Функция NtQueryInformationProcess (winternl.h)

[NtQueryInformationProcess может быть изменен или недоступен в будущих версиях Windows. Приложения должны использовать альтернативные функции, перечисленные в этом разделе.]

Извлекает сведения об указанном процессе.

Синтаксис

__kernel_entry NTSTATUS NtQueryInformationProcess(
  [in]            HANDLE           ProcessHandle,
  [in]            PROCESSINFOCLASS ProcessInformationClass,
  [out]           PVOID            ProcessInformation,
  [in]            ULONG            ProcessInformationLength,
  [out, optional] PULONG           ReturnLength
);

Параметры

[in] ProcessHandle

Дескриптор процесса, для которого требуется извлечь сведения.

[in] ProcessInformationClass

Тип извлекаемой информации о процессе. Этот параметр может быть одним из следующих значений перечисления PROCESSINFOCLASS .

[out] ProcessInformation

Указатель на буфер, предоставляемый вызывающим приложением, в который функция записывает запрошенные сведения. Размер записываемой информации зависит от типа данных параметра ProcessInformationClass :

PROCESS_BASIC_INFORMATION

Если параметр ProcessInformationClass имеет значение ProcessBasicInformation, буфер, на который указывает параметр ProcessInformation , должен быть достаточно большим, чтобы вместить одну PROCESS_BASIC_INFORMATION структуру со следующим макетом:

typedef struct _PROCESS_BASIC_INFORMATION {
    NTSTATUS ExitStatus;
    PPEB PebBaseAddress;
    ULONG_PTR AffinityMask;
    KPRIORITY BasePriority;
    ULONG_PTR UniqueProcessId;
    ULONG_PTR InheritedFromUniqueProcessId;
} PROCESS_BASIC_INFORMATION;

ULONG_PTR

Если параметр ProcessInformationClass имеет значение ProcessWow64Information, буфер, на который указывает параметр ProcessInformation , должен быть достаточно большим, чтобы вместить ULONG_PTR. Если это ненулевое значение, процесс выполняется в среде WOW64. В противном случае процесс не выполняется в среде WOW64.

Используйте функцию IsWow64Process2 , чтобы определить, выполняется ли процесс в среде WOW64.

UNICODE_STRING

Если параметр ProcessInformationClass имеет значение ProcessImageFileName, буфер, на который указывает параметр ProcessInformation , должен быть достаточно большим, чтобы вместить UNICODE_STRING структуру, а также саму строку. Строка, хранящейся в элементе Buffer , является именем файла изображения.

Если буфер слишком мал, функция завершается сбоем с кодом ошибки STATUS_INFO_LENGTH_MISMATCH и параметру ReturnLength присваивается требуемый размер буфера.

[in] ProcessInformationLength

Размер буфера, на который указывает параметр ProcessInformation , в байтах.

[out, optional] ReturnLength

Указатель на переменную, в которой функция возвращает размер запрошенной информации. Если функция выполнена успешно, это размер сведений, записанных в буфер, на который указывает параметр ProcessInformation (если буфер был слишком мал, это минимальный размер буфера, необходимый для успешного получения информации).

Возвращаемое значение

Функция возвращает код успеха или ошибки NTSTATUS.

Формы и важность кодов ошибок NTSTATUS перечислены в файле заголовка Ntstatus.h, доступном в DDK. Дополнительные сведения см. в статье Ошибки ведения журнала .

Комментарии

Функция NtQueryInformationProcess и возвращаемые ею структуры являются внутренними для операционной системы и могут изменяться из одного выпуска Windows в другой. Для обеспечения совместимости приложения лучше использовать общедоступные функции, упомянутые в описании параметра ProcessInformationClass .

Если вы используете NtQueryInformationProcess, получите доступ к функции через динамическое связывание во время выполнения. Это дает коду возможность корректно реагировать, если функция была изменена или удалена из операционной системы. Однако изменения подписи могут быть недоступны для обнаружения.

У этой функции нет связанной библиотеки импорта. Для динамической связи с Ntdll.dll необходимо использовать функции LoadLibrary и GetProcAddress .

Требования

См. также раздел

CheckRemoteDebuggerPresent

GetProcessId

IsDebuggerPresent

IsWow64Process

IsWow64Process2