进程_取父ID()

项目部002

进程有保护的情况下是打不开进程获取相关信息的

珍藏版

1. .版本 2
   
2. 
   
3. .DLL命令 GetCurrentProcess, 整数型, "kernel32.dll", "GetCurrentProcess", 公开, 取当前进程伪句柄
   
4. 
   
5. 
   
6. .版本 2
   
7. 
   
8. .DLL命令 OpenProcess1, 整数型, , "OpenProcess", 公开, 打开进程
   
9.     .参数 进程对象, 整数型
   
10.     .参数 继承句柄, 逻辑型
    
11.     .参数 进程标识符, 整数型
    
12. 
    
13. 
    
14. .版本 2
    
15. 
    
16. .DLL命令 NtQueryInformationProcess, 整数型, "ntdll.dll", "NtQueryInformationProcess"
    
17.     .参数 ProcessHandle, 整数型
    
18.     .参数 InformationClass, 整数型
    
19.     .参数 ProcessInformation, PROCESS_BASIC_INFORMATION
    
20.     .参数 ProcessInformationLength, 整数型
    
21.     .参数 ReturnLength, 整数型
    
22. 
    
23. 
    
24. .版本 2
    
25. 
    
26. .数据类型 PROCESS_BASIC_INFORMATION
    
27.     .成员 Reserved1
    
28.     .成员 PebBaseAddress
    
29.     .成员 Reserved2
    
30.     .成员 UniqueProcessId, 整数型, , "2"
    
31.     .成员 Reserved3
    

复制代码

珍藏版

1. .版本 2
   
2. 
   
3. .子程序 进程_取父IDEx, 整数型, , 省内存
   
4. .参数 进程ID, 整数型, 可空
   
5. .局部变量 pbi, PROCESS_BASIC_INFORMATION
   
6. .局部变量 status
   
7. .局部变量 hProcess
   
8. 
   
9. .判断开始 (是否为空 (进程ID))
   
10.     hProcess ＝ GetCurrentProcess ()
    
11. .默认
    
12.     hProcess ＝ OpenProcess1 (1024, 假, 进程ID)
    
13. .判断结束
    
14. status ＝ NtQueryInformationProcess (hProcess, 0, pbi, 24, 0)
    
15. 返回 (pbi.Reserved3)
    

复制代码