בדיקת EXE מסוים אם רץ בוינדוס

שואף

אני מחפש לדעת בצור תיכנות אם קובץ EXE מסוים רץ בוינדוס. נניח קובץ שהנתיב שלו הוא

C:\Windows\System32\csrss.exe

יש שני דרכים לעשות את זה.
או פקודה

wmic process where "name like 'csrss.exe'" get Caption, commandline

הבעייה היא שבגלל שהEXE הנ"ל רץ כסיסטם, הWMIC לא מחזיר את הCOMMANDLINE, לא יודע למה, וממילא אני רק מקבל תשובה שיש קובץ csrss.exe שרץ על המחשב, אבל אין לי מידע אם זה הקובץ המבוקש או קובץ מנתיב אחר.
אפשרות שניה זה פקודה

tasklist /FI "IMAGENAME eq csrss.exe"

, אבל גם היא מביאה לי רק את השם של הקובץ בלי הנתיב שלו.
חשוב לי מאוד לוודא שהתכנה נמצאת במקומה, ולא שזה תכנה שחכמולוג לקח את המחשבון ושינה לו את השם לקובץ שאני מחפש.

אשמח לעיצה.
תודה רבהנ

WWW

@שואף אמר בבדיקת EXE מסוים אם רץ בוינדוס:

חשוב לי מאוד לוודא שהתכנה נמצאת במקומה, ולא שזה תכנה שחכמולוג לקח את המחשבון ושינה לו את השם לקובץ שאני מחפש.

באותה מידה, הוא יכול לקחת את המחשבון, לשנות שם ולשים במיקום שאתה רוצה...

שואף

@www מזה אני לא חושש. יש אימות עם חתימת האש לקובץ.
רק שאם אין לי את הנתיב, אני בכלל לא יודע איפה לחפש להשוות.

5566brs

הפקודה הזו:

WMIC path win32_process get | findstr -i csrss.exe

וגם אולי הדוגמה הקודמת שהבאת, אמנם לא נותנים את הpath, אבל כנראה שאפשר לעבד מתוכם מידע אם התהליך רץ בהרשאות system. עצם זה שהתהליך רץ בהרשאות system אומרת לך שלא טעית בקובץ, ואם מישהו שינה את שם קובץ כלשהי והריץ אותו הוא לא ירוץ בהרשאות כאלו.

WWW

@שואף אמר בבדיקת EXE מסוים אם רץ בוינדוס:

הבעייה היא שבגלל שהEXE הנ"ל רץ כסיסטם, הWMIC לא מחזיר את הCOMMANDLINE, לא יודע למה,

גם כשהסקריפט שלך רץ תחת סיסטם?

שואף

@5566brs אמר בבדיקת EXE מסוים אם רץ בוינדוס:

אבל כנראה שאפשר לעבד מתוכם מידע אם התהליך רץ בהרשאות system

לא מצאתי דרך.

שואף

@www כן, למרבה הפלא.

WWW

@שואף אולי הקישור הבא יעזור לך, לא כ"כ הבנתי.
https://serverfault.com/questions/193858/wmi-permissions-select-commandline-processid-from-win32-process-returns-no-dat

yossiz

@שואף למה אתה מסתבך עם פקודות חיצוניות? יש לך גישה ל-API של ווינדוס?
https://docs.microsoft.com/en-us/windows/win32/api/psapi/nf-psapi-getprocessimagefilenamea