SeLocateProcessImageName 函数 (ntifs.h)
SeLocateProcessImageName 例程返回指定进程的完整进程映像名称。
语法
NTSTATUS SeLocateProcessImageName(
PEPROCESS Process,
PUNICODE_STRING *pImageFileName
);
参数
Process
[in/out]指向要为其获取名称的进程值的指针。
pImageFileName
[out]指向接收进程完整映像名称的已分配缓冲区的指针。 缓冲区包含 Unicode 字符串,后跟图像名称字符串。
返回值
SeLocateProcessImageName 返回 NTSTATUS 值,如下所示。
| 返回代码 | 描述 |
|---|---|
| STATUS_SUCCESS | 例程已成功返回进程映像名称。 |
| STATUS_NOT_FOUND | 例程找不到进程映像名称。 |
言论
调用方负责释放 pImageFileName 指向的缓冲区,使用与用于分配缓冲区的例程相对应的 ExFreeXxx 例程。
要求
| 要求 | 价值 |
|---|---|
| 标头 | ntifs.h |
| 库 | NtosKrnl.lib |
| DLL | NtosKrnl.exe |
| IRQL | PASSIVE_LEVEL |