CreateToolhelp32Snapshot

最新推荐文章于 2021-08-23 12:18:28 发布
最新推荐文章于 2021-08-23 12:18:28 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: Win32/API编程 文章标签: module function thread winapi delphi forms
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dreamhacker/article/details/3191602
版权
  CreateToolhelp32Snapshot函数为指定的进程、进程使用的堆[HEAP]、模块[MODULE]、线程[THREAD])建立一个快照[snapshot]。
  HANDLE WINAPI CreateToolhelp32Snapshot(
  DWORD dwFlags,
  DWORD th32ProcessID
  );
  参数:
  dwFlags
  [输入]指定快照中包含的系统内容,这个参数能够使用下列数值(变量)中的一个。
  TH32CS_INHERIT - 声明快照句柄是可继承的。
  TH32CS_SNAPALL - 在快照中包含系统中所有的进程和线程。
  TH32CS_SNAPHEAPLIST - 在快照中包含在th32ProcessID中指定的进程的所有的堆。
  TH32CS_SNAPMODULE - 在快照中包含在th32ProcessID中指定的进程的所有的模块。
  TH32CS_SNAPPROCESS - 在快照中包含系统中所有的进程。
  TH32CS_SNAPTHREAD - 在快照中包含系统中所有的线程。
  Const TH32CS_SNAPHEAPLIST = &H1
  Const TH32CS_SNAPPROCESS = &H2
  Const TH32CS_SNAPTHREAD = &H4
  Const TH32CS_SNAPMODULE = &H8
  Const TH32CS_SNAPALL = (TH32CS_SNAPHEAPLIST Or TH32CS_SNAPPROCESS Or TH32CS_SNAPTHREAD Or TH32CS_SNAPMODULE)
  Const TH32CS_INHERIT = &H80000000
  th32ProcessID
  [输入]指定将要快照的进程ID。如果该参数为0表示快照当前进程。该参数只有在设置了TH32CS_SNAPHEAPLIST或TH32CS_SNAPMOUDLE后才有效,在其他情况下该参数被忽略,所有的进程都会被快照。
  返回值:
  调用成功,返回快照的句柄,调用失败,返回INVAID_HANDLE_VALUE。
  备注:
  使用GetLastError函数查找该函数产生的错误状态码。
  要删除快照,使用CloseHandle函数
Delphi实现:
  1. unit uAPISpy;
  3. interface
  5. uses
  6.   Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
  7.   Dialogs, Menus, StdCtrls;
  9. type
  10.   TfrmMain = class(TForm)
  11.     mmoInf: TMemo;
  12.     mmnuMain: TMainMenu;
  13.     mnuSystem: TMenuItem;
  14.     mnuiRefresh: TMenuItem;
  15.     mnuiClose: TMenuItem;
  16.     procedure mnuiRefreshClick(Sender: TObject);
  17.     procedure mnuiCloseClick(Sender: TObject);
  18.   private
  19.     { Private declarations }
  20.   public
  21.     { Public declarations }
  22.   end;
  24. var
  25.   frmMain: TfrmMain;
  27. implementation
  29. uses
  30.   TLHelp32;
  32. {$R *.dfm}
  34. procedure TfrmMain.mnuiRefreshClick(Sender: TObject);
  35. var
  36.   processName: string;
  37.   processID: integer;
  38.   listLoop: boolean;
  39.   fSnapshotHandle: THandle;
  40.   fProcessEntry32: TProcessEntry32;
  41. begin
  42.   //Set the sizeof the struct
  43.   fProcessEntry32.dwsize := SizeOf(fProcessEntry32);
  45.   //take a snapshot for all of the processes on the system
  46.   fSnapshotHandle := CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
  47.   if (fSnapshotHandle = INVALID_HANDLE_VALUE) then
  48.   begin
  49.     exit;
  50.   end;
  52.   //Traversing the processes
  53.   listLoop := Process32First(fSnapshotHandle, fProcessEntry32);
  55.   while listLoop do
  56.   begin
  57.     processName := fProcessEntry32.szExeFile;
  58.     processID := fProcessEntry32.th32ProcessID;
  60.     mmoInf.Lines.Add('ProcessName:' + processName);
  61.     mmoInf.Lines.Add('ProcessID:' + IntToStr(processID));
  63.     listLoop := Process32Next(fSnapshotHandle, fProcessEntry32);
  64.   end;
  66.   //Release the handle
  67.   CloseHandle(fSnapshotHandle);
  68. end;
  70. procedure TfrmMain.mnuiCloseClick(Sender: TObject);
  71. begin
  72.   Close;
  73. end;
  75. end.

