CreateToolhelp32Snapshot详解

最新推荐文章于 2024-08-25 15:26:27 发布
最新推荐文章于 2024-08-25 15:26:27 发布
阅读量1.1w 收藏 22
点赞数 6
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_25539425/article/details/78013874
版权

HANDLE WINAPI CreateToolhelp32Snapshot(
DWORD dwFlags,
DWORD th32ProcessID
);//这个函数的意思是给想看的东西拍个照,然后慢慢的看(系统的进程或者线程的创建非常的迅速,所以只能拍个照片慢慢看,若是拍过照片之后,系统的进程,线程,堆栈等发生了变化,就不在考虑范围之内了,从这点来说,函数的名字还是挺贴合实际的)
dwFlags:
TH32CS_INHERIT :使用这个标志表示,这个快照句柄是可继承的

TH32CS_SNAPALL :表示使用了以下的全部标志,总共四个TH32CS_SNAPHEAPLIST, TH32CS_SNAPMODULE, TH32CS_SNAPPROCESS, and TH32CS_SNAPTHREAD.

TH32CS_SNAPHEAPLIST:表示快照信息包含特定进程的堆栈列表

TH32CS_SNAPMODULE :表示快照信息包含特定进程的使用模块的列表

TH32CS_SNAPPROCESS:表示快照信息包含系统的所有进程的列表

TH32CS_SNAPTHREAD :表示快照信息包含系统所有线程的列表

th32ProcessID:
只有当dwFlags信息中包含TH32CS_SNAPHEAPLIST,TH32CS_SNAPMODULE 时这个值才有效,否则,这个值会被忽略

那么我们举个例子
1.列举堆栈,若要列举堆栈,必须要用的函数是:Heap32ListFirst,Heap32ListNext(实际上我也不知道这么用的实际用途,不知道堆栈ID有什么用)

void CSuspendProcessDlg::EnumHeap(DWORD PID)
{
    if(PID==0)
    {
        MessageBox("进程ID不能为0");
        return;
    }
    CString temp;
    m_threadid.ResetContent();//m_threadid为一个列表框
    HANDLE hShot=CreateToolhelp32Snapshot(TH32CS_SNAPHEAPLIST,PID);//获取进程ID为PID的堆栈列表
    int err=GetLastError();
    if(hShot==INVALID_HANDLE_VALUE)
    {
        MessageBox("创建进程快照失败");
        return;
    }
    HEAPLIST32 te={sizeof(te)};
    BOOL bRet=Heap32ListFirst(hShot,&te);
    while(bRet)
    {
        temp.Format("%d",te.th32HeapID);
        m_threadid.AddString(temp.GetBuffer(0));
        bRet=Heap32ListNext(hShot,&te);
    }
    CloseHandle(hShot);
}

这里写图片描述
2.列举模块信息,若要列举模块信息,必须要用的函数是:Module32First,Module32Next

void CSuspendProcessDlg::EnumModule(DWORD PID)
{
    if(PID==0)
    {
        MessageBox("进程ID不能为0");
        return;
    }
    CString temp;
    m_threadid.ResetContent();
    HANDLE hShot=CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,PID);
    int err=GetLastError();
    if(hShot==INVALID_HANDLE_VALUE)
    {
        MessageBox("创建进程快照失败");
        return;
    }
    MODULEENTRY32 te={sizeof(te)};
    BOOL bRet=Module32First(hShot,&te);
    while(bRet)
    {
        //temp.Format("%d",te.th32HeapID);
        m_threadid.AddString(te.szModule);
        bRet=Module32Next(hShot,&te);
    }
    CloseHandle(hShot);
}

这里写图片描述

3列举系统进程信息,若要列举系统进程信息,必须要用的函数是:Process32First,Process32Next

void CSuspendProcessDlg::EnumProcess()
{
    CString temp;
    m_threadid.ResetContent();
    HANDLE hShot=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
    int err=GetLastError();
    if(hShot==INVALID_HANDLE_VALUE)
    {
        MessageBox("创建进程快照失败");
        return;
    }
    PROCESSENTRY32 te={sizeof(te)};
    BOOL bRet=Process32First(hShot,&te);
    while(bRet)
    {
        m_threadid.AddString(te.szExeFile);
        bRet=Process32Next(hShot,&te);
    }
    CloseHandle(hShot);
}

这里写图片描述

3列举一个进程的线程ID,若要列举线程ID,必须要用的函数是:Thread32First,Thread32Next

void CSuspendProcessDlg::EnumThread(DWORD PID)
{
    if(PID==0)
    {
        MessageBox("进程ID不能为0");
        return;
    }
    CString temp;
    m_threadid.ResetContent();
    HANDLE hShot=CreateToolhelp32Snapshot(TH32CS_SNAPALL,0);
    if(hShot==INVALID_HANDLE_VALUE)
    {
        MessageBox("创建进程快照失败");
        return;
    }
    THREADENTRY32 te={sizeof(te)};
    BOOL bRet=Thread32First(hShot,&te);
    while(bRet)
    {
        if(te.th32OwnerProcessID==PID)
        {
            temp.Format("%d",te.th32ThreadID);
            m_threadid.AddString(temp.GetBuffer(0));
        }
        bRet=Thread32Next(hShot,&te);
    }
    CloseHandle(hShot);
}

这里写图片描述

baidu_25539425
关注
进程管理 使用CreateToolhelp32Snapshot获取系统进程
10-28
提升权限,进程结束,键盘钩子,鼠标钩子 使用CreateToolhelp32Snapshot获取系统进程 //提高权限.可结束太部分进程 BOOL CProcesskillDlg::UpdateProcessPrivilege(HANDLE hprocess