C++-在windows上如何获取父进程的ID

Question

最好是高效的方式，请不要通过遍历所有进程来实现查找父进程ID

Answer 1

windows中的进程是可以有父子关系的，拥有父子关系的进程，一旦父进程结束，子进程有会随之退出。但是如果进程之间没有父子关系，我们如何让子进程在父进程退出是也同时跟着退出呢？方法有很多，本文介绍其中的一种利用父进程ID的方案，现实的原理很简单：先获取父进程的ID，然后通过ID来获取父进程Handle，通过监视父进程的Handle来决定子进程是否退出。所以，这里的关键就是如何获取父进程的ID。
这里需要用到一个微软未公开的API：
NTSTATUS WINAPI NtQueryInformationProcess(
__in HANDLE ProcessHandle,
__in PROCESSINFOCLASS ProcessInformationClass,
__out PVOID ProcessInformation,
__in ULONG ProcessInformationLength,
__out_opt PULONG ReturnLength
);
这个API位于Ntdll.dll里面，通过引用头文件winternl.h来获取相关的类型定义。当我们得到这个函数后，下一步就需要去了解各个函数参数的意义了，这里我们重点看一下第二个参数 PROCESSINFOCLASS结构体的内容：
typedef struct _PROCESS_BASIC_INFORMATION {

PVOID Reserved1;
PPEB PebBaseAddress;
PVOID Reserved2[2];
ULONG_PTR UniqueProcessId;
PVOID Reserved3;

} PROCESS_BASIC_INFORMATION;
这是MSDN里给出的结构体定义。到目前为止，我们还是不知道Parent进程的ID从哪里取。正所谓，天下没有不透风的墙，经过无数高手的破解，实际上最后一个字段Reserved3就是Parent进程的ID，只要我们将它转换为一个DWORD值即可。我在x86和x64的windows2003和windows20008平台上测试过，的确是Parent进程的ID。
既然知道了Parent进程的ID出处，接下来就好办了， 基本步骤如下：
1. 先获取自己的进程ID，GetCurrentProcessID()
2. 获取进程查询句柄，调用OpenProcess()带上PROCESS_QUERY_INFORMATION标志
3. 调用NtQueryInformationProcess()来查询进程信息
4. 获取父进程句柄，还是调用OpenProcess()
5. 启动一个线程去等待父进程退出，WaitForSingleObject(ParentHandle, INFINITE)

Answer 2

内核结构 PROCESS_BASIC_INFORMATION 的 PVOID Reserved3 字段，就是父进程 ID。我们来看看 Reactor OS上PROCESS_BASIC_INFORMATION 的定义：

typedef struct _PROCESS_BASIC_INFORMATION {
NTSTATUS ExitStatus;
struct _PEB *PebBaseAddress;
ULONG_PTR AffinityMask;
KPRIORITY BasePriority;
ULONG_PTR UniqueProcessId;
ULONG_PTR InheritedFromUniqueProcessId;
} PROCESS_BASIC_INFORMATION,*PPROCESS_BASIC_INFORMATION;

最后一个字段直接翻译为InheritedFromUniqueProcessId了，说明已经被证实。

另外通过EPROCESS偏移+0x14c字节的InheritedFromUniqueProcessId字段得到。这一点可以使用windbg验证:dt _EPROCESS。
ZwQuerySystemInformation( SystemHandleInformation, buf, size, NULL );使用这个函数获得。具体见 获得进程的EPROCESS