在Windows上获取进程的可执行文件路径

最新推荐文章于 2023-12-31 21:01:35 发布
最新推荐文章于 2023-12-31 21:01:35 发布
阅读量6.9k 收藏 3
点赞数
文章标签: windows 进程路径
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/mkdym/article/details/8688597
版权
本文讲述了在Windows上遇到通过GetModuleFileNameEx获取进程路径失败的问题,尤其是涉及到动态磁盘时。经过排查,发现是QueryDosDeviceW函数在动态磁盘环境下的局限性导致。作者通过尝试使用GetProcessImageFileName和WMI(Windows Management Instrumentation)最终找到了解决方案:先尝试GetModuleFileNameEx,若失败则尝试GetProcessImageFileName,如果两者都失败,则利用WMI获取进程路径。同时,文章提出了对WMI在代码中使用较少的疑问以及对NtQueryInformationProcess可能存在的类似问题的思考。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在Windows上根据进程PID获取其可执行文件的路径,是一个常见的问题。通常我们采用广为人知的API——GetModuleFileNameEx。此函数兼容性极佳,最低支持版本为Windows2000,在许多场合它都工作正常。于是我也在代码中理所应当的使用了它。

忽然某时,我在日志中发现这厮留了一句Error:GetModuleFileNameEx fail, error code is 299。MSDN告诉我这句:Only part of a ReadProcessMemory or WriteProcessMemory request was completed。亲,这是什么意思?MSDN的错误解释有时搞得人真是一头雾水,还是先问问度娘(度娘不行了,再问谷歌)。查得,当我们调用GetModuleFileNameEx函数时,为了获得指定进程的全路径,它内部需要访问进程的PEB头。而64位进程的PEB头地址是保存在64位长度的地址中的,32位进程是保存在32位长度的地址中的,当32位进程访问64位进程的PEB头的时候,采取的是截断访问——只取低32位地址。于是GetModuleFileNameEx就有时正确,有时错误了。日志的主人刚好是个32位进程,也正好跑在了64位系统上。这个Error就这么被触发了。如果编译成64位进程,问题当然就不会存在,可是现实就是不那么让人如愿。
信念——问题的解决是必须的、一定的,只是时间长短而已。
既然上
最低0.47元/天 解锁文章
mkdym
关注
易语言获取进程所在路径的方法
08-26
在编程领域,获取进程所在路径是一项基础且重要的任务,它能帮助开发者了解程序运行时的环境。易语言作为一款中国本土开发的、面向初学者的编程语言,提供了简单易懂的命令来实现这一功能。本篇文章将详细讲解如何在...
C++ Windows获取进程名、可执行文件路径
biangechengxu的博客
11-18 3728
GetModuleFileNameEx: DWORD GetModuleFileNameEx(HANDLE hProcess,HMODULE hModule,LPTSTR lpFilename,DWORD nSize) hProcess是目标进程的句柄、hModule是目标模块的句柄(当此参数为NULL时函数返回的是进程可执行文件路径)、lpFilename是存放路径的字符串缓冲区、nSize表示缓冲区的大小。函数调用失败将返回0。注:进程的句柄须有PROCESS_QUERY_INFORMATIO
GetModuleFileNameEx GetLastError()错误299解决方案
qq_27011361的博客
04-12 5210
如下代码:GetModuleFileNameEx(hProcess, NULL, strPath.GetBufferSetLength(MAX_PATH), MAX_PATH);DWORD dError = GetLastError();在win7 64位系统上执行,dError值为299。通过调试发现问题出在GetModuleFileNameEx函数上。本来它返回的是获取路径的长度,结果在64...
Windows System Error Codes (exit codes)
lovenjoy的专栏
09-02 8318
Improve your productivity and save time.  Let your system work for you. Description The Command and WinCommand task sometimes do not return any error messages, when your batch files fail.  These t
根据进程id获取工作目录
如鹿渴慕泉水的专栏
12-07 462
获取工作目录
Windows逆向分析实战:使用CE+OD获取用户信息
weixin_42962516的博客
03-17 5196
序: 很多想学软件逆向分析的朋友们,初学者往往看到一大堆的技术资料,直接就懵了。本文以一个简单的例子,演示一下使用CE+OD进行内存的获取,然后使用Qt进行界面显示,让初学者简单了解逆向分析的流程,并且一步步自己进行手动实现,让初学者有一些成就感,避免直接上来就是技术文档打击到学习的热情。 一、准备工作: CheatEngine 简称CE 用来定位数据; Ollydbg 简称OD 用来动态调试; 微信版本:3.1.0.67 Qt:5.13.0用来开发界面(我喜欢用Qt做界面,习惯使用MFC的朋友们也可以使用
获取可执行程序当前路径.rar
05-18
在这个例子中,`GetModuleFileName(NULL, moduleName, MAX_PATH)`函数用于获取当前进程(也就是可执行文件)的完整路径。`NULL`表示获取当前进程的模块,`moduleName`用来存储路径,`MAX_PATH`是Windows API定义的...
