修复 getDetailsProcessList，getProcessList，getProcessidFilePath，getProcessName 对于内核进程/ 服务进程无效

Question

修复 getDetailsProcessList，getProcessList，getProcessidFilePath，getProcessName 对于内核进程/ 服务进程无效

kihlh opened this issue 7 months ago · comments

kiic · Answer 1 · Mon Dec 11 2023 09:55:09 GMT+0800 (China Standard Time)

使用三种方式对主进程的镜像文件进行获取

kiic · Answer 2 · Mon Dec 11 2023 12:16:22 GMT+0800 (China Standard Time)

内核进程 ntoskrnl.exe 的进程几乎都是无权限访问的，在进程镜像中显示由于win32 进程是4的倍数所以 4 大概率是ntoskrnl.exe
而 80以内大概率都是内核程序获取0-80的快照非常快，所以从快照中查找此进程特征进行判断第一次出现的无名 L"System" 是ntoskrnl.exe 而ntoskrnl.exe路径是固定的 "C:\Windows\System32\ntoskrnl.exe"
那么现在我们就可以确认 80以内父进程是ntoskrnl.exe的进程也是ntoskrnl.exe

至于 Registry 这个无从查起因为任务管理器也找不到此应用归属

kiic · Answer 3 · Mon Dec 11 2023 12:20:54 GMT+0800 (China Standard Time)

放弃使用 GetModuleBaseNameA api

xianyun Leo · Answer 4 · Mon Dec 11 2023 18:19:43 GMT+0800 (China Standard Time)

"System"等内核进程，可以参考PowerShell或C#，只提供Name，不提供Path
Get-Process -Id 4
(Get-Process -Id 4).Name
(Get-Process -Id 4).Path

查看属性定义
Get-Process| Get-Member

@kihlh

kiic · Answer 5 · Mon Dec 11 2023 22:22:46 GMT+0800 (China Standard Time)

"System"等内核进程，可以参考PowerShell或C#，只提供Name，不提供Path Get-Process -Id 4 (Get-Process -Id 4).Name (Get-Process -Id 4).Path

查看属性定义 Get-Process| Get-Member

@kihlh

不考虑调用shell获取，因为太慢了而且困难从从，此问题已经解决了 现在只需要格式化几个内核程序的实际路径就完成了

xianyun Leo · Answer 6 · Tue Dec 12 2023 12:59:13 GMT+0800 (China Standard Time)

你误解了我的意思了。我的意思是，内核进程的Path就直接返回空字符串好了。C#的API就是这么做的。 @kihlh

kiic · Answer 7 · Tue Dec 12 2023 14:31:41 GMT+0800 (China Standard Time)

此需求被合并到 #30

修复 getDetailsProcessList，getProcessList，getProcessidFilePath，getProcessName 对于 内核进程/ 服务进程 无效

修复 getDetailsProcessList，getProcessList，getProcessidFilePath，getProcessName 对于内核进程/ 服务进程无效