附上TLHelp32模块源码:

  1. { *********************************************************************** }
  2. {                                                                         }
  3. { Delphi Runtime Library                                                  }
  4. {                                                                         }
  5. { Copyright (c) 1996-2001 Borland Software Corporation                    }
  6. {                                                                         }
  7. { *********************************************************************** }
  9. {*******************************************************}
  10. {       Tool Help Functions, Types, and Definitions     }
  11. {*******************************************************}
  13. unit TlHelp32;
  15. {$WEAKPACKAGEUNIT}
  17. interface
  19. uses Windows;
  21. {$HPPEMIT '#include <tlhelp32.h>'}
  23. const
  24. {$EXTERNALSYM MAX_MODULE_NAME32}
  25.   MAX_MODULE_NAME32 = 255;
  27. (****** Shapshot function **********************************************)
  29. {$EXTERNALSYM CreateToolhelp32Snapshot}
  30. function CreateToolhelp32Snapshot(dwFlags, th32ProcessID: DWORD): THandle;
  32. type
  33.   TCreateToolhelp32Snapshot = function (dwFlags, th32ProcessID: DWORD): THandle stdcall;
  34. //
  35. // The th32ProcessID argument is only used if TH32CS_SNAPHEAPLIST or
  36. // TH32CS_SNAPMODULE is specified. th32ProcessID == 0 means the current
  37. // process.
  38. //
  39. // NOTE that all of the snapshots are global except for the heap and module
  40. //  lists which are process specific. To enumerate the heap or module
  41. //  state for all WIN32 processes call with TH32CS_SNAPALL and the
  42. //  current process. Then for each process in the TH32CS_SNAPPROCESS
  43. //  list that isn't the current process, do a call with just
  44. //  TH32CS_SNAPHEAPLIST and/or TH32CS_SNAPMODULE.
  45. //
  46. // dwFlags
  47. //
  48. const
  49. {$EXTERNALSYM TH32CS_SNAPHEAPLIST}
  50.   TH32CS_SNAPHEAPLIST = $00000001;
  51. {$EXTERNALSYM TH32CS_SNAPPROCESS}
  52.   TH32CS_SNAPPROCESS  = $00000002;
  53. {$EXTERNALSYM TH32CS_SNAPTHREAD}
  54.   TH32CS_SNAPTHREAD   = $00000004;
  55. {$EXTERNALSYM TH32CS_SNAPMODULE}
  56.   TH32CS_SNAPMODULE   = $00000008;
  57. {$EXTERNALSYM TH32CS_SNAPALL}
  58.   TH32CS_SNAPALL      = TH32CS_SNAPHEAPLIST or TH32CS_SNAPPROCESS or
  59.     TH32CS_SNAPTHREAD or TH32CS_SNAPMODULE;
  60. {$EXTERNALSYM TH32CS_INHERIT}
  61.   TH32CS_INHERIT      = $80000000;
  62. //
  63. // Use CloseHandle to destroy the snapshot
  64. //
  66. (****** heap walking ***************************************************)
  68. type
  69. {$EXTERNALSYM tagHEAPLIST32}
  70.   tagHEAPLIST32 = record
  71.     dwSize: DWORD;
  72.     th32ProcessID: DWORD;  // owning process
  73.     th32HeapID: DWORD;     // heap (in owning process's context!)
