| 子程序名 | 返回值类型 | 公开 | 备 注 | ||||
| 进程_取命令行32 | 文本型 | 取指定进程ID的命令行.32位系统专用 | |||||
| 参数名 | 类 型 | 参考 | 可空 | 数组 | 备 注 | ||
| 进程ID | 整数型 | ||||||
| 变量名 | 类 型 | 静态 | 数组 | 备 注 | ||
| 进程句柄 | 整数型 | |||||
| info | PROCESS_BASIC_INFORMATION | |||||
| a | 整数型 | |||||
| b | 整数型 | |||||
| c | MEMORY_BASIC_INFORMATION | |||||
| buffer | 字节集 | |||||
| len | 整数型 | |||||
进程句柄 = OpenProcess (1024 + 16, 假, 进程ID)
ZwQueryInformationProcess (进程句柄, 0, info, 24, 0)
buffer = 取空白字节集 (4)
' [[peb 10h] 28h]进程运行目录,[[peb 10h] 3ch]进程路径,[[peb 10h] 44h]命令行
NtReadVirtualMemory (进程句柄, info.PebBaseAddress + 16, buffer, 4, 0)
a = 取字节集数据 (buffer, 3, )
NtReadVirtualMemory (进程句柄, a + 68, buffer, 4, 0) ' 68命令行, 60路径, 40运行目录
b = 取字节集数据 (buffer, 3, )
VirtualQueryEx32 (进程句柄, b, c, 28)
len = c.RegionSize + c.BaseAddress - b
buffer = 取空白字节集 (len)
NtReadVirtualMemory (进程句柄, b, buffer, len, 0)
CloseHandle (进程句柄)
返回 (编码_Unicode到Ansi (buffer))
| DLL命令名 | 返回值类型 | 公开 | 备 注 | |
| VirtualQueryEx32 | 整数型 | |||
| DLL库文件名: | ||||
| kernel32 | ||||
| 在DLL库中对应命令名: | ||||
| VirtualQueryEx | ||||
| 参数名 | 类 型 | 传址 | 数组 | 备 注 |
| hProcess | 整数型 | |||
| lpAddress | 整数型 | |||
| info | MEMORY_BASIC_INFORMATION | |||
| dwLength | 整数型 | |||
词条作者信息 使用例程