Process Explorer 如何从 XP Guest 帐户枚举所有进程名称？

Question

我试图枚举所有正在运行的进程 EXE 名称，但在 XP 来宾帐户上尝试此操作时遇到了麻烦。我可以使用 EnumProcesses 枚举所有进程 ID，但是当我尝试使用 PROCESS_QUERY_INFORMATION 或 PROCESS_VM_READ OpenProcess 时，该函数失败。

我在 XP Guest 帐户下启动了 Process Explorer，它能够枚举所有进程名称（尽管正如预期的那样，来自 Guest 用户空间之外的进程的大多数其他信息不存在）。

所以，我的问题是，如何复制 Process Explorer 魔法来获取在来宾帐户用户空间之外运行的服务和其他进程的进程名称？

Answer 1

我认为 Process Explorer 使用 NtQuerySystemInformation 与参数SystemProcessInformation来获取进程列表。有关代码示例，请参阅我的旧答案。此外，函数 NtQueryInformationProcess 将用于获取附加信息。

顺便说一句，如果您在 Dependency Walker 下启动 Process Explorer（菜单“Profile”/“Start Profiling”或F7）然后您将看到 Process Explorer 真正使用 NTDLL.DLL 的所有函数。您可以看到 NtQuerySystemInformation 和 NtQueryInformationProcess将真正被使用。

Answer 2

NtQuerySystemInformation 几乎没有记录，并且“可能会在未来版本的 Windows 中更改或不可用” CreateToolhelp32Snapshot 已完整记录，并且应该为您提供图像名称。

Answer 3

当进程启动时，它被分配一组基本的访问权限。某些 API 调用需要额外的权限才能成功完成。具体来说，OpenProcess<在某些情况下，/a> 可能需要 SeDebugPrivilege 权限。您可以在此处找到如何修改进程令牌以启用其他权限的示例：在 C++ 中启用和禁用权限。

Answer 4

从 Vista 开始，GetProcessImageFileName 仅需要 PROCESS_QUERY_LIMITED_INFORMATION，但在 XP 上它确实需要 PROCESS_QUERY_INFORMATION。

您不应该需要，而且绝对不应该能够从来宾帐户获取 PROCESS_VM_READ。