VC下通过进程ID获取进程镜像文件路径的方法及其存在的缺陷

2019-01-16 09:54:16 浏览数 (2)

        工作中经常会遇到通过进程ID获取进程镜像文件或者其他模块的路径的需求。(转载请指明出处)网上关于方案大致存在两种方案:

  1. OpenProcess->GetModuleFileName
  2. OpenProcess->EnumProcessModules->GetModuleFileNameEx

        我试验了下,第一个方案是不正确的。OpenProcess返回的是进程句柄,而GetModuleFileName 的传入参数是模块的句柄,这两种句柄不是一个东西。网上有人提出过这样的问题,但是只是说VC提示“类型不一致”,于是就有人说要强制转换。当然强制转换可以解决VC编译通过问题,但是这样做不会有任何效果的。说强制转换的人可能受到一种现象的影响——HINSTANCE和HMOUDLE是一个东西。HINSTANCE和HMOUDLE关系的现象存在一定的历史原因,但是微软没说HANDLE和HMOUDLE是一个东西吧!

        第二个方案与第一个方案不同之处在于,通过EnumProcessModules获取进程镜像文件模块的HMOUDLE,然后将这个HMOUDLE传给GetMoudleFileNameEx就可以获得该镜像文件的路径。看似没问题,但是实际存在一定的缺陷。在我之前做的一个项目中,我就发现了一个现象——这个逻辑在Win7 64bit上失败。经过调试,发现EnumProcessMoudles执行失败。于是在MSDN上找到这么一句话:

代码语言:javascript复制
If this function is called from a 32-bit application running on WOW64,  it can only enumerate the modules of a 32-bit process.  If the process is a 64-bit process, this function fails and the last error code is ERROR_PARTIAL_COPY (299).

        问题就出在我们的程序是32位的,而我们试图枚举一个64位进程的模块时就会报错。         目前还没有一种很完美的方法去解决这么一个看似似乎很简单的问题。         虽然方案2不完美,但是仍不失为一个比较好的方案,下面贴出源码。

代码语言:javascript复制
BOOL GetProcessFilePathByPId( const DWORD dwProcessId, ATL::CString & cstrPath )
    {
        HANDLE hProcess = NULL;
        BOOL bSuccess = FALSE;

        // 由于进程权限问题,有些进程是无法被OpenProcess的,如果将调用进程的权限
        // 提到“调试”权限,则可能可以打开更多的进程
        hProcess = OpenProcess( 
            PROCESS_QUERY_INFORMATION | PROCESS_VM_READ , 
            FALSE, dwProcessId );

        do 
        {
            if ( NULL == hProcess )
            {
                // 打开句柄失败,比如进程为0的进程
                break;
            }

            // 用于保存文件路径,扩大一位,是为了保证不会有溢出
            TCHAR szPath[MAX_PATH   1] = {0};

            // 模块句柄
            HMODULE hMod = NULL;
            // 这个参数在这个函数中没用处,仅仅为了调用EnumProcessModules
            DWORD cbNeeded = 0;

            // 获取路径
            // 因为这个函数只是要获得进程的Exe路径,因为Exe路径正好在返回的数据的
            // 第一位,则不用去关心cbNeeded,hMod里即是Exe文件的句柄.
            // If this function is called from a 32-bit application running on WOW64, 
            // it can only enumerate the modules of a 32-bit process. 
            // If the process is a 64-bit process, 
            // this function fails and the last error code is ERROR_PARTIAL_COPY (299).
            if( FALSE == EnumProcessModules( hProcess, &hMod, 
                                             sizeof( hMod ), &cbNeeded ) )
            {
                break;
            }

            // 通过模块句柄,获取模块所在的文件路径,此处即为进程路径。
            // 传的Size为MAX_PATH,而不是MAX_PATH 1,是因为保证不会存在溢出问题
            if ( 0 == GetModuleFileNameEx( hProcess, hMod, szPath, MAX_PATH ) )
            {
                break;
            }

            // 保存文件路径
            cstrPath = szPath;
            
            // 查找成功了
            bSuccess = TRUE;
        } while( 0 );

        // 释放句柄
        if ( NULL != hProcess )
        {
            CloseHandle( hProcess );
            hProcess = NULL;
        }

        return bSuccess;
    }

(转载请指明出处)

0 人点赞