAddress 取得 lstrlenA 的地址。
6、用 CreateRemoteThread 启动远程线程，使远程进程执行 lstrlenA 。
7、用 WaitForSingleObject 等待远程线程结束。
8、用 GetExitCodeThread 取得远程线程退出代码，其实就是远程进程中 lstrlenA 函数的返回值，这是远程进程命令行的文本长度。
9、使用 ReadProcessMemory 把远程进程的命令行读取出来。
10、收工！
·若要转载，请保持该文章的完整性。
******************************************************************************************/
//
//功能：获取所有进程的映像路径以及命令行参数
//作者：梁增健(lzj85@163.com)
//MyQQ：184186651
//日期：2007.06.11
//
#include <windows.h>
#include <tlhelp32.h>
#include <iostream.h>
//定义命令行信息结构体
typedef struct tagCOMMANDLINEINFO {
DWORD dwDestCommand_addr;//目标进程命令行的起始地址
DWORD iDestCommandLength;//目标进程命令行的长度
} COMMANDLINEINFO;
//函数声明
BOOLUpgradeProcessPrivilege(HANDLE,LPCTSTR);
BOOLGetProcessCommandLineInfo(HANDLE,COMMANDLINEINFO*);
//主函数
intmain(int argc,char*argv[ ],char*envp[ ] )
{
UpgradeProcessPrivilege(GetCurrentProcess(),SE_DEBUG_NAME);//提升本进程的权限
HANDLE hSnapshot, hProcess;
hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,NULL);//创建进程快照
PROCESSENTRY32 pe;
ZeroMemory(&pe,sizeof(PROCESSENTRY32));
pe.dwSize=sizeof(PROCESSENTRY32);
BOOL bFirstProcess=TRUE, bSucceed=FALSE;
do
{
if(bFirstProcess)
bFirstProcess = !(bSucceed=Process32First(hSnapshot,&pe));//获取第一个进程的信息
else
bSucceed = Process32Next(hSnapshot, &pe); //获取下一个进程的信息
if(bSucceed)
{
hProcess = OpenProcess (PROCESS_ALL_ACCESS,FALSE, pe.th32ProcessID);//打开进程
if(hProcess!=0)
{
char*strDestCommand;
COMMANDLINEINFO cli;
ZeroMemory(&cli,sizeof(COMMANDLINEINFO));
if(GetProcessCommandLineInfo(hProcess,&cli))//获取进程的命令行信息
{
try
{
strDestCommand = new char[cli.iDestCommandLength+1];
ZeroMemory(strDestCommand, cli.iDestCommandLength+1);
//读取目标进程的命令行文本
ReadProcessMemory ( hProcess,
(constvoid*)cli.dwDestCommand_addr,
strDestCommand,
cli.iDestCommandLength,
NULL);
cout<<"程序名："<<pe.szExeFile<<"n命令行："<<strDestCommand<<"n"<<endl;
delete []strDestCommand;
}
catch(...)
{
cout<<"发生异常！n"<<endl;
}
}
else
{
cout<<"程序名："<<pe.szExeFile<<"n"<<endl;
}
CloseHandle(hProcess);//关闭进程句柄
}
}
}while(bSucceed);
CloseHandle(hSnapshot);//关闭快照句柄
return0;
}
/****************************************************************************************/
/*****************************************子程序*****************************************/
/****************************************************************************************/
//