  74.     dwFlags: DWORD;
  75.   end;
  76. {$EXTERNALSYM HEAPLIST32}
  77.   HEAPLIST32 = tagHEAPLIST32;
  78. {$EXTERNALSYM PHEAPLIST32}
  79.   PHEAPLIST32 = ^tagHEAPLIST32;
  80. {$EXTERNALSYM LPHEAPLIST32}
  81.   LPHEAPLIST32 = ^tagHEAPLIST32;
  82.   THeapList32 = tagHEAPLIST32;
  83. //
  84. // dwFlags
  85. //
  86. const
  87. {$EXTERNALSYM HF32_DEFAULT}
  88.   HF32_DEFAULT = 1;  // process's default heap
  89. {$EXTERNALSYM HF32_SHARED}
  90.   HF32_SHARED  = 2;  // is shared heap
  92. {$EXTERNALSYM Heap32ListFirst}
  93. function Heap32ListFirst(hSnapshot: THandle; var lphl: THeapList32): BOOL;
  94. {$EXTERNALSYM Heap32ListNext}
  95. function Heap32ListNext(hSnapshot: THandle; var lphl: THeapList32): BOOL;
  97. type
  98.   THeap32ListFirst = function (hSnapshot: THandle; var lphl: THeapList32): BOOL stdcall;
  99.   THeap32ListNext = function (hSnapshot: THandle; var lphl: THeapList32): BOOL stdcall;
  101. type
  102. {$EXTERNALSYM tagHEAPENTRY32}
  103.   tagHEAPENTRY32 = record
  104.     dwSize: DWORD;
  105.     hHandle: THandle;     // Handle of this heap block
  106.     dwAddress: DWORD;     // Linear address of start of block
  107.     dwBlockSize: DWORD;   // Size of block in bytes
  108.     dwFlags: DWORD;
  109.     dwLockCount: DWORD;
  110.     dwResvd: DWORD;
  111.     th32ProcessID: DWORD; // owning process
  112.     th32HeapID: DWORD;    // heap block is in
  113.   end;
  114. {$EXTERNALSYM HEAPENTRY32}
  115.   HEAPENTRY32 = tagHEAPENTRY32;
  116. {$EXTERNALSYM PHEAPENTRY32}
  117.   PHEAPENTRY32 = ^tagHEAPENTRY32;
  118. {$EXTERNALSYM LPHEAPENTRY32}
  119.   LPHEAPENTRY32 = ^tagHEAPENTRY32;
  120.   THeapEntry32 = tagHEAPENTRY32;
  121. //
  122. // dwFlags
  123. //
  124. const
  125. {$EXTERNALSYM LF32_FIXED}
  126.   LF32_FIXED    = $00000001;
  127. {$EXTERNALSYM LF32_FREE}
  128.   LF32_FREE     = $00000002;
  129. {$EXTERNALSYM LF32_MOVEABLE}
  130.   LF32_MOVEABLE = $00000004;
  132. {$EXTERNALSYM Heap32First}
  133. function Heap32First(var lphe: THeapEntry32; th32ProcessID, th32HeapID: DWORD): BOOL;
  134. {$EXTERNALSYM Heap32Next}
  135. function Heap32Next(var lphe: THeapEntry32): BOOL;
  136. {$EXTERNALSYM Toolhelp32ReadProcessMemory}
  137. function Toolhelp32ReadProcessMemory(th32ProcessID: DWORD; lpBaseAddress: Pointer;
  138.   var lpBuffer; cbRead: DWORD; var lpNumberOfBytesRead: DWORD): BOOL;
  140. type
  141.   THeap32First = function (var lphe: THeapEntry32; th32ProcessID,
  142.     th32HeapID: DWORD): BOOL stdcall;
  143.   THeap32Next = function (var lphe: THeapEntry32): BOOL stdcall;
  144.   TToolhelp32ReadProcessMemory = function (th32ProcessID: DWORD;
  145.     lpBaseAddress: Pointer; var lpBuffer; cbRead: DWORD;
  146.     var lpNumberOfBytesRead: DWORD): BOOL stdcall;
  148. (***** Process walking *************************************************)
  150. type
  151. {$EXTERNALSYM tagPROCESSENTRY32W}
  152.   tagPROCESSENTRY32W = packed record
  153.     dwSize: DWORD;
  154.     cntUsage: DWORD;
  155.     th32ProcessID: DWORD;       // this process
  156.     th32DefaultHeapID: DWORD;
  157.     th32ModuleID: DWORD;        // associated exe
  158.     cntThreads: DWORD;
