WIN32程序获取父进程ID的方法

学过windows程序设计的人都知道，windows中的进程是可以有父子关系的，拥有父子关系的进程，一旦父进程结束，子进程有会随之退出。但是如果进程之间没有父子关系，我们如何让子进程在父进程退出是也同时跟着退出呢？方法有很多，本文介绍其中的一种利用父进程ID的方案，实现的原理很简单：先获取父进程的ID，然后通过ID来获取父进程Handle，通过监视父进程的Handle来决定子进程是否退出。所以，这里的关键就是如何获取父进程的ID。

为了获取父进程ID，这里需要用到一个微软未公开的API：

NTSTATUS WINAPI NtQueryInformationProcess(
 __in    HANDLE ProcessHandle,
 __in    PROCESSINFOCLASS ProcessInformationClass,
 __out   PVOID ProcessInformation,
 __in    ULONG ProcessInformationLength,
 __out_opt PULONG ReturnLength
);

这个API位于Ntdll.dll里面，通过引用头文件winternl.h来获取相关的类型定义。当我们得到这个函数后，下一步就需要去了解各个函数参数的意义了，这里我们重点看一下第二个参数 PROCESSINFOCLASS结构体的内容：

 typedef struct _PROCESS_BASIC_INFORMATION {
  PVOID Reserved1;
  PPEB PebBaseAddress;
  PVOID Reserved2[2];
  ULONG_PTR UniqueProcessId;
  PVOID Reserved3;
} PROCESS_BASIC_INFORMATION;

这是MSDN里给出的结构体定义。到目前为止，我们还是不知道Parent进程的ID从哪里取。正所谓，天下没有不透风的墙，经过无数高手的破解，实际上最后一个字段Reserved3就是Parent进程的ID，只要我们将它转换为一个DWORD值即可。

经过在x86和x64的windows2003和windows20008平台上的测试，的确是Parent进程的ID。

既然知道了Parent进程的ID出处，接下来就好办了， 基本步骤如下：

1. 先获取自己的进程ID，GetCurrentProcessID()

2. 获取进程查询句柄，调用OpenProcess()带上PROCESS_QUERY_INFORMATION标志

3. 调用NtQueryInformationProcess()来查询进程信息

4. 获取父进程句柄，还是调用OpenProcess()

5. 启动一个线程去等待父进程退出，WaitForSingleObject(ParentHandle, INFINITE)

大功告成，这样无论是父进程正常退出，还是异常终止，子进程都能被退出。