Получить id процесса родителя, если исходный id процесса дочерний

@lesha1980 · Регистрация: 06.01.2012

Author24 — интернет-сервис помощи студентам

Добрый день. У меня есть вот такой код на C#, который должен позволить получить id процесса родителя, если исходный id процесса дочерний:

C#

   Process[] procs = Process.GetProcesses();
            foreach (Process proc in procs)
            {
                int parentId = 0;
                using (obj = new ManagementObject("win32_process.handle=" + proc.Id.ToString()))
                {
                     obj.Get();
                     parentId = Convert.ToInt32(obj["ParentProcessId"]);
                }
            }

...объект obj создается и к win32_process.handle добавляется id процесса, однако obj.Get() выдает исключение "Не найден указанный модуль. (Исключение из HRESULT: 0x8007007E)" — что это может обозначать? Я уж подумал, может, дело в том, что у меня Windows 8, хотя в принципе при чем тут это? Кто знает, почему не происходит привязки к управляющему объекту сведений о процессе? Не могу из-за этого решить задачу...

Добавлено через 1 час 12 минут
Проверил в Windows XP и Windows 7 — все отлично работает, а вот под восьмеркой отказывается находить модуль...

@tezaurismosis · 17.12.2013, 18:52

Сообщение от lesha1980

Исключение из HRESULT: 0x8007007E

Этот код возвращается, когда программа не может найти библиотеку. Вставьте проверку на наличие библиотек.
Также: DllNotFoundException with HRESULT 0x8007007E when loading 64-bit dll

@lesha1980 · 18.12.2013, 01:03 **[ТС]**

Сообщение от tezaurismosis

Этот код возвращается, когда программа не может найти библиотеку. Вставьте проверку на наличие библиотек.
Также: DllNotFoundException with HRESULT 0x8007007E when loading 64-bit dll

Это интересно, но в восьмерке отсутствует куча псевдонимов, связанных с классами WMI... Process, к примеру, связанный с Win32_Process. Пытаюсь вручную подключиться на root/cimv2 через wbemtest выдает, что отсутствует модуль win32... Можно ли его установить? К примеру, в восьмерке напрочь отсутствовал .net framework более ранних версий до 3.5... пришлось устанавливать из дистрибутива восьмерки. Не может ли в этом случае быть что-либо подобное?

Добавлено через 1 час 15 минут
Встретил статью на support.microsoft.com, о том, что в Windows 8, Windows Server 2012 и Windows RT есть баг в работе WMI, который исправляется с помощью обновления, но ни одно из указанных обновлений не подходит к моему компьютеру...

В общем тогда поменяю вопрос.

Как можно по-другому получить id родительского процесса из id дочернего процесса не прибегая к ManagementObject и к WMI?

@tezaurismosis · 18.12.2013, 11:42

lesha1980, у меня о WMI сложилось ощущение как о не самой лучшей технологии из-за регулярных глюков и я стараюсь её всеми силами избегать.
С трудом нашёл код на VB, который завершает дерево процессов с помощью WinAPI и только. Возможно вам удастся его адаптировать

Visual Basic

Private Declare Function CreateToolhelp32Snapshot Lib
"KERNEL32.DLL" _
(ByVal dwFlags As Integer, ByVal th32ProcessID As Integer) As
Integer
Private Declare Function Process32First Lib "KERNEL32.DLL" _
(ByVal hSnapshot As Integer, ByVal PE As Byte()) As Integer
Private Declare Function Process32Next Lib "KERNEL32.DLL" _
(ByVal hSnapshot As Integer, ByVal PE As Byte()) As Integer
Private Declare Function CloseHandle Lib "KERNEL32.DLL" _
(ByVal hObject As Integer) As Integer
 
Private Sub KillAllAssociatedProcesses(ByVal track As String)
Dim localAll As Process() = Process.GetProcesses()
For Each i As Process In localAll
Dim ParentProcessID As Integer
ParentProcessID = GetParentProcessID(i.Id)
If ParentProcessID = ClientTracks(Track).Process.Id Then
Process.GetProcessById(i.Id).Kill()
End If
Next
End Sub
 
Function GetParentProcessID(ByVal id As Integer) As Integer
Dim b(564 - 1) As Byte
'write the size into the structure
BitConverter.GetBytes(SIZEOF_PROCESSENTRY32).CopyT o(b,
SIZE_OFFSET)
Dim h As Integer =
CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0)
Try
Dim rv As Integer = Process32First(h, b)
If rv <1 Then
Throw New Exception("Could not enumerte processes.")
End If
While rv = 1
Dim pid As Integer = BitConverter.ToInt32(b,
PROCESS_OFFSET)
Dim parent As Integer = BitConverter.ToInt32(b,
PARENT_OFFSET)
If pid = id Then
Return parent
End If
rv = Process32Next(h, b)
End While
Finally
CloseHandle(h)
End Try
 