  159.     th32ParentProcessID: DWORD; // this process's parent process
  160.     pcPriClassBase: Longint;    // Base priority of process's threads
  161.     dwFlags: DWORD;
  162.     szExeFile: array[0..MAX_PATH - 1of WChar;// Path
  163.   end;
  164. {$EXTERNALSYM PROCESSENTRY32W}
  165.   PROCESSENTRY32W = tagPROCESSENTRY32W;
  166. {$EXTERNALSYM PPROCESSENTRY32W}
  167.   PPROCESSENTRY32W = ^tagPROCESSENTRY32W;
  168. {$EXTERNALSYM LPPROCESSENTRY32W}
  169.   LPPROCESSENTRY32W = ^tagPROCESSENTRY32W;
  170.   TProcessEntry32W = tagPROCESSENTRY32W;
  172. {$EXTERNALSYM Process32FirstW}
  173. function Process32FirstW(hSnapshot: THandle; var lppe: TProcessEntry32W): BOOL;
  174. {$EXTERNALSYM Process32NextW}
  175. function Process32NextW(hSnapshot: THandle; var lppe: TProcessEntry32W): BOOL;
  177. type
  178.   TProcess32FirstW = function (hSnapshot: THandle; var lppe: TProcessEntry32W): BOOL stdcall;
  179.   TProcess32NextW = function (hSnapshot: THandle; var lppe: TProcessEntry32W): BOOL stdcall;
  181. {$EXTERNALSYM tagPROCESSENTRY32}
  182.   tagPROCESSENTRY32 = packed record
  183.     dwSize: DWORD;
  184.     cntUsage: DWORD;
  185.     th32ProcessID: DWORD;       // this process
  186.     th32DefaultHeapID: DWORD;
  187.     th32ModuleID: DWORD;        // associated exe
  188.     cntThreads: DWORD;
  189.     th32ParentProcessID: DWORD; // this process's parent process
  190.     pcPriClassBase: Longint;    // Base priority of process's threads
  191.     dwFlags: DWORD;
  192.     szExeFile: array[0..MAX_PATH - 1of Char;// Path
  193.   end;
  194. {$EXTERNALSYM PROCESSENTRY32}
  195.   PROCESSENTRY32 = tagPROCESSENTRY32;
  196. {$EXTERNALSYM PPROCESSENTRY32}
  197.   PPROCESSENTRY32 = ^tagPROCESSENTRY32;
  198. {$EXTERNALSYM LPPROCESSENTRY32}
  199.   LPPROCESSENTRY32 = ^tagPROCESSENTRY32;
  200.   TProcessEntry32 = tagPROCESSENTRY32;
  202. {$EXTERNALSYM Process32First}
  203. function Process32First(hSnapshot: THandle; var lppe: TProcessEntry32): BOOL;
  204. {$EXTERNALSYM Process32Next}
  205. function Process32Next(hSnapshot: THandle; var lppe: TProcessEntry32): BOOL;
  207. type
  208.   TProcess32First = function (hSnapshot: THandle; var lppe: TProcessEntry32): BOOL stdcall;
  209.   TProcess32Next = function (hSnapshot: THandle; var lppe: TProcessEntry32): BOOL stdcall;
  211. (***** Thread walking **************************************************)
  213. type
  214. {$EXTERNALSYM tagTHREADENTRY32}
  215.   tagTHREADENTRY32 = record
  216.     dwSize: DWORD;
  217.     cntUsage: DWORD;
  218.     th32ThreadID: DWORD;       // this thread
  219.     th32OwnerProcessID: DWORD; // Process this thread is associated with
  220.     tpBasePri: Longint;
  221.     tpDeltaPri: Longint;
  222.     dwFlags: DWORD;
  223.   end;
  224. {$EXTERNALSYM THREADENTRY32}
  225.   THREADENTRY32 = tagTHREADENTRY32;
  226. {$EXTERNALSYM PTHREADENTRY32}
  227.   PTHREADENTRY32 = ^tagTHREADENTRY32;
  228. {$EXTERNALSYM LPTHREADENTRY32}
  229.   LPTHREADENTRY32 = ^tagTHREADENTRY32;
  230.   TThreadEntry32 = tagTHREADENTRY32;
  232. {$EXTERNALSYM Thread32First}
  233. function Thread32First(hSnapshot: THandle; var lpte: TThreadEntry32): BOOL; stdcall;
