CreateToolhelp32Snapshot详解

最新推荐文章于 2024-04-02 23:52:43 发布
最新推荐文章于 2024-04-02 23:52:43 发布
阅读量1.1w 收藏 20
点赞数 6
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_25539425/article/details/78013874
版权

HANDLE WINAPI CreateToolhelp32Snapshot(
DWORD dwFlags,
DWORD th32ProcessID
);//这个函数的意思是给想看的东西拍个照,然后慢慢的看(系统的进程或者线程的创建非常的迅速,所以只能拍个照片慢慢看,若是拍过照片之后,系统的进程,线程,堆栈等发生了变化,就不在考虑范围之内了,从这点来说,函数的名字还是挺贴合实际的)
dwFlags:
TH32CS_INHERIT :使用这个标志表示,这个快照句柄是可继承的

TH32CS_SNAPALL :表示使用了以下的全部标志,总共四个TH32CS_SNAPHEAPLIST, TH32CS_SNAPMODULE, TH32CS_SNAPPROCESS, and TH32CS_SNAPTHREAD.

TH32CS_SNAPHEAPLIST:表示快照信息包含特定进程的堆栈列表

TH32CS_SNAPMODULE :表示快照信息包含特定进程的使用模块的列表

TH32CS_SNAPPROCESS:表示快照信息包含系统的所有进程的列表

TH32CS_SNAPTHREAD :表示快照信息包含系统所有线程的列表

th32ProcessID:
只有当dwFlags信息中包含TH32CS_SNAPHEAPLIST,TH32CS_SNAPMODULE 时这个值才有效,否则,这个值会被忽略

那么我们举个例子
1.列举堆栈,若要列举堆栈,必须要用的函数是:Heap32ListFirst,Heap32ListNext(实际上我也不知道这么用的实际用途,不知道堆栈ID有什么用)

void CSuspendProcessDlg::EnumHeap(DWORD PID)
{
    if(PID==0)
    {
        MessageBox("进程ID不能为0");
        return;
    }
    CString temp;
    m_threadid.ResetContent();//m_threadid为一个列表框
    HANDLE hShot=CreateToolhelp32Snapshot(TH32CS_SNAPHEAPLIST,PID);//获取进程ID为PID的堆栈列表
    int err=GetLastError();
    if(hShot==INVALID_HANDLE_VALUE)
    {
        MessageBox("创建进程快照失败");
        return;
    }
    HEAPLIST32 te={sizeof(te)};
    BOOL bRet=Heap32ListFirst(hShot,&te);
    while(bRet)
    {
        temp.Format("%d",te.th32HeapID);
        m_threadid.AddString(temp.GetBuffer(0));
        bRet=Heap32ListNext(hShot,&te);
    }
    CloseHandle(hShot);
}

这里写图片描述
2.列举模块信息,若要列举模块信息,必须要用的函数是:Module32First,Module32Next

void CSuspendProcessDlg::EnumModule(DWORD PID)
{
    if(PID==0)
    {
        MessageBox("进程ID不能为0");
        return;
    }
    CString temp;
    m_threadid.ResetContent();
    HANDLE hShot=CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,PID);
    int err=GetLastError();
    if(hShot==INVALID_HANDLE_VALUE)
    {
        MessageBox("创建进程快照失败");
        return;
    }
    MODULEENTRY32 te={sizeof(te)};
    BOOL bRet=Module32First(hShot,&te);
    while(bRet)
    {
        //temp.Format("%d",te.th32HeapID);
        m_threadid.AddString(te.szModule);
        bRet=Module32Next(hShot,&te);
    }
    CloseHandle(hShot);
}