Return -1
 
End Function

@lesha1980 · 18.12.2013, 23:06 **[ТС]**

tezaurismosis,
Когда гуглил, то я его видел и подумал, что это будет один из вариантов. В принципе у меня два варианта, включая этот без использования ManagmentObject. В данном случае функция GetParentProcessId, как я понял, осуществляет обход процессов (ProcessFirst32 и ProcessNext32) и запись данных о процессе в структуру PROCESSENTRY32. Конечно же, в VB я совсем не силен, но в принципе разобрать можно — "интуитивно понятный интерфейс" у программки. Ок. Все равно спасибо.

Добавлено через 10 часов 4 минуты
Обнаружил очень хороший ресурс в сети, где описывается вызов системных функций и структур Win Api в приложениях создаваемых для платформы .net. Кому будет интересно: http://www.pinvoke.net/. Попытаюсь с его помощью реализовать получение id через системные функции...

Добавлено через 1 минуту
К слову там есть и реализация PROCESSENTRY32 и тех функций, что указаны в коде постом выше...

Добавлено через 53 минуты
На этом же сайте обнаружил кажется и ответ на свой вопрос. Привожу код (Это пример со страницы с реализацией в .net функции createtoolhelp32snapshot):

C#

using System;
using System.Runtime.InteropServices;
using System.Diagnostics;
static class myProcessEx
{   
    //inner enum used only internally
    [Flags]
    private enum SnapshotFlags : uint
    {
    HeapList = 0x00000001,
    Process = 0x00000002,
    Thread = 0x00000004,
    Module = 0x00000008,
    Module32 = 0x00000010,
    Inherit = 0x80000000,
    All = 0x0000001F,
    NoHeaps = 0x40000000
    }
    //inner struct used only internally
    [StructLayout(LayoutKind.Sequential, CharSet = CharSet.Auto)]
    private struct PROCESSENTRY32
    {
    const int MAX_PATH = 260;
    internal UInt32 dwSize;
    internal UInt32 cntUsage;
    internal UInt32 th32ProcessID;
    internal IntPtr th32DefaultHeapID;
    internal UInt32 th32ModuleID;
    internal UInt32 cntThreads;
    internal UInt32 th32ParentProcessID;
    internal Int32 pcPriClassBase;
    internal UInt32 dwFlags;
    [MarshalAs(UnmanagedType.ByValTStr, SizeConst = MAX_PATH)]
    internal string szExeFile;
    }
 
    [DllImport("kernel32", SetLastError = true, CharSet = System.Runtime.InteropServices.CharSet.Auto)]
    static extern IntPtr CreateToolhelp32Snapshot([In]UInt32 dwFlags, [In]UInt32 th32ProcessID);
 
    [DllImport("kernel32", SetLastError = true, CharSet = System.Runtime.InteropServices.CharSet.Auto)]
    static extern bool Process32First([In]IntPtr hSnapshot, ref PROCESSENTRY32 lppe);
 
    [DllImport("kernel32", SetLastError = true, CharSet = System.Runtime.InteropServices.CharSet.Auto)]
    static extern bool Process32Next([In]IntPtr hSnapshot, ref PROCESSENTRY32 lppe);
 
    [DllImport("kernel32", SetLastError = true)]
    [return: MarshalAs(UnmanagedType.Bool)]
    private static extern bool CloseHandle([In] IntPtr hObject);
 
    // get the parent process given a pid
    public static Process GetParentProcess(int pid)
    {
    Process parentProc = null;
    IntPtr handleToSnapshot = IntPtr.Zero;
    try
    {
        PROCESSENTRY32 procEntry = new PROCESSENTRY32();
        procEntry.dwSize = (UInt32)Marshal.SizeOf(typeof(PROCESSENTRY32));
        handleToSnapshot = CreateToolhelp32Snapshot((uint)SnapshotFlags.Process, 0);
        if (Process32First(handleToSnapshot, ref procEntry))
        {
        do
        {
            if (pid == procEntry.th32ProcessID)
            {
            parentProc = Process.GetProcessById((int)procEntry.th32ParentProcessID);
            break;
            }
        } while (Process32Next(handleToSnapshot, ref procEntry));
        }
        else
        {
        throw new ApplicationException(string.Format("Failed with win32 error code {0}", Marshal.GetLastWin32Error()));
        }
    }
    catch (Exception ex)
    {
        throw new ApplicationException("Can't get the process.", ex);
    }
    finally
    {
        // Must clean up the snapshot object!
        CloseHandle(handleToSnapshot);
    }
    return parentProc;
    }
 