  234. {$EXTERNALSYM Thread32Next}
  235. function Thread32Next(hSnapshot: THandle; var lpte: TThreadENtry32): BOOL; stdcall;
  237. type
  238.   TThread32First = function (hSnapshot: THandle; var lpte: TThreadEntry32): BOOL stdcall;
  239.   TThread32Next = function (hSnapshot: THandle; var lpte: TThreadENtry32): BOOL stdcall;
  241. (***** Module walking *************************************************)
  243. type
  244. {$EXTERNALSYM tagMODULEENTRY32}
  245.   tagMODULEENTRY32 = record
  246.     dwSize: DWORD;
  247.     th32ModuleID: DWORD;  // This module
  248.     th32ProcessID: DWORD; // owning process
  249.     GlblcntUsage: DWORD;  // Global usage count on the module
  250.     ProccntUsage: DWORD;  // Module usage count in th32ProcessID's context
  251.     modBaseAddr: PBYTE;   // Base address of module in th32ProcessID's context
  252.     modBaseSize: DWORD;   // Size in bytes of module starting at modBaseAddr
  253.     hModule: HMODULE;     // The hModule of this module in th32ProcessID's context
  254.     szModule: array[0..MAX_MODULE_NAME32] of Char;
  255.     szExePath: array[0..MAX_PATH - 1of Char;
  256.   end;
  257. {$EXTERNALSYM MODULEENTRY32}
  258.   MODULEENTRY32 = tagMODULEENTRY32;
  259. {$EXTERNALSYM PMODULEENTRY32}
  260.   PMODULEENTRY32 = ^tagMODULEENTRY32;
  261. {$EXTERNALSYM LPMODULEENTRY32}
  262.   LPMODULEENTRY32 = ^tagMODULEENTRY32;
  263.   TModuleEntry32 = tagMODULEENTRY32;
  265. //
  266. // NOTE CAREFULLY that the modBaseAddr and hModule fields are valid ONLY
  267. // in th32ProcessID's process context.
  268. //
  270. {$EXTERNALSYM Module32First}
  271. function Module32First(hSnapshot: THandle; var lpme: TModuleEntry32): BOOL;
  272. {$EXTERNALSYM Module32Next}
  273. function Module32Next(hSnapshot: THandle; var lpme: TModuleEntry32): BOOL;
  275. type
  276.   TModule32First = function (hSnapshot: THandle; var lpme: TModuleEntry32): BOOL stdcall;
  277.   TModule32Next = function (hSnapshot: THandle; var lpme: TModuleEntry32): BOOL stdcall;
  279. {$EXTERNALSYM tagMODULEENTRY32W}
  280.   tagMODULEENTRY32W = record
  281.     dwSize: DWORD;
  282.     th32ModuleID: DWORD;  // This module
  283.     th32ProcessID: DWORD; // owning process
  284.     GlblcntUsage: DWORD;  // Global usage count on the module
  285.     ProccntUsage: DWORD;  // Module usage count in th32ProcessID's context
  286.     modBaseAddr: PBYTE;   // Base address of module in th32ProcessID's context
  287.     modBaseSize: DWORD;   // Size in bytes of module starting at modBaseAddr
  288.     hModule: HMODULE;     // The hModule of this module in th32ProcessID's context
  289.     szModule: array[0..MAX_MODULE_NAME32] of WChar;
  290.     szExePath: array[0..MAX_PATH - 1of WChar;
  291.   end;
  292. {$EXTERNALSYM MODULEENTRY32}
  293.   MODULEENTRY32W = tagMODULEENTRY32W;
  294. {$EXTERNALSYM PMODULEENTRY32}
  295.   PMODULEENTRY32W = ^tagMODULEENTRY32W;
  296. {$EXTERNALSYM LPMODULEENTRY32}
  297.   LPMODULEENTRY32W = ^tagMODULEENTRY32W;
  298.   TModuleEntry32W = tagMODULEENTRY32W;
  300. //
  301. // NOTE CAREFULLY that the modBaseAddr and hModule fields are valid ONLY
  302. // in th32ProcessID's process context.