这里写图片描述

3列举系统进程信息,若要列举系统进程信息,必须要用的函数是:Process32First,Process32Next

void CSuspendProcessDlg::EnumProcess()
{
    CString temp;
    m_threadid.ResetContent();
    HANDLE hShot=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
    int err=GetLastError();
    if(hShot==INVALID_HANDLE_VALUE)
    {
        MessageBox("创建进程快照失败");
        return;
    }
    PROCESSENTRY32 te={sizeof(te)};
    BOOL bRet=Process32First(hShot,&te);
    while(bRet)
    {
        m_threadid.AddString(te.szExeFile);
        bRet=Process32Next(hShot,&te);
    }
    CloseHandle(hShot);
}

这里写图片描述

3列举一个进程的线程ID,若要列举线程ID,必须要用的函数是:Thread32First,Thread32Next

void CSuspendProcessDlg::EnumThread(DWORD PID)
{
    if(PID==0)
    {
        MessageBox("进程ID不能为0");
        return;
    }
    CString temp;
    m_threadid.ResetContent();
    HANDLE hShot=CreateToolhelp32Snapshot(TH32CS_SNAPALL,0);
    if(hShot==INVALID_HANDLE_VALUE)
    {
        MessageBox("创建进程快照失败");
        return;
    }
    THREADENTRY32 te={sizeof(te)};
    BOOL bRet=Thread32First(hShot,&te);
    while(bRet)
    {
        if(te.th32OwnerProcessID==PID)
        {
            temp.Format("%d",te.th32ThreadID);
            m_threadid.AddString(temp.GetBuffer(0));
        }
        bRet=Thread32Next(hShot,&te);
    }
    CloseHandle(hShot);
}