    // get the specific parent process
    public static Process CurrentParentProcess
    {
    get
    {
        return GetParentProcess(Process.GetCurrentProcess().Id);
    }
    }
 
    static void Main()
    {
    Process pr = CurrentParentProcess;
 
    Console.WriteLine("Parent Proc. ID: {0}, Parent Proc. name: {1}", pr.Id, pr.ProcessName);
    }
}

@NickoTin · 19.12.2013, 01:21

Вариант попроще: Узнать родительский процесс

@lesha1980 · 19.12.2013, 13:11 **[ТС]**

Да... интересно... и, очевидно, просто лучше. Но в отношении NtQueryInformationProcess есть такая информация:

Retrieves information about the specified process. This function is available in Windows 2000 and Windows XP, but it may be altered or unavailable in subsequent versions.

В машинном переводе это выглядит так: Получает информацию об указанном процессе. Эта функция доступна в Windows 2000 и Windows XP, но это может быть изменено или недоступны в последующих версиях.

Это на том же сайте, что я указал...

И на msdn:

[NtQueryInformationProcess may be altered or unavailable in future versions of Windows. Applications should use the alternate functions listed in this topic.]
Retrieves information about the specified process.

Машинный перевод:

[NtQueryInformationProcess могут быть изменены или недоступны в будущих версиях Windows. Приложения должны использовать альтернативные функции, перечисленные в этом разделе.]
Получает информацию об указанном процессе.

Т.е. данная функция может оказаться недоступной в следующих после 2000 и ХР версиях операционки Windows. А так бесспорно вариант очень хорош и прост в исполнении без внутренних многоходовок цикла по нахождению выбранного процесса, чтобы получить о нем информацию. Минус, конечно, что примененные системные функция и структура недокументированы. Если, к примеру, последнее поле в структуре PROCESS_BASIC_INFORMATION в варианте с загрузкой для .NET платформы описывается как: public IntPtr InheritedFromUniqueProcessId —
то на msdn это поле указывается как зарезервированное за операционной системой. И кроме того, при первом рассмотрении не возникнет ли проблем с размером буфера для получаемой информации? Мне кажется, что этот способ хоть и лучше, но рискованней...В смысле может и сработать, а может и нет, исходя из выше изложенной инфы...

@NickoTin · 19.12.2013, 14:19

Сообщение от lesha1980

Т.е. данная функция может оказаться недоступной в следующих после 2000 и ХР версиях операционки Windows

Не беспокойтесь, это один из основных сервисов в Windows для получения информации о состоянии процессов, в ближайших версиях он никуда не исчезнет. PROCESS_BASIC_INFORMATION не менялась со времен её появления. Хотя в Win 8 и начались подвижки в направления скрытия информации о ядерных структурах для запросов из ring3, в этой структуре никакой подобной информации нет, т.е. шанс что она будет менятся стремится к 0.

@lesha1980 · 19.12.2013, 22:59 **[ТС]**

Сообщение от NickoTin

Не беспокойтесь, это один из основных сервисов в Windows для получения информации о состоянии процессов, в ближайших версиях он никуда не исчезнет. PROCESS_BASIC_INFORMATION не менялась со времен её появления. Хотя в Win 8 и начались подвижки в направления скрытия информации о ядерных структурах для запросов из ring3, в этой структуре никакой подобной информации нет, т.е. шанс что она будет менятся стремится к 0.

Ну что ж отлично... Спасибо вам большое. Вариант действительно хорош.

Добавлено через 7 часов 2 минуты
Работает отлично и очень просто...

Получить id процесса родителя, если исходный id процесса дочерний

Решение

Решение

@tezaurismosis Администратор 9610 / 4752 / 761 Регистрация: 17.04.2012 Сообщений: 9,606 Записей в блоге: 14
	17.12.2013, 18:52	2
	Сообщение от lesha1980 Исключение из HRESULT: 0x8007007E Этот код возвращается, когда программа не может найти библиотеку. Вставьте проверку на наличие библиотек. Также: DllNotFoundException with HRESULT 0x8007007E when loading 64-bit dll 1