  303. //
  305. {$EXTERNALSYM Module32FirstW}
  306. function Module32FirstW(hSnapshot: THandle; var lpme: TModuleEntry32W): BOOL;
  307. {$EXTERNALSYM Module32NextW}
  308. function Module32NextW(hSnapshot: THandle; var lpme: TModuleEntry32W): BOOL;
  310. type
  311.   TModule32FirstW = function (hSnapshot: THandle; var lpme: TModuleEntry32W): BOOL stdcall;
  312.   TModule32NextW = function (hSnapshot: THandle; var lpme: TModuleEntry32W): BOOL stdcall;
  314. implementation
  316. const
  317.   kernel32 = 'kernel32.dll';
  319. var
  320.   KernelHandle: THandle;
  321.   _CreateToolhelp32Snapshot: TCreateToolhelp32Snapshot;
  322.   _Heap32ListFirst: THeap32ListFirst;
  323.   _Heap32ListNext: THeap32ListNext;
  324.   _Heap32First: THeap32First;
  325.   _Heap32Next: THeap32Next;
  326.   _Toolhelp32ReadProcessMemory: TToolhelp32ReadProcessMemory;
  327.   _Process32First: TProcess32First;
  328.   _Process32Next: TProcess32Next;
  329.   _Process32FirstW: TProcess32FirstW;
  330.   _Process32NextW: TProcess32NextW;
  331.   _Thread32First: TThread32First;
  332.   _Thread32Next: TThread32Next;
  333.   _Module32First: TModule32First;
  334.   _Module32Next: TModule32Next;
  335.   _Module32FirstW: TModule32FirstW;
  336.   _Module32NextW: TModule32NextW;
  338. function InitToolHelp: Boolean;
  339. begin
  340.   if KernelHandle = 0 then
  341.   begin
  342.     KernelHandle := GetModuleHandle(kernel32);
  343.     if KernelHandle <> 0 then
  344.     begin
  345.       @_CreateToolhelp32Snapshot := GetProcAddress(KernelHandle, 'CreateToolhelp32Snapshot');
  346.       @_Heap32ListFirst := GetProcAddress(KernelHandle, 'Heap32ListFirst');
  347.       @_Heap32ListNext := GetProcAddress(KernelHandle, 'Heap32ListNext');
  348.       @_Heap32First := GetProcAddress(KernelHandle, 'Heap32First');
  349.       @_Heap32Next := GetProcAddress(KernelHandle, 'Heap32Next');
  350.       @_Toolhelp32ReadProcessMemory := GetProcAddress(KernelHandle, 'Toolhelp32ReadProcessMemory');
  351.       @_Process32First := GetProcAddress(KernelHandle, 'Process32First');
  352.       @_Process32Next := GetProcAddress(KernelHandle, 'Process32Next');
  353.       @_Process32FirstW := GetProcAddress(KernelHandle, 'Process32FirstW');
  354.       @_Process32NextW := GetProcAddress(KernelHandle, 'Process32NextW');
  355.       @_Thread32First := GetProcAddress(KernelHandle, 'Thread32First');
  356.       @_Thread32Next := GetProcAddress(KernelHandle, 'Thread32Next');
  357.       @_Module32First := GetProcAddress(KernelHandle, 'Module32First');
  358.       @_Module32Next := GetProcAddress(KernelHandle, 'Module32Next');
  359.       @_Module32FirstW := GetProcAddress(KernelHandle, 'Module32FirstW');
  360.       @_Module32NextW := GetProcAddress(KernelHandle, 'Module32NextW');
  361.     end;
  362.   end;
  363.   Result := (KernelHandle <> 0and Assigned(_CreateToolhelp32Snapshot);
  364. end;
  366. function CreateToolhelp32Snapshot;
  367. begin
  368.   if InitToolHelp then
  369.     Result := _CreateToolhelp32Snapshot(dwFlags, th32ProcessID)