//名称：UpgradeProcessPrivilege
//功能：提升进程权限
//作者：梁增健(lzj85@163.com)
//MyQQ：184186651
//日期：2007.06.11
//
BOOLUpgradeProcessPrivilege(HANDLE hProcess,
LPCTSTR lpPrivilegeName=SE_DEBUG_NAME)
{
HANDLE hToken=NULL;
if(OpenProcessToken(hProcess,TOKEN_ALL_ACCESS,&hToken))
{
LUIDLuid;
if(LookupPrivilegeValue(NULL, lpPrivilegeName, &Luid))
{
TOKEN_PRIVILEGES tp;
tp.PrivilegeCount=1;
tp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;
tp.Privileges[0].Luid=Luid;
return(AdjustTokenPrivileges(hToken,FALSE,&tp,0,NULL,NULL) );
}
}
returnFALSE;
}
//
//名称：GetProcessCommandLineInfo
//功能：获取进程命令行信息
//作者：梁增健(lzj85@163.com)
//MyQQ：184186651
//日期：2007.06.11
//
BOOLGetProcessCommandLineInfo(HANDLE hProcess,COMMANDLINEINFO*CommandLineInfo)
{
if(IsBadReadPtr(CommandLineInfo,sizeof(COMMANDLINEINFO)))//判断指针是否有效
returnFALSE;
FARPROCGetCommandLineA_addr, lstrlenA_addr;
HANDLE hThread;
//获取 GetCommandLineA 的地址
GetCommandLineA_addr=GetProcAddress(GetModuleHandle("Kernel32.dll"),"GetCommandLineA");
if(GetCommandLineA_addr==0)
returnFALSE;
//启动远程线程，使远程进程执行 GetCommandLineA 函数
hThread = CreateRemoteThread(hProcess, NULL, 0,
(LPTHREAD_START_ROUTINE)GetCommandLineA_addr,NULL,0,NULL);
if(hThread==0)
returnFALSE;
WaitForSingleObject (hThread,INFINITE);//等待远程线程结束
//作者：梁增健 Email：lzj85@163.com MyQQ：184186651
//获取远程 GetCommandLineA 的返回值，若正常返回，则该值为远程进程命令行的首地址
GetExitCodeThread (hThread,&(CommandLineInfo->dwDestCommand_addr));
CloseHandle (hThread);
if(CommandLineInfo->dwDestCommand_addr==0)
returnFALSE;
//获取 lstrlenA 的地址
lstrlenA_addr = GetProcAddress( GetModuleHandle ("Kernel32.dll"),"lstrlenA");
if(GetCommandLineA_addr==0)
returnFALSE;
//启动远程线程，使远程进程执行 lstrlenA 函数
hThread = CreateRemoteThread(hProcess, NULL, 0,(LPTHREAD_START_ROUTINE)lstrlenA_addr,
(void*)CommandLineInfo->dwDestCommand_addr,0,NULL);
if(hThread==0)
returnFALSE;
WaitForSingleObject (hThread,INFINITE);
//获取远程 lstrlenA 的返回值，若正常返回，则该值为远程进程命令行文本的长度
GetExitCodeThread (hThread,&(CommandLineInfo->iDestCommandLength));
CloseHandle (hThread);
returnTRUE;
}
/*************************************************************************************/
/****************************************子程序***************************************/
/*************************************************************************************/
开发环境： VC6 Windows XP

