获取进程ID,父进程ID,进程完整路径

　　准备写一个进程管理的功能模块，今天下午先写了扫描获取本机各个进程路径，获取各个进程映像名称，进程完整路径。

　　要获取进程信息，第一步想到的就是提权，提权代码用过多次了，今天也小结了一下（http://www.cnblogs.com/lsh123/p/8280575.html），不再复述。

0x01 自定义结构体

struct _PROCESS_INFORMATION_
{
    ULONG  ProcessID;
    ULONG  ParentProcessID;
    char   ImageNameData[MAX_PATH];
    char   ProcessFullPathData[MAX_PATH];
};

　　首先定义好自己需要的各个成员变量为一个结构体，包括进程ID,父进程ID，映像名称，进程完整路径四个成员变量。

0x02 进程ID，父进程ID，进程名 ProcessEntry32结构体

　　要列出所有进程，需要调用CreateToolHelp32Snapshot函数先得到系统进程快照的句柄，函数包含在<tlhelp32.h>头中。函数的具体参数如下：

HANDLE_WINAPI CreateToolHelp32Snapshot(  
                                       DWORD dwFlags,  
                                       DWORD th32ProcessID  
                                      );  

　　参数含义：

　　dwFlags：指定了获取系统进程快照的类型，获取进程相关信息应该填入参数 TH32CS_SNAPPROCESS 表示在快照中包含系统中所有的进程

　　th32ProcessID：指向要获取进程快照的ID，获取系统内所有进程快照时是0；

　　函数调用：

HANDLE   SnapshotHandle = NULL;
PROCESSENTRY32  ProcessEntry32;
ProcessEntry32.dwSize = sizeof(PROCESSENTRY32);
 
SnapshotHandle = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

　　如果函数调用成功返回快照句柄，否则返回INVALID_HANDLE_VALUE。在得到系统进程快照句柄之后，需要调用Process32First函数查找系统进程快照中的第一个进程。函数参数如下：

BOOL Process32First(  
                    HANDLE hSnapshot,  
                    LPROCESSENTRY32 lppe  
                   );  

　　再调用Process32Next函数列出系统中下一个进程，利用do while循环遍历出所有进程，Process32Next参数如下：

BOOL Process32Next(  
                    HANDLE hSnapshot,  
                    LPROCESSENTRY32 lppe  
                   );  

　　两个函数的参数是一样的，其中hSnapshot是由CreateToolHelp32Snapshot函数返回的系统进程快照的句柄；而lppe是指向PROCESSENTRY32的结构体指针，进程的详细信息保存在结构体中。PROCESSENTRY32结构体定义：

typedef struct tagPROCESSENTRY32 {  
                                  DWORD dwSize;//结构大小  
                                  DWORD cntUsage;//此进程的引用计数  
                                  DWORD th32ProcessID;//进程ID  
                                  DWORD th32DefaultHeapID;//进程默认堆ID  
                                  DWORD th32ModuleID;//进程模块ID  
                                  DWORD cntThreads;//此进程开启的线程计数  
                                  DWORD th32ParentProcessID;//父进程ID  
                                  LONG pcPriClassBase;//线程优先权  
                                  DWORD dwFlags;//保留  
                                  char szExeFile[MAX_PATH];//进程名  
                                } PROCESSENTRY32;  

　　可以看到PROCESSENTRY32结构体中我所需要的三个成员，进程ID,父进程ID,进程名。

　　当上述两个函数列举到进程时返回TRUE，否则返回FALSE。当列举到一个进程时lppe参数就会返回进程的详细信息，所以用户就可以读取这些进程的信息，然后输出。

列举完后，需要调用CloseHandle函数关闭系统进程句柄。

do
{
    //打开进程并返回句柄
    ProcessHandle = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ,
        FALSE, ProcessEntry32.th32ProcessID);   //打开目标进程  
                                                //      (ProcessEntry32.th32ProcessID !=4))
    if (ProcessHandle == NULL)// 权限太高 - 降低打开
    {
        ProcessHandle = OpenProcess(PROCESS_QUERY_LIMITED_INFORMATION,
            FALSE, ProcessEntry32.th32ProcessID);   //打开目标进程
 
        if (ProcessHandle == NULL)
        {
            strcpy(ProcessFullPathData, "打开进程失败");
 
            goto Label1;
 
        }
    }
    //获得进程下的第一个模块
    HMODULE ModuleHandle = NULL;
 