API枚举进程文件路径.rar
04-04
5. **QueryFullProcessImageName**: 最后,使用这个函数可以得到进程的完整可执行文件路径。它需要进程句柄和一个缓冲区来存储路径。 在易语言中,调用这些API函数需要使用“调用动态链接库”命令,并正确设置参数...
获取执行文件路径(win7,xp)
09-18
对于大多数应用程序来说,调用`GetModuleFileName`且不传入任何参数,即可得到当前进程可执行文件路径。 首先,我们来看看`GetModuleFileName`函数的声明: ```cpp DWORD GetModuleFileName( _In_opt_ HMODULE ...
VC枚举进程进程对应的文件路径和该进程调用的模块dll及其文件路径.zip
03-21
一旦获取进程ID,可以通过`OpenProcess`函数打开该进程,并使用`QueryFullProcessImageName`或`GetModuleFileNameEx`函数来获取进程可执行文件路径。这些API可以帮助开发者了解进程正在运行哪个可执行文件。 3...
浅析 后渗透之提取微x 聊天记录原理and劫持t g 解密聊天记录原理
最新发布
milu_Sec的博客
12-31 6402
最近工作中遇到许多取证工作,有相关部门人员咨询相关技术问题,那么,借此机会,今天麋鹿带大家了解一下解密wx聊天记录,以及劫持tg账号,顺便浅析一下原理。
微信机器人
xxzblog的专栏
02-20 729
原文地址:https://uyiplus.com/2020/pcwechat_helper 注入dll到微信 0x0 首先要打开微信进程 wchar_t wxPath[] = L"C:\\Program Files (x86)\\Tencent\\WeChat\\WeChat.exe"; STARTUPINFO si = { 0 }; PROCESS_INFORMATION pi = { 0 }...
hook 微信3.5.0.46的信息接收call,并写Dll
weixin_57272288的博客
04-25 6874
使用工具 wechat版本3.5.0.46 Cheat Engine 简称ce 吾爱破解[LCG] 简称od Visual Studio的c++ 第一步查找收消息的内存 先用ce加载wechat程序,再在“数值类型”中选择“字符串”选项,在’数值’这个选项里写上你发的内容,我收到的是“123‘,按”新的扫描“这时我们看到的结果很多,没关系,再次输入你再次收到的消息内容,选”再次扫描“,结果会大幅减少,反复这样操作,直到结果数量不变为止,然后把得到的结果都拉下来。 然后我们要挑选真正存消
bat脚本获取系统服务的可执行文件路径
zengliguang的专栏
10-06 555
鼠标右键点击,选择任务管理器我们以ActiveMQ为例子进行演示。
通过 Python 获取服务对应的可执行文件路径
昊天罔极的博客
11-27 371
Windows上,你可以通过注册表查找服务对应的可执行文件路径。服务的配置信息通常存储在注册表中。
查看进程号所在目录
pengli
12-23 871
查看进程号所在目录 进程号:14612 ls -l /proc/14612/cwd
c语言实现特征码定位内存,支持通配符
qq_31738343的博客
02-18 1902
c语言实现特征码定位内存,支持??通配符
golang相关,包括go mod 使用第三方包和自己本地开发的包
woshiyuanlei的专栏
04-06 3941
一. 环境配置 go env -w GO111MODULE=on go env -w GOPROXY=https://goproxy.cn,https://goproxy.io,direct 二. go mod 使用 在系统任意目录下建立gomodtest目录,而不需要把gomodtest放到GOPATH目录下。 1. cmd 到当前gomodtest目录下,运行 go mod init gomodtest 2. 建立main文件,内容如下: package ma...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值