Recherche des options de ligne de commande un processus a été lancé avec

Question

J'essaie de trouver comment faire cela, j'utilise CreateToolHelp32SnapShot pour obtenir une liste des processus en cours d'exécution et j'ai les FilePaths des exécutables qui sont en cours d'exécution, mais je dois être en mesure de savoir quelles options de ligne de commande ont été utilisées pour démarrer le processus.

Je sais que possible, puisque vous pouvez le voir sur Process Explorer, j'ai essayé de trouver le code source de l'ancien Process Explorer mais n'a pas eu de chance :(

Answer 1

vérifier si NtQueryInformationProcess et ReadProcessMemory appels API gagnant feront ce que vous avez besoin. Il n'y a pas d'exemple simple pour que l'enregistrement de sorte que le code source ici: Get Process Info with NtQueryInformationProcess

une autre façon pour obtenir ces données est throgh WMI, SMTH comme ceci:

SELECT CommandLine FROM Win32_Process WHERE ProcessId = ??? 

plus d'info ici: Win32_Process Class

Answer 2

Une possibilité qui se produit presque immédiatement serait d'injecter un fil dans le processus cible (CreateRemoteThread), et ont cet appel GetCommandLine.

Answer 3

Obtenir la ligne de commande des processus en cours d'exécution ne peut se faire de manière fiable. Il est très possible pour la ligne de commande d'un processus en cours d'exécution à modifier en changeant la mémoire qui stocke ces commandes

Raymond Chen a fait un bel article sur ce sujet récemment détaillant pourquoi ce n'est pas fiable.

• http://blogs.msdn.com/oldnewthing/archive/2009/11/25/9928372.aspx

Answer 4

IIRC les paramètres de la ligne de commande sont stockés dans l'environnement de processus - si vous pouvez y accéder, vous pouvez également les lire.