windows进程线程模块操作

最新推荐文章于 2024-03-13 22:59:32 发布
最新推荐文章于 2024-03-13 22:59:32 发布
阅读量665 收藏
点赞数
分类专栏: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ga4ra/article/details/104131579
版权

文章目录

1. 进程

进程:运行的程序,可执行文件在内存中的样子。

包含:

  • 虚拟空间
  • exe + dll
  • 进程内核对象
  • 至少一个运行的线程
  • 。。。

创建进程

  • CreateProcess()
  • WinExec()
  • ShellExecute()
  • system()
  • OpenProcess()
  • ExitProcess()
  • TerminateProcess()
#define ExePath L"E:\\Dbgview.exe"

int main()
{

	//窗口属性
	STARTUPINFO si = {};
	si.cb = sizeof(si);
	//进程信息
	PROCESS_INFORMATION pi = {};

	//创建进程
	BOOL bRet = CreateProcess(
		ExePath,  //exe的路径
		NULL,	  //命令行参数
		NULL,	  //进程安全属性
		NULL,	  //线程安全属性
		FALSE,    //是否继承父进程句柄
		NULL,	  //创建标志
		NULL,	  //环境变量
		NULL,	  //当前运行目录
		&si,	  //窗口特性
		&pi
	);
	if (bRet)
	{
		MessageBox(NULL, L"创建成功", NULL, NULL);
	}
	else {
		MessageBox(NULL, L"创建失败", NULL, NULL);
	}

    return 0;

}

结束进程

最常见和最理想的结束方式是,主线程的入口函数返回。

void KillProcess(DWORD dwPid)
{
	//1.获取进程句柄
	HANDLE  hProcess = OpenProcess(
		PROCESS_TERMINATE,		//打开句柄拥有的权限
		FALSE,					//句柄是否能继承
		dwPid					//进程PID
	);
	if (hProcess != INVALID_HANDLE_VALUE)
	{
		//2.结束进程
		TerminateProcess(hProcess, 0);
		//3.关闭句柄
		CloseHandle(hProcess);
	}

}

快照与遍历进程

快照可以用来遍历进程。

快照api包含在<TIHelpp32.h>

步骤:

  1. 创建进程快照
  2. 第一次遍历进程
  3. 循环遍历进程Next
  4. 关闭句柄
#include <iostream>
#include <windows.h>
#include <TlHelp32.h>

void EnumProcess()
{
	//1.创建进程快照
	HANDLE hSnap = CreateToolhelp32Snapshot(
		TH32CS_SNAPPROCESS,			//遍历进程快照1
		0);							//进程PID

	//2.第一次遍历进程
	PROCESSENTRY32  stcPe = {sizeof(stcPe)};
	
	if (Process32First(hSnap, &stcPe))
	{

		//3.循环遍历进程Next
		do {

			wprintf(L"pid :%d   %S\n", stcPe.th32ProcessID, stcPe.szExeFile);
			//获取其他信息
			HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, stcPe.th32ProcessID);
			if (hProcess != INVALID_HANDLE_VALUE)
			{
				GetPriorityClass(hProcess);
				CloseHandle(hProcess);
			}
		} while (Process32Next(hSnap, &stcPe));
	}

	//4.关闭句柄
	CloseHandle(hSnap);
}

int main()
{
	EnumProcess();
    return 0;
}

2. 快照遍历模块

仅32位。

void EnumModule(DWORD dwPid)
{
	//1.创建模块快照
	HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwPid);


	//2.第一次遍历模块
	MODULEENTRY32 stcMd = { sizeof(stcMd) };
	if (Module32First(hSnap, &stcMd))
	{
		//3.循环遍历模块Next
		do
		{	
			wprintf(L"size:%d path:%S\n", stcMd.dwSize, stcMd.szExePath);
		} while (Module32Next(hSnap, &stcMd));
	}
	CloseHandle(hSnap);

