winapi – 来自Win32应用程序的x64图像上的OpenProcess

这很奇怪.早些时候,运行 Windows 7 x64,我无法针对64位进程调用Win32 OpenProcess.谷歌搜索了一下,并得出了沉没的结论,这不会发生.

然后发生了一件有趣的事.我尝试使用explorer.exe和神圣鲤鱼的进程ID,它有效！开始向它抛出其他进程ID,这只是一个愚蠢的废话.

事实证明,我可以针对大量的x64进程调用OpenProcess – explorer,itype,ipoint,taskhost,cmd,mstsc,…等.

其他人弹出5(访问被拒绝) – winlogon,csrss,services,svchost,mdm,…

我正在使用Process Explorer确认“bitness”和进程ID.另外,在64位进程上调用GetModuleFileNameEx总是失败,因此可以对32/64进行双重检查.

这是代码：

' Get a handle to the process.
hProcess = OpenProcess(PROCESS_QUERY_INFORMATION Or PROCESS_VM_READ,ProcessID)
If hProcess Then
   ' Grab the filename for base module.
   nChars = GetModuleFileNameEx(hProcess,Buffer,Len(Buffer))
   ' If running in x64,http://winprogger.com/?p=26
   If Err.LastDllError = ERROR_PARTIAL_COPY Then
      nChars = GetProcessImageFileName(hProcess,Len(Buffer))
   End If
   ' Truncate and return buffer.
   If nChars Then
      GetProcessFileName = Left$(Buffer,nChars)
   End If
   Call CloseHandle(hProcess)
Else
   Debug.Print "LastDllError:"; Err.LastDllError
End If

没有什么花哨.只想查询文件名或进程时间等过程.任何人都知道我可以打开的和我不能打开的区别是什么？

额外信息：以管理员身份运行流程. UAC关闭了.是的,它是一个32位的应用程序.使用PROCESS_QUERY_LIMITED_INFORMATION我没有更好的结果.

谢谢……卡尔

但是,管理员组的成员确实有SeDebugPrivilege.这基本上是OpenProcess和OpenThread的覆盖,允许您打开所有访问权限,即使您未在ACL中授予任何权限.

SeDebugPrivilege显然是一个非常危险的特权 – 您可以绕过访问检查并修改/检查其他用户的进程.虽然默认情况下它存在于管理员令牌中,但默认情况下不会启用它.您需要在调用OpenProcess之前启用此权限.

此MSDN article提供了有关如何启用和禁用令牌权限的示例代码.

（编辑：南阳站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!