我很难直接从使用PowerShell的PEB读取指定进程的命令行。我正在使用NtQueryInformationProcess获取PROCESS_BASIC_INFORMATION数据。
require('should');
(1).should.be.equal(1);
// turn off ShouldJS should getter
// and use should as a function
var should = require('should').noConflict();
should(0).be.equal(0);
// turn on ShouldJS should getter
should.extend();
require('should');
(1).should.be.equal(1);
所有指针都是正确的,但我不知道如何读取Marshal类型的CommandLine字段。有什么想法吗?
答案 0 :(得分:1)
尽管标题上写着#34;没有WMI",我仍然会推荐使用WMI,因为它更容易使用。防爆。使用Win32_Process WMI-class。
Get-WmiObject -Class Win32_Process -Filter "ProcessID = '10708'" | Format-List ProcessID, Name, Path, Commandline
ProcessID : 10708
Name : powershell.exe
Path : C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe
Commandline : "C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe" -version 2