  370.   else Result := 0;
  371. end;
  373. function Heap32ListFirst;
  374. begin
  375.   if InitToolHelp then
  376.     Result := _Heap32ListFirst(hSnapshot, lphl)
  377.   else Result := False;
  378. end;
  380. function Heap32ListNext;
  381. begin
  382.   if InitToolHelp then
  383.     Result := _Heap32ListNext(hSnapshot, lphl)
  384.   else Result := False;
  385. end;
  387. function Heap32First;
  388. begin
  389.   if InitToolHelp then
  390.     Result := _Heap32First(lphe, th32ProcessID, th32HeapID)
  391.   else Result := False;
  392. end;
  394. function Heap32Next;
  395. begin
  396.   if InitToolHelp then
  397.     Result := _Heap32Next(lphe)
  398.   else Result := False;
  399. end;
  401. function Toolhelp32ReadProcessMemory;
  402. begin
  403.   if InitToolHelp then
  404.     Result := _Toolhelp32ReadProcessMemory(th32ProcessID, lpBaseAddress,
  405.       lpBuffer, cbRead, lpNumberOfBytesRead)
  406.   else Result := False;
  407. end;
  409. function Process32First;
  410. begin
  411.   if InitToolHelp then
  412.     Result := _Process32First(hSnapshot, lppe)
  413.   else Result := False;
  414. end;
  416. function Process32Next;
  417. begin
  418.   if InitToolHelp then
  419.     Result := _Process32Next(hSnapshot, lppe)
  420.   else Result := False;
  421. end;
  423. function Process32FirstW;
  424. begin
  425.   if InitToolHelp then
  426.     Result := _Process32FirstW(hSnapshot, lppe)
  427.   else Result := False;
  428. end;
  430. function Process32NextW;
  431. begin
  432.   if InitToolHelp then
  433.     Result := _Process32NextW(hSnapshot, lppe)
  434.   else Result := False;
  435. end;
  437. function Thread32First;
  438. begin
  439.   if InitToolHelp then
  440.     Result := _Thread32First(hSnapshot, lpte)
  441.   else Result := False;
  442. end;
  444. function Thread32Next;
  445. begin
  446.   if InitToolHelp then
  447.     Result := _Thread32Next(hSnapshot, lpte)
  448.   else Result := False;
  449. end;
  451. function Module32First;
  452. begin
  453.   if InitToolHelp then
  454.     Result := _Module32First(hSnapshot, lpme)
  455.   else Result := False;
  456. end;
  458. function Module32Next;
  459. begin
  460.   if InitToolHelp then
  461.     Result := _Module32Next(hSnapshot, lpme)
  462.   else Result := False;
  463. end;
  465. function Module32FirstW;
  466. begin
  467.   if InitToolHelp then
  468.     Result := _Module32FirstW(hSnapshot, lpme)
  469.   else Result := False;
  470. end;
  472. function Module32NextW;
  473. begin
  474.   if InitToolHelp then
  475.     Result := _Module32NextW(hSnapshot, lpme)
  476.   else Result := False;
  477. end;
  479. end.

 

CreateToolHelp32SnapShot及其它用户态枚举进程都是基于ZwQuerySystemInformation的5号调用

炜伯伯(David Z.)
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++基于CreateToolhelp32Snapshot获取系统进程实例
01-20
本文实例讲述了C++基于CreateToolhelp32Snapshot获取系统进程的实现方法。分享给大家供大家参考。具体方法如下: // GetWinProcess.cpp : 定义控制台应用程序的入口点。 // #include stdafx.h #include #include ...
