Можно ли, не внедряясь в чужой процесс, получить его текущий каталог и/или командную строку? Права доступа не ограничены.

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Можно ли, не внедряясь в чужой процесс, получить его текущий каталог и/или командную строку? Права доступа не ограничены.

Уточняйте, под какой системой.
/proc/<pid>/cmdline
/proc/<pid>/cwd

Здравствуйте, ДимДимыч, Вы писали:

ЕМ>>Можно ли, не внедряясь в чужой процесс, получить его текущий каталог и/или командную строку? Права доступа не ограничены.

ДД>Уточняйте, под какой системой.

По умолчанию традиционно подразумевается Win32.

ЕМ>Можно ли, не внедряясь в чужой процесс, получить его текущий каталог и/или командную строку? Права доступа не ограничены.
через ZwQueryInformationProcess узнается указатель на PEB того процесса и все нужные жанные вычитываются из памяти процесса.

Здравствуйте, <Аноним>, Вы писали:

А>через ZwQueryInformationProcess узнается указатель на PEB того процесса и все нужные жанные вычитываются из памяти процесса.

Спасибо. Надеялся обойтись без ZwQueryInformationProcess, но, видать, не судьба

ЕМ>Можно ли, не внедряясь в чужой процесс, получить его текущий каталог и/или командную строку? Права доступа не ограничены.

NtQueryInformationProcess/ProcessBasicInformation получает адрес PEBа.

Сам PEB читается через ReadProcessMemory, там лежит текущая директория, а командная строка лежит в связанной с PEBом структуре RTL_USER_PROCESS_PARAMETERS.

Все недокументировано, но расхакано давно и есть на вебе.

Кстати, документированная psapi!GetModuleFileNameEx дает по крайней мере полный путь к EXE (если не всю командную строку), и действует именно так, как описано выше (я расковыривал).

ЕМ>Спасибо. Надеялся обойтись без ZwQueryInformationProcess, но, видать, не судьба

Можно еще в WMI посмотреть.