这里写图片描述

baidu_25539425
关注
  • 6
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
枚举进程(CreateToolhelp32Snapshot函数剖析)
KOOKNUT的博客
03-13 778
之前写过一些枚举进程的代码,这两天正在回顾之前学习的代码,看到了CreateToolhelp32Snapshot函数,就顺便来看看它的具体实现吧。 实现枚举进程信息的这个过程看起来是比较easy的,只不过是一些Windows的API函数罢了: CreateToolhelp32Snapshot Process32First Process32Next 就利用这三个函数,便可实现当前系统进程的枚举...
PROCESSENTRY32结构体 CreateToolhelp32Snapshot Process32First 和Process32Next
寻梦&之璐
01-14 1624
PROCESSENTRY32结构体 typedef struct tagPROCESSENTRY32 { DWORD dwSize; DWORD cntUsage; DWORD th32ProcessID; // this process ULONG_PTR th32DefaultHeapID; DWORD th32ModuleID; // associated exe DWORD cntThreads
windows C++ 进程遍历、线程遍历模板。后附模板代码
最新发布
Bobowen的博客
04-02 1207
进程遍历是windows软件必备需求,从安装到软件运行再到卸载我们或许都需要知道其他进程的信息。
win32api之进程的创建与使用(二)
xf555er的博客
03-19 1566
在计算机操作系统中,进程是正在运行中的程序的实例。进程是操作系统进行资源分配和管理的基本单位,包括内存、文件句柄、系统状态等。每个进程都有自己的独立内存空间和运行状态,因此它们不会互相干扰,也不会互相影响。多个进程可以在操作系统上同时运行,每个进程都在自己的空间里执行自己的代码。
DLL卸载(创建远程线程卸载强制注入的dll)
m0_51713041的博客
04-13 1142
DLL卸载 实际上我觉得应该改名叫:创建远程线程卸载强制注入的dll 一:工作原理 驱使目标进程调用FreeLibrary() API,和CreateRemoteThread() API来创建远程线程从而实现dll注入的方法类似,这个也是将FreeLibrary() API的地址传递给CreateRemoteThread()的lpStartAddress参数,并将要卸载的DLL的句柄传递给lpParameter参数。 注:每个windows内核对象都拥有一个引用计数,代表对象被使用的次数。每调用一个Load
CreateToolhelp32Snapshot句柄泄漏(内存泄漏)
roc1005的专栏
03-31 1632
// 查找系统中是否有某个进程在运行BOOL FindProcessByName(CString strProcessName){PROCESSENTRY32 pe;HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);pe.dwSize = sizeof(PROCESSENTRY32);if (hSnapshot==NULL){return FALSE;}Process32First(hSnapshot,&pe);do {if
CreateToolhelp32Snapshot
pjz969的专栏
08-08 350
CreateToolhelp32Snapshot CreateToolhelp32Snapshot        函数功能:为指定的进程、进程使用的堆[HEAP]、模块[MODULE]、线程[THREAD])建立一个快照[snapshot]。        函数原型:HANDLE WINAPI CreateToolhelp32Snapshot(DWORD dwFlags,
C++基于CreateToolhelp32Snapshot获取系统进程实例
09-04
C++提供了一种有效的方法来实现这一功能,即通过调用`CreateToolhelp32Snapshot`函数获取系统进程快照,然后使用`Process32First`和`Process32Next`遍历这些进程。以下是对这个过程的详细解释: 1. **`...
VB调用系统API函数---CreateToolhelp32Snapshot函数.pdf
09-30
VB调用系统API函数---CreateToolhelp32Snapshot函数.pdf
CreateToolhelp32SnapshotForModule.zip_进程模块
09-22
CreateToolhelp32SnapshotForModule 输入您要获取模块的进程ID号 得到模块路径/名称
VB调用系统API函数---CreateToolhelp32Snapshot函数[参照].pdf
10-12
VB调用系统API函数---CreateToolhelp32Snapshot函数[参照].pdf
C# 版封装的Windows API
04-03
C#封装的各种Windows底层API 满足各位不会C和C++但是又想调用一些操作系统底层函数的程序员
易语言通过进程名称获取进程ID
511遇见
06-05 8823
通过系统映像的名称来获取进程的PID,有了PID就可以通过(进程_ID取窗口句柄) 获取窗口句柄,有了句柄就可以大漠后台绑定窗口,所以最终目的还是通过进程名称来获取进程所在窗口的句柄,用来窗口的绑定操作。 用到的API 1、CreateToolhelp32Snapshot(创建进程快照) 2、Process32First(取第一个进程) 3、Process32Next(取下一个进程) 4、CloseHandle(关闭一个内核对象) 511遇见易语言模块API教程 自定义数据类型 进程信息列表.
CreateToolhelp32Snapshot 错误299
weixin_33997389的博客
08-30 1309
如果指定的进程是64-bit进程, 而调用者是32-bit进程, 调用会失败, 返回错误码 ERROR_PARTIAL_COPY (299). 转载于:https://www.cnblogs.com/daxingxing/archive/2011/08/30/2159700.html...
Qt 进程守护程序(windows、linux)
m0_73443478的博客
01-09 1173
Qt 进程守护程序(windows、linux)
CreateToolHelp32Snapshot函数获取系统快照
无语的阿辉
11-26 4164
系统为我们在内存中指定了一个关于进程、线程、堆和模块等的当前状态信息副本-----系统快照,我们可以通过CreateToolHelp32Snapshot函数来获取系统快照的句柄,通过该句柄来获取当前状态信息。该函数如下: HANDLE WINAPI CreateToolhelp32Snapshot( DWORD dwFlags, DWORD th32ProcessID
制作任务管理器Demo--CreateToolHelp32Snapshot函数
DEMONH的博客
06-03 955
在这里我们首先需要用到一个可以列出所有进程的一个函数CreateToolelp32Snapshot函数,函数包含在<Tlhelp.h>头中,在帮助文档中,函数的具体格式如下HANDLE WINAPI CreateToolhelp32Snapshot( _In_ DWORD dwFlags, _In_ D...
createtoolhelp32snapshot用法
08-05
createtoolhelp32snapshot是Windows API中的一个函数,用于创建一个系统进程和模块的快照。它的具体用法是通过调用该函数并传递一个指向PROCESSENTRY32结构的指针来创建快照。这个结构体包含有关进程的信息,例如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值