delphi 监控进程exe
qq_39951605的博客
05-05 261
【代码】delphi 监控进程exe。
CreateToolHelp32Snapshot 查看进程及其模块列表(delphi xe2)
11-13 2378
原文出处:http://blog.csdn.net/htiscold/article/details/3962817     在delphi xe2下调试运行成功。   代码:   unit Unit1; interface uses Winapi.Windows, Winapi.Messages, System.SysUtils, System.Variants,
CreateToolhelp32Snapshot详解
baidu_25539425的博客
09-17 1万+
HANDLE WINAPI CreateToolhelp32Snapshot( DWORD dwFlags, DWORD th32ProcessID ); dwFlags: TH32CS_INHERIT :使用这个标志表示,这个快照句柄是可继承的TH32CS_SNAPALL :表示使用了以下的全部标志,总共四个TH32CS_SNAPHEAPLIST, TH32CS_SNAPMODU
WindowsAPI ——CreateToolhelp32Snapshot
qq_38933606的博客
08-23 1206
CreateToolhelp32Snapshot 获取指定文件大小,in byte。 函数原型 DWORD GetFileSize(__kernel_entry NTSTATUS NtQueryInformationProcess( HANDLE ProcessHandle, PROCESSINFOCLASS ProcessInformationClass, PVOID ProcessInformation, ULONG ProcessInformationLength, PULONG ReturnLe
CreateToolHelp32Snapshot函数获取系统快照
无语的阿辉
11-26 4158
系统为我们在内存中指定了一个关于进程、线程、堆和模块等的当前状态信息副本-----系统快照,我们可以通过CreateToolHelp32Snapshot函数来获取系统快照的句柄,通过该句柄来获取当前状态信息。该函数如下: HANDLE WINAPI CreateToolhelp32Snapshot( DWORD dwFlags, DWORD th32ProcessID
VB调用系统API函数---CreateToolhelp32Snapshot函数.pdf
09-30
VB调用系统API函数---CreateToolhelp32Snapshot函数.pdf
VB调用系统API函数---CreateToolhelp32Snapshot函数[参照].pdf
10-12
VB调用系统API函数---CreateToolhelp32Snapshot函数[参照].pdf
进程管理 使用CreateToolhelp32Snapshot获取系统进程
10-28
使用CreateToolhelp32Snapshot获取系统进程 //提高权限.可结束太部分进程 BOOL CProcesskillDlg::UpdateProcessPrivilege(HANDLE hprocess,LPCTSTR lpName) { HANDLE hToken; HANDLE hProcess; LUID destLuid; int ...
CreateToolhelp32Snapshot函数
热门推荐
胸怀世界
02-28 1万+
CreateToolhelp32Snapshot CreateToolhelp32Snapshot可以通过获取进程信息为指定的进程、进程使用的堆[HEAP]、模块[MODULE]、线程建立一个快照。说到底,可以获取系统中正在运行的进程信息,线程信息,等。 原型:HANDLE WINAPI CreateToolhelp32Snapshot( _In_ DWORD dwFlags, //
CreateToolhelp32Snapshot Process32First Process32Next
11-26
CreateToolhelp32Snapshot Process32First Process32Next
函数说明(CreateToolhelp32Snapshot) 08.10.31
commonness
10-31 634
CreateToolhelp32Snapshot函数为指定的进程、进程使用的堆[HEAP]、模块[MODULE]、线程[THREAD])建立一个快照[snapshot]。  HANDLE WINAPI CreateToolhelp32Snapshot(  DWORD dwFlags,  DWORD th32ProcessID  );  参数:  dwFlags  [输入
CreateToolhelp32Snapshot函数的头文件
苍苍尘渺天的专栏
05-30 1万+
CreateToolhelp32Snapshot函数的头文件是---  #include "tlhelp32.h"
利用CreateToolhelp32Snapshot改内存
A_KIM的专栏
02-18 888
1.HANDLE   WINAPI   CreateToolhelp32Snapshot(         DWORD   dwFlags,                       DWORD   th32ProcessID         );     取得th32ProcessID标识的进程的快照,包括进程、堆、模块和线程信息。其中dwFlags指明需要那种类型的信息。         2
获取进程的信息
甜筒八部 的专栏
08-08 2569
使用 NtQueryInformationProcess 函数Retrieves information about the specified process. Windows NT/2000系统的NTDLL.DLL包含了许多未公开的API函数。 NtQueryInformationProcess就是微软 NTDLL.DLL包含的未公开 的一个 API。 NTDLL.DLL中有一个函数叫NtQueryInformationProcess,用它可以指定参数,获得指定结构体类型的进程信息,拷贝到...
CreateToolHelp32Snapshot 查看进程及其模块列表
htiscold的专栏
03-06 2468
    经常看到类似"用CreateToolHelp32Snapshot 查看进程及其模块列表"的问题,但好象还没有看到真正完美解决的,虽然主要部份有很多人给出了方法,但因为一些细节问题,很多人即使照搬了代码也不成功,下面给出用DELPHI写的解决方法.    主要思路其实网上有很多,无非是先用 CreateToolHelp32Snapshot(TH32CS_SNAPPROCESS,0) 得到
createtoolhelp32snapshot用法
最新发布
08-05
createtoolhelp32snapshot是Windows API中的一个函数,用于创建一个系统进程和模块的快照。它的具体用法是通过调用该函数并传递一个指向PROCESSENTRY32结构的指针来创建快照。这个结构体包含有关进程的信息,例如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值