测试环境： WindowsXP

我们都知道，在程序里获取命令行参数很简单，WinMain函数会以参数的形式传递给我们，或者可以调用API GetCommandLine 获取。但是GetCommandLine函数不接受参数，获取的只是自己程序的命令行参数。那么如果我们想获取别的应用程序的命令行参数应该怎么办呢？
有的同学说，既然GetCommandLine只能获取本程序的命令行参数，我们可以在其它进程里插入一个Dll，在那个进程的地址空间调用GetCommandLine函数，然后传回来就可以了。这样好像有点儿不太友好。让我们想想还有没有别的办法。

我们想，自己的命令行参数既然随时都可以获取到，那么在该进程里一定有一个地方存放它。那么在哪儿呢？看一下GetCommandLine函数的反汇编代码，我们发现，原来世界是如此的美好！

以下是WinXP系统的GetCommandLine函数反汇编代码：

1. .text:7C812C8D GetCommandLineA proc near

2. .text:7C812C8D mov eax, dword_7C8835F4     //dword_7C8835F4 就是命令行参数字符串的地址

3. //该指令机器码为 A1 F4 35 88 7C，从第2个字节开始的4个字节就是我们要的地址

4. .text:7C812C92 retn

5. .text:7C812C92 GetCommandLineA endp

既然知道了放在哪儿了，我们自己去拿就可以了。因为GetCommandLine函数的地址在各个进程内都是一样的，所以可以直接用我们进程里的地址。 win2000/xp系统很简单，98下稍微麻烦一点儿，需要进行一些简单的计算。以下是GetCommandLine函数在win98下的汇编代码：

01. .text:BFF8C907 GetCommandLineA proc near

02. .text:BFF8C907 mov eax, dword_BFFCADE4

03. .text:BFF8C90C mov ecx, [eax]

04. .text:BFF8C90E mov eax, [ecx+0C0h]

05. .text:BFF8C914 test eax, eax

06. .text:BFF8C916 jnz short locret_BFF8C91E

07. .text:BFF8C918 mov eax, [ecx+40h]

08. .text:BFF8C91B mov eax, [eax+8] //算到这儿，才是我们想要的地址

09. .text:BFF8C91E

10. .text:BFF8C91E locret_BFF8C91E: ; CODE XREF: GetCommandLineA+F.

11. .text:BFF8C91E retn

这样，我们就可以调用OpenProcess函数打开其它进程，然后用ReadProcessMemory读取相应的数据即可。示例代码：

view source

print ?

01. DWORD g_GetCmdLine(DWORD dwPID,TCHAR* pCmdLine,DWORD dwBufLen)

02. {

03. #define BUFFER_LEN    512        //reading buffer for the commandline

04.

05. HANDLE hProc = OpenProcess(PROCESS_VM_READ,FALSE,dwPID);

06. if(hProc == NULL)

07. {

08. return GetLastError();

09. }

10.

11. DWORD dwRet = -1;

12. DWORD dwAddr = *(DWORD*)((DWORD)GetCommandLine + 1);//第2个字节开始才是我们要读的地址

13. TCHAR tcBuf[BUFFER_LEN] = {0};

14. DWORD dwRead = 0;

15.

16. //判断平台

17. DWORD dwVer = GetVersion();

18. try

19. {

20. if(dwVer < 0x80000000)        // Windows NT/2000/XP

21. {

22. if(ReadProcessMemory(hProc,(LPVOID)dwAddr,&dwAddr,4,&dwRead))

23. {

24. if(ReadProcessMemory(hProc,(LPVOID)dwAddr,tcBuf,BUFFER_LEN,&dwRead))

25. {

26. _tcsncpy(pCmdLine,tcBuf,dwBufLen);    //最好检查一下dwRead和dwBufLen的大小，使用较小的那个

27. dwRet = 0;

28. }

29. }

30. }

31. else                        // Windows 95/98/Me    and Win32s

32. {

33. while(true)                //使用while是为了出错时方便跳出循环

34. {

35. if(!ReadProcessMemory(hProc,(LPVOID)dwAddr,&dwAddr,4,&dwRead))break;

36. if(!ReadProcessMemory(hProc,(LPVOID)dwAddr,&dwAddr,4,&dwRead))break;

37.

38. if(!ReadProcessMemory(hProc,(LPVOID)(dwAddr + 0xC0),tcBuf,BUFFER_LEN,&dwRead)) break;

39. if(*tcBuf == 0)

40. {

41. if(!ReadProcessMemory(hProc,(LPVOID)(dwAddr + 0x40),&dwAddr,4,&dwRead)) break;

42. if(!ReadProcessMemory(hProc,(LPVOID)(dwAddr + 0x8),&dwAddr,4,&dwRead)) break;

43. if(!ReadProcessMemory(hProc,(LPVOID)dwAddr,tcBuf,BUFFER_LEN,&dwRead)) break;

44. }

45.