@lesha1980 4 / 4 / 1 Регистрация: 06.01.2012 Сообщений: 54
	18.12.2013, 01:03 [ТС]	3
	Сообщение от tezaurismosis Этот код возвращается, когда программа не может найти библиотеку. Вставьте проверку на наличие библиотек. Также: DllNotFoundException with HRESULT 0x8007007E when loading 64-bit dll Это интересно, но в восьмерке отсутствует куча псевдонимов, связанных с классами WMI... Process, к примеру, связанный с Win32_Process. Пытаюсь вручную подключиться на root/cimv2 через wbemtest выдает, что отсутствует модуль win32... Можно ли его установить? К примеру, в восьмерке напрочь отсутствовал .net framework более ранних версий до 3.5... пришлось устанавливать из дистрибутива восьмерки. Не может ли в этом случае быть что-либо подобное? Добавлено через 1 час 15 минут Встретил статью на support.microsoft.com, о том, что в Windows 8, Windows Server 2012 и Windows RT есть баг в работе WMI, который исправляется с помощью обновления, но ни одно из указанных обновлений не подходит к моему компьютеру... В общем тогда поменяю вопрос. Как можно по-другому получить id родительского процесса из id дочернего процесса не прибегая к ManagementObject и к WMI? 0

@NickoTin Почетный модератор 8722 / 3674 / 404 Регистрация: 14.06.2010 Сообщений: 4,513 Записей в блоге: 9
	19.12.2013, 01:21	6
	Сообщение было отмечено tezaurismosis как решение Решение Вариант попроще: Узнать родительский процесс 1

@lesha1980 4 / 4 / 1 Регистрация: 06.01.2012 Сообщений: 54
	19.12.2013, 13:11 [ТС]	7
	Да... интересно... и, очевидно, просто лучше. Но в отношении NtQueryInformationProcess есть такая информация: Retrieves information about the specified process. This function is available in Windows 2000 and Windows XP, but it may be altered or unavailable in subsequent versions. В машинном переводе это выглядит так: Получает информацию об указанном процессе. Эта функция доступна в Windows 2000 и Windows XP, но это может быть изменено или недоступны в последующих версиях. Это на том же сайте, что я указал... И на msdn: [NtQueryInformationProcess may be altered or unavailable in future versions of Windows. Applications should use the alternate functions listed in this topic.] Retrieves information about the specified process. Машинный перевод: [NtQueryInformationProcess могут быть изменены или недоступны в будущих версиях Windows. Приложения должны использовать альтернативные функции, перечисленные в этом разделе.] Получает информацию об указанном процессе. Т.е. данная функция может оказаться недоступной в следующих после 2000 и ХР версиях операционки Windows. А так бесспорно вариант очень хорош и прост в исполнении без внутренних многоходовок цикла по нахождению выбранного процесса, чтобы получить о нем информацию. Минус, конечно, что примененные системные функция и структура недокументированы. Если, к примеру, последнее поле в структуре PROCESS_BASIC_INFORMATION в варианте с загрузкой для .NET платформы описывается как: public IntPtr InheritedFromUniqueProcessId — то на msdn это поле указывается как зарезервированное за операционной системой. И кроме того, при первом рассмотрении не возникнет ли проблем с размером буфера для получаемой информации? Мне кажется, что этот способ хоть и лучше, но рискованней...В смысле может и сработать, а может и нет, исходя из выше изложенной инфы... 0

@NickoTin Почетный модератор 8722 / 3674 / 404 Регистрация: 14.06.2010 Сообщений: 4,513 Записей в блоге: 9
	19.12.2013, 14:19	8
	Сообщение от lesha1980 Т.е. данная функция может оказаться недоступной в следующих после 2000 и ХР версиях операционки Windows Не беспокойтесь, это один из основных сервисов в Windows для получения информации о состоянии процессов, в ближайших версиях он никуда не исчезнет. PROCESS_BASIC_INFORMATION не менялась со времен её появления. Хотя в Win 8 и начались подвижки в направления скрытия информации о ядерных структурах для запросов из ring3, в этой структуре никакой подобной информации нет, т.е. шанс что она будет менятся стремится к 0. 1

@lesha1980 4 / 4 / 1 Регистрация: 06.01.2012 Сообщений: 54
	19.12.2013, 22:59 [ТС]	9
	Сообщение от NickoTin Не беспокойтесь, это один из основных сервисов в Windows для получения информации о состоянии процессов, в ближайших версиях он никуда не исчезнет. PROCESS_BASIC_INFORMATION не менялась со времен её появления. Хотя в Win 8 и начались подвижки в направления скрытия информации о ядерных структурах для запросов из ring3, в этой структуре никакой подобной информации нет, т.е. шанс что она будет менятся стремится к 0. Ну что ж отлично... Спасибо вам большое. Вариант действительно хорош. Добавлено через 7 часов 2 минуты Работает отлично и очень просто... 0