}

遍历模块的正确姿势

BOOL EnumModules96(DWORD dwPid, std::list<MYMODULEINFO>& list)
{
	HANDLE hProcess = OpenProcess(
		PROCESS_QUERY_INFORMATION | PROCESS_VM_READ,
		FALSE,
		dwPid);
	HMODULE* hModules = new HMODULE[0x2000]();
	DWORD dwSize = 0, dwModuleCount = 0;

	MYMODULEINFO modinfo;

	if (hProcess == NULL)
	{
		MessageBoxW(NULL, L"EnumModules96() ERROR", L"ERROR", 0);
		return FALSE;
	}
	EnumProcessModulesEx(hProcess, hModules, sizeof(HMODULE) * 0x2000,
		&dwSize, LIST_MODULES_ALL);

	dwModuleCount = dwSize / sizeof(HMODULE);

	size_t i = 0;
	//while(hModules[i])
	for (; i < dwModuleCount; ++i)
	{
		ZeroMemory(modinfo.wszFileName, 0x1000 * sizeof(WCHAR));
		GetModuleFileNameEx(hProcess, hModules[i],
			modinfo.wszFileName, 0x1000);
		GetModuleInformation(hProcess, hModules[i],
			&modinfo.stcModinfo, sizeof(MODULEINFO));
		//wprintf(L"%ls\n", wszFileName);
		//wprintf(L"	EP:			%p\n", (WCHAR*)modinfo.EntryPoint);
		//wprintf(L"	BaseOfDll:	%p\n", (WCHAR*)modinfo.lpBaseOfDll);
		//wprintf(L"	SizeOfImage:%u\n", modinfo.SizeOfImage);
		list.push_back(modinfo);
	}

	delete[] hModules;

	return TRUE;
}

3. 线程

主函数其实也可以配置属性,指入口函数:

#pragma comment(linker, "/entry:\"MyFun\"")

可以打开线程窗口调试。

需要创建线程的情况:

  • 输入的同时也有输出;
  • 一个逻辑依赖于另一个逻辑的实时反馈,如进度条;
  • 复杂但不紧急的任务;
  • 复杂的磁盘操作;
  • 网络程序;
  • 多个需要长时间等待的逻辑;
  • 密集计算;
  • 远程注入。

总结就是:会阻塞当前线程,但当前线程不能被阻塞的情况。

线程是内核对象。

主线程结束,其它线程也结束。

创建线程

#include <windows.h>
#include <stdio.h>

DWORD WINAPI ThreadProc(LPVOID lParam)
{
	int i = 10;
	while (i--)
	{
		wprintf(L"child thread\n");
		Sleep(1000);
	}
	return 0;
}

int main()
{
	HANDLE hThread = CreateThread(NULL,
		NULL,
		ThreadProc,
		NULL,NULL,NULL);
	WaitForSingleObject(
		hThread,
		5000
	);
	int i = 10;
	while (i--)
	{
		wprintf(L"parent thread\n");
		Sleep(1000);
	}
	return 0;
}

遍历线程

#include <windows.h>
#include <stdio.h>
#include<TlHelp32.h>

void EnumThreads(DWORD dwPid)
{
	HANDLE hSnap = INVALID_HANDLE_VALUE;
	THREADENTRY32 te32;

	hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);
	if (hSnap == INVALID_HANDLE_VALUE)
	{
		return;
	}

	te32.dwSize = sizeof(THREADENTRY32);

	if (Thread32First(hSnap, &te32))
	{
		do
		{
			if (te32.th32OwnerProcessID == dwPid)
			{
				printf("TID:%d\n", te32.th32ThreadID);
			}
		} while (Thread32Next(hSnap,&te32));
	}
	CloseHandle(hSnap);
}

int main()
{
	EnumThreads(GetCurrentProcessId());
	return 0;
}

伪句柄

HANDLE GetCurrentProcess();
HANDLE GetCurrentThread();
UINT GetCurrentProcessiD();
UINT GetCurrentThreadId();