46. _tcsncpy(pCmdLine,tcBuf,dwBufLen);    //最好检查一下dwRead和dwBufLen的大小，使用较小的那个

47. dwRet = 0;

48. break;

49. }

50. }

51. }

52. catch(...)

53. {

54. dwRet = ERROR_INVALID_ACCESS;    //exception

55. }

56. CloseHandle(hProc);

57.

58. return dwRet;

59. }

全文完
1. #include "stdafx.h"
2. #include <windows.h>
3. #include <stdio.h>
4. #include <conio.h>
6. //UNICODE_STRING结构定义
7. typedef struct
8. {
9. USHORT Length;
10. USHORT MaximumLength;
11. PWSTR Buffer;
12. }UNICODE_STRING, *PUNICODE_STRING;
15. //进程参数结构定义,必有和NativeAPI规范相符和
16. typedef struct
17. {
18. ULONG AllocationSize;
19. ULONG ActualSize;
20. ULONG Flags;
21. ULONG Unknown1;
22. UNICODE_STRING Unknown2;
23. HANDLE InputHandle;
24. HANDLE OutputHandle;
25. HANDLE ErrorHandle;
26. UNICODE_STRING CurrentDirectory;
27. HANDLE CurrentDirectoryHandle;
28. UNICODE_STRING SearchPaths;
29. UNICODE_STRING ApplicationName;
30. UNICODE_STRING CommandLine;
31. PVOID EnvironmentBlock;
32. ULONG Unknown[9];
33. UNICODE_STRING Unknown3;
34. UNICODE_STRING Unknown4;
35. UNICODE_STRING Unknown5;
36. UNICODE_STRING Unknown6;
37. }PROCESS_PARAMETERS, *PPROCESS_PARAMETERS;
39. //PEB: Process Environment Block, 进程环境变量块
40. typedef struct
41. {
42. ULONG AllocationSize;
43. ULONG Unknown1;
44. HINSTANCE ProcessHinstance;
45. PVOID ListDlls;
46. PPROCESS_PARAMETERS ProcessParameters;
47. ULONG Unknown2;
48. HANDLE Heap;
49. }PEB,*PPEB;
51. //进程基本信息结构定义
52. typedef struct
53. {
54. DWORD ExitStatus;
55. PPEB PebBaseAddress;
56. DWORD AffinityMask;
57. DWORD BasePriority;
58. ULONG UniqueProcessId;
59. ULONG InheritedFromUniqueProcessId;
60. }PROCESS_BASIC_INFORMATION;
62. //函数指针定义,类型为WINDOWS Native API, 用于获取NtQueryInformationProcess的地址
63. typedef LONG(WINAPI *PROCNTQSIP)(HANDLE,UINT,PVOID,ULONG,PULONG);
65. //函数指针声明
66. PROCNTQSIP NtQueryInformationProcess;
68. //获取进程的命令行参数
69. //dwId:输入参数,进程ID
70. //wBuf:输出参数,用于存储命令行参数的缓冲区指针
71. //dwBufLen:输入参数,缓冲区的大小
72. //返回值:TRUE,成功FALSE,失败
73. BOOL GetProcessCmdLine(DWORD dwId,LPWSTR wBuf,DWORD dwBufLen);
75. //提升权限的函数
76. void EnableDebugPriv(void);
78. //主函数,程序入口
79. void main(int argc,char* argv[])
80. {
81. //命令行参数合法性判断
82. if(argc!=2)
83. {
84. printf("usage:nt%s <PID>n",argv[0]);
85. return;
86. }
87. //提升权限,否则无法读取其它进程信息
88. EnableDebugPriv();
89. //获取WINDOWS Native API NtQueryInformationProcess的入口地址
90. NtQueryInformationProcess=(PROCNTQSIP)GetProcAddress(GetModuleHandle("ntdll"),"NtQueryInformationProcess");
91. //获取的函数入口的合法性检查
