通过NtQueryInformationProcess查找一个进程的父进程

typedef struct _PROCESS_BASIC_INFORMATION {
PVOID Reserved1;
PPEB PebBaseAddress;
PVOID Reserved2[2];
ULONG_PTR UniqueProcessId;
PVOID Reserved3;
} PROCESS_BASIC_INFORMATION;

Reserved3即父进程id，类型为ULONG_PTR。

接下来才是重点：

每个进程在其生命周期内，系统底层都有一个EPROCESS与之一一对应，此EPROCESS中记录着此进程的父进程ID，但当其父进程生命周期结束时，此进程的EPROCESS并不会更新其父进程ID。

当我们通过PROCESS_BASIC_INFORMATION获取到一个进程P1的父进程的ID时，获取到的其实是P1被创建时创建者进程P1CREATER的id，此时，进程P1CREATER可能已经退出了，而且很有可能此id已被其他进程P2复用了，如果我们在自己的的逻辑层认为此id所对应的进程P2就是我们要找的进程P1的父进程，是不对的，因为进程P1的父进程应该是是进程P1CREATER。

我们需要做的是进一步获取此id此刻所对应进程P2的创建时间和进程P1的创建时间，如果进程P2的创建时间比进程P1的创建时间晚，此id是一个被复用的id，它所对应的进程P2并不是进程P1的父进程，相反，如果进程P2的创建时间比进程P1的创建时间早，则此id所对应的进程P2就是创建进程P1的进程，也就是进程P1的父进程。

综上所述，我们无法在一个进程正在运行时准确确定它的父进程是谁，但是我们可以监控进程的创建和退出，在进程创建和退出时准确记录进程父子关系。