前两个伪句柄仅能在本地使用,不能在其它进程/线程中使用。

每个进程/线程都有自己的伪句柄,指向真正的句柄。



#include <iostream>
#include<Windows.h>

//线程回调函数
DWORD WINAPI ChildThread(PVOID pParam) {

	//观察主线程时间  发现主线程时间不一致,说明这个句柄不是主线程的,它只是伪句柄
	HANDLE hThreadParent = (HANDLE)pParam;
	FILETIME stcCreationTime, stcExitTime;
	FILETIME stcKernelTime, stcUserTime;
	GetThreadTimes(hThreadParent, &stcCreationTime,
		&stcExitTime, &stcKernelTime, &stcUserTime);
	//输出创建时间
	printf("main: h = %d L = %d\n",
		stcCreationTime.dwHighDateTime, stcCreationTime.dwLowDateTime);
	return 0;
}
int main()
{
	//获取当前线程句柄
	HANDLE hThreadParent = GetCurrentThread();
	//显示当前线程时间
	FILETIME stcCreationTime, stcExitTime;
	FILETIME stcKernelTime, stcUserTime;
	GetThreadTimes(hThreadParent, &stcCreationTime,
		&stcExitTime, &stcKernelTime, &stcUserTime);
	//输出创建时间
	printf("main: h = %d L = %d\n",
		stcCreationTime.dwHighDateTime, stcCreationTime.dwLowDateTime);

	//创建线程,将当前主线程句柄传递
	HANDLE hThread = CreateThread(NULL, 0, ChildThread,
		(PVOID)hThreadParent, 0, NULL);
	//等待线程结束
	WaitForSingleObject(hThread, -1);
}

复制句柄


#include <iostream>
#include<Windows.h>

//线程回调函数
DWORD WINAPI ChildThread(PVOID pParam) {

	//观察主线程时间
	HANDLE hThreadParent = (HANDLE)pParam;
	FILETIME stcCreationTime, stcExitTime;
	FILETIME stcKernelTime, stcUserTime;
	GetThreadTimes(hThreadParent, &stcCreationTime,
		&stcExitTime, &stcKernelTime, &stcUserTime);
	//输出创建时间
	printf("main: h = %d L = %d\n",
		stcCreationTime.dwHighDateTime, stcCreationTime.dwLowDateTime);;
	return 0;
}
int main()
{
	//获取当前线程句柄
	HANDLE hThreadParent = GetCurrentThread();
	//复制句柄,变成真句柄
	DuplicateHandle(
		GetCurrentProcess(), // 拥有源句柄的进程句柄
		GetCurrentThread(), // 指定对象的现有句柄(伪句柄)
		GetCurrentProcess(), // 拥有新对象句柄的进程句柄
		&hThreadParent,    // 用于保存新句柄
		0,					// 安全访问级别
		false,				// 是否可以被子进程继承
		DUPLICATE_SAME_ACCESS); // 转换选项
								//显示当前线程时间
	FILETIME stcCreationTime, stcExitTime;
	FILETIME stcKernelTime, stcUserTime;
	GetThreadTimes(hThreadParent, &stcCreationTime,
		&stcExitTime, &stcKernelTime, &stcUserTime);
	//输出创建时间
	printf("main: h = %d L = %d\n",
		stcCreationTime.dwHighDateTime, stcCreationTime.dwLowDateTime);;

	//创建线程,将当前主线程句柄传递
	HANDLE hThread = CreateThread(NULL, 0, ChildThread,
		(PVOID)hThreadParent, 0, NULL);
	//等待线程结束
	WaitForSingleObject(hThread, -1);
}

线程退出

ExitThread()会结束主函数,但不会析构c++对象,因此建议使用_endthreadex()

TerminateThread()只会结束指定线程,也不会析构对象,不建议。

线程睡眠

windows是分时系统,不是实时系统,所以Sleep()有20ms左右的误差。

Sleep(0)则放弃剩余时间片。

线程内核对象

暂停次数:创建线程初始化时,暂停次数为1,不会分配时间片,如果有SUSPEND标志,则初始化为0,

线程环境(context):线程让出cpu后,要保存执行环境,再次获得时间片时,再把环境加载到cpu中。

信号:WaitForSingleObject()会阻塞,线程结束收到信号后才返回。

优先级

32个优先级。

CreateThread()没有提供设置优先级的参数:

windows不允许我们直接操作线程优先级,而是os通过进程优先级与相对线程优先级得出线程优先级,这个数值叫做基本优先级。

操作:

  • CreateProcess()的fdwCreate传入优先级;
  • SetPriorityClass()改变优先级;
  • GetPriorityClass();
  • SetThreadPriority();
  • GetThreadPriority();

动态优先级

线程同步

等待函数

先介绍一下等待函数:WaitForMultipleObjects()WaitForSingleObject()。它们等待可以等待的内核对象,这些对象有激发态和非激发态两个状态。调用后线程会进入等待状态。

特定内核对象变为激发态时,会触发等待函数返回。

返回值:

  • WAIT_ABANDONED:用于互斥体
  • WAIT_OBJECT_0:内核对象变为激发态
  • WAIT_TIMEOUT:超时
  • WAIT_FAILED:失败

当一个对象的状态改变时,称之为成功等待的副作用。

具体同步措施,可以查看我的另一篇博客。

CodeStarr
关注
专栏目录
线程进程模块
dohxxx的博客
09-04 505
1.什么是线程? 答:一个线程就是操作系统的一个内核对象,在Windows操作系统内核中没有进程的概念,只有线程的概念,进程只不过是在逻辑上对一组线程及相关的资源进行的一种封装。 2.什么是进程? 答:进程是一个正在运行的程序,有一个虚拟的地址空间(4gb),地址空间有加载的exe,同时也有程序运行时所必须的dll,进程内核对象,至少一个运行的线程。 3.什么是模块,模块句柄的本质是什么?...
枚举windows进程模块的几种方法—PEB内核结构详解
阔野的专栏
11-18 5103
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载的模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载的模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程进程加载的模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h heade...
Windows进程/线程浅谈
robotlb723的专栏
10-05 1195
 1. 进程的起源与演化1.1 进程的起源  进程, 多道程序设计技术, 分时技术是密不可分的整体. 多道程序设计思想是理论基础, 分时系统和进程为多道程序设计技术的实现提供了一个舞台.  第一个问题: 为什么要有进程?  在计算机发展史的早期时代, 硬件是非常昂贵, 非常稀缺的资源. 其中, 处理器的利用率是一个旗标. 硬件中断机制的出现, 又使处理器从繁重的外设操作中得到解放, 可以更多地作用
网络编程——Windows中的线程
beilizhang的博客
05-02 1117
参考 《TCP/IP网络编程》 尹圣雨 Windows中的线程 内核对象 操作系统创建的资源,如进程线程、文件、信号量、互斥量等。这些资源的共同点是,都是由Windows操作系统创建并管理的的资源。不同资源的管理方式有差异,操作系统为了以记录相关信息的方式管理各种资源,在其内部生成数据块。由于每种资源需要维护的信息不同,所以每种资源拥有的数据块格式也有差异。这类数据块称为“内核对象”。 内核对象的所有者是内核(操作系统)。内核对象的创建、管理、销毁时机的决定等工作均由操作系统完成 线程 调用main函
Windows线程控制
weixin_30460489的博客
07-10 70
线程无疑带来了很多方便,提高了很多开发效率,但是同时也带来了很多问题。 举个栗子: DWORD WINAPI ThreadProc(LPVOID lPParameter); int m = 0; int n = 0; int main(int argc, TCHAR* argv[], TCHAR* envp[]) { HANDLE hThread...
【C语言】Windows下的C语言线程编程详解
风高秋月白,雨霁晚霞红
03-13 4057
C语言,线程
windows进程线程信息查询
03-31
本文将深入探讨“Windows进程线程信息查询”这一主题,并介绍一款名为ProcExp的工具,它能够帮助用户获取这些详细信息。 ProcExp是由SysInternals开发的一款强大的系统监控工具,类似Windows下的procxp,它提供了...
CC++ 进程模块内存注入[x86x64] Windows R3 无模块注入,
最新发布
06-23
本文将深入探讨“CC++ 进程模块内存注入[x86x64]”的概念,这是一种针对Windows操作系统的技术,它允许代码在目标进程中执行而无需加载额外的模块。我们将讨论其工作原理、实现方法以及与Windows R3(Ring 3)权限...