92. if(!NtQueryInformationProcess)
93. {
94. return;
95. }
96. //从命令行获取目标进程的PID
97. DWORD dwId;
98. sscanf(argv[1],"%lu",&dwId);
99. //定义缓冲区,用于获得目标进程的命令行参数
100. WCHAR wstr[2048];
101. //清空缓冲区
102. ZeroMemory(wstr,sizeof(wstr));
103. //获取目标进程的命令行参数
104. if(GetProcessCmdLine(dwId,wstr,sizeof(wstr)))
105. {
106. //获取成功,打印结果
107. wprintf(L"commandline for process %lu is:n %sn",dwId,wstr);
108. }
109. else
110. {
111. //获取失败,打印提示信息
112. wprintf(L"Could not Get Command Line!");
113. }
114. }
115. //获取进程的命令行参数
116. BOOL GetProcessCmdLine(DWORD dwId,LPWSTR wBuf,DWORD dwBufLen)
117. {
118. LONG status;
119. HANDLE hProcess;
120. PROCESS_BASIC_INFORMATION pbi;
121. PEB Peb;
122. PROCESS_PARAMETERS ProcParam;
123. DWORD dwDummy;
124. DWORD dwSize;
125. LPVOID IpAddress;
126. BOOL bRet=FALSE;
128. //打开进程,获取查询和毒虚拟内存的权限
129. hProcess=OpenProcess(PROCESS_QUERY_INFORMATION| PROCESS_VM_READ,FALSE,dwId);
130. if(!hProcess)
131. {
132. return FALSE;
133. }
135. //查询进程的基本信息,获取PEB
136. status=NtQueryInformationProcess(hProcess,0,(PVOID)&pbi,sizeof(PROCESS_BASIC_INFORMATION),NULL);
137. if(status)
138. {
139. goto EndGet;
140. }
141. //读取进程的PEB指针
142. if(!ReadProcessMemory(hProcess,pbi.PebBaseAddress,&Peb,sizeof(PEB),&dwDummy))
143. {
144. goto EndGet;
145. }
146. //获取目标进程空间存储的命令行参数字符串的指针
147. if(!ReadProcessMemory(hProcess,Peb.ProcessParameters,&ProcParam,sizeof(PROCESS_PARAMETERS),&dwDummy))
148. {
149. goto EndGet;
150. }
151. IpAddress=ProcParam.CommandLine.Buffer;
152. dwSize=ProcParam.CommandLine.Length;
153. if(dwBufLen<dwSize)
154. {
155. goto EndGet;
156. }
157. //读取目标进程的命令行参数到本进程的缓冲区
158. if(!ReadProcessMemory(hProcess,IpAddress,wBuf,dwSize,&dwDummy))
159. {
160. goto EndGet;
161. }
162. bRet=TRUE;
164. EndGet:
165. //关闭目标进程的句柄
166. CloseHandle(hProcess);
167. return bRet;
168. }
169. //提升本进程权限
170. void EnableDebugPriv(void)
171. {
172. HANDLE hToken;
173. LUID sedebugnameValue;
174. TOKEN_PRIVILEGES tkp;
176. //打开本进程,获得调整权限的权限
177. if(!OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,&hToken))
178. {
179. return;
180. }
181. //查询EBUG权限的值
182. if(!LookupPrivilegeValue(NULL,SE_DEBUG_NAME,&sedebugnameValue))
183. {
184. CloseHandle(hToken);
185. return;
186. }
187. tkp.PrivilegeCount=1;
188. tkp.Privileges[0].Luid=sedebugnameValue;
189. tkp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;
190. //调整本进程的权限,使之具有可以高度其它进程的权限
191. AdjustTokenPrivileges(hToken,FALSE,&tkp,sizeof tkp,NULL,NULL);
192. //关闭本进程句柄
193. CloseHandle(hToken);
194. }