    DWORD ReturnLength = GetModuleFileNameEx(ProcessHandle, ModuleHandle,
        ProcessFullPathData,
        sizeof(ProcessFullPathData));
 
    if (ReturnLength == 0)
    {
        RtlZeroMemory(ProcessFullPathData, MAX_PATH);
 
        QueryFullProcessImageName(ProcessHandle, 0, ProcessFullPathData, &ReturnLength);    // 更推荐使用这个函数
        if (ReturnLength == 0)
        {
            strcpy(ProcessFullPathData, "枚举信息失败");
        }
    }
    //BufferData[[20][calc.exe\0][              \0][20][calc.exe\0][              \0][20][calc.exe\0][              \0]                          ]
Label1:
    ZeroMemory(&v1, sizeof(v1));
 
    v1.ProcessID = ProcessEntry32.th32ProcessID;
    v1.ParentProcessID = ProcessEntry32.th32ParentProcessID;
    //v1.ParentProcessID = GetParentProcessID(v1.ProcessID);
    memcpy(v1.ImageNameData, ProcessEntry32.szExeFile, lstrlen(ProcessEntry32.szExeFile) + 1);
    memcpy(v1.ProcessFullPathData, ProcessFullPathData, lstrlen(ProcessFullPathData) + 1);
 
    ProcessInfo.push_back(v1);
    if (ProcessHandle != NULL)
    {
        CloseHandle(ProcessHandle);
        ProcessHandle = NULL;
    }
 
} while (Process32Next(SnapshotHandle, &ProcessEntry32));

0x03 进程完整路径

　　获得进程完整路径的3个WINDOWS API:

　　 GetModuleFileNameEx

　　 GetProcessImageFileName

　　 QueryFullProcessImageName

　　第一个函数：想获得进程可执行文件的路径最常用的方法是通过GetModuleFileNameEx函数获得可执行文件的模块路径这个函数从Windows NT 4.0开始到现在的Vista系统都能使用，向后兼容性比较好。

　　第二个函数：GetProcessImageFileName函数，这个函数在Windows XP及其以后的系统中都能使用，使用此函数返回的路径不是通常的系统盘符，如"C:\..."，而是驱动层的表示方式"\Device\HarddiskVolume1\..."，所以使用起来不是很方便。

　　第三个函数：Windows Vista新增的函数QueryFullProcessImageName。

　　函数原型：

DWORD GetModuleFileNameEx(
HANDLEhProcess,
HMODULE hModule,
LPTSTR lpFilename,
DWORD nSize)

　　 hProcess是目标进程的句柄、

　　hModule是目标模块的句柄(当此参数为NULL时函数返回的是进程可执行文件的路径)、

　　lpFilename是存放路径的字符串缓冲区、

　　nSize表示缓冲区的大小。函数调用失败将返回0。需要注意的是进程的句柄须有PROCESS_QUERY_INFORMATION和PROCESS_VM_READ权限。

DWORD
 GetProcessImageFileName(
HANDLE hProcess,
LPTSTR lpImageFileName,
DWORD nSize)

　　 hProcess是目标进程的句柄、

　　lpImageFileName是存放路径的字符串缓冲区、

　　nSize表示缓冲区的大小。函数失败将返回0。需要注意的是进程句柄需要有PROCESS_QUERY_INFORMATION的权限。

BOOL QueryFullProcessImageName(
HANDLEhProcess,
DWORD dwFlags,
LPTSTR lpExeName,
PDWORD lpdwSize)

　　hProcess是目标进程的句柄、

　　dwFlags一般设为0(表示返回的路径是Win32的路径格式，如"C:\..."，如将其设为PROCESS_NAME_NATIVE将返回"\Device\HarddiskVolume1\..."这样的格式路径)、

　　lpExeName是存放路径的字符串缓冲区、

　　lpdwSize表示缓冲区的大小。

　　函数失败将返回FALSE。需要注意的是调用此函数的句柄须有PROCESS_QUERY_INFORMATION或这是PROCESS_QUERY_LIMITED_INFORMATION的权限，并且只能在Vista或更高版本的系统中使用。

　　调用GetModuleFileNameEx和GetProcessImageFileName需要包含Psapi.h头文件

DWORD ReturnLength = GetModuleFileNameEx(ProcessHandle, ModuleHandle,
                ProcessFullPathData,
                sizeof(ProcessFullPathData));
 
            if (ReturnLength == 0)
            {
                RtlZeroMemory(ProcessFullPathData, MAX_PATH);
 
                QueryFullProcessImageName(ProcessHandle, 0, ProcessFullPathData, &ReturnLength);    // 更推荐使用这个函数
                