易语言取窗口进程线程句柄等源码
06-06
易语言源码分享站可能是这样的一个平台,程序员们在这里交流和分享他们的易语言编程经验,包括如取窗口进程线程句柄等实用的代码片段。 5. **API调用**: 在易语言中,与Windows API的交互是通过“API调用”来完成...
Windows内核进程创建和模块加载通知的先后顺序
xiejianjun417的专栏
08-22 888
Windows内核进程创建和退出通知主要通过调用PsSetCreateProcessNotifyRoutine或者PsSetCreateProcessNotifyRoutineEx来注册事件通知函数,在进程创建和退出时,系统会调用注册的事件通知函数;可执行模块加载通知调用PsSetLoadImageNotifyRoutine或PsSetLoadImageNotifyRoutineEx来注册事件通知...
windows 列举出所有进程
kgzhwang
04-23 443
DWORD FindProcess() {     PROCESSENTRY32 pe32; PROCESS_MEMORY_COUNTERS MemCount; ZeroMemory(&MemCount, sizeof(PROCESS_MEMORY_COUNTERS)); pe32.dwSize = sizeof(pe32); HANDLE hp = CreateToolhelp3
★★★Windows系统进程列表完全解析★★★
★心碎无痕的专栏★
01-09 1155
Windows 2000 系统下的缺省进程Csrss.exeExplorer.exeInternat.exeLsass.exeMstask.exeSmss.exeSpoolsv.exeSvchost.exeServices.exeSystemSystem Idle ProcessTaskmgr.exeWinlogon.exeWinmgmt.exeWindows XP 常见的进程列表  最基
c语言查看进程模块,C/C++ 实现windows进程/线程/模块 遍历
weixin_39843698的博客
05-21 291
#include #include#include#includeBOOL SetProcessPrivilege(char *lpName, BOOL opt);int main(int argc, char *argv[]){PROCESSENTRY32 pe32;MODULEENTRY32 me32;HANDLE hProcess, hSnapshot_proc, hSnapshot_mod...
在C++中找到进程中所加载的某一模块的基地址
qq_35320456的博客
02-27 1131
在C++中找到进程中所加载的某一模块的基地址
Windows进程简介
希望能帮助大家,希望大家多多支持,你们的支持是我前进的动力。
08-11 2267
一般将进程定义为一个正在运行的程序的一个实例,由以下两部分构成。一个内核对象,操作系统用它来管理进程。内核对象也是系统保存进程统计信息的地方一个地址空间,其中包含所有可执行文件或DLL模块的代码和数据。此外,它还包含动态内存分配,比如线程堆栈和堆的分配。进程是惰性的,进程要做任何事,都必须让一个线程在它的上下文中运行,该线程负责执行进程地址空间包含的代码,一个进程可以有多个线程,所有的线程都在进程的地址空间中“同时”执行代码。每个线程都有它自己的一组CPU寄存器和它自己的堆栈。...
【超详细】遍历Windows进程模块
weixin_33778544的博客
11-11 1474
直奔主题 摘要上一篇文章详细介绍了如何 遍历Windows进程。这篇文章主要是对获取的系统进程作进一步处理,依次遍历每一个进程中使用的模块!主要是用到了Module32First以及Module32Next两个函数,思路就是在之前的进程外层循环中新增一个模块内层循环 具体思路(1).使用CreateToolhelp32Snapshot以及...
windows 线程一般用法
zhoumin4576的博客
07-27 1496
目录 一. 线程说明 1. 概念 2. 线程进程 3. 执行 二. windows下的各种线程 1. win32线程 (1) CreateThread (2) _beginthreadex (3) 如何选择使用哪个线程函数 2. mfc线程 (1) 工作线程:AfxBegin...
VC++实现的Windows高级进程管理工具:模块线程监控
总结来说,这个Windows进程管理工具不仅提供了任务和进程的全面视图,还包括了深入到模块线程层面的信息,通过VC++和Windows API的高效整合,为用户提供了一种更强大且易于使用的进程管理解决方案。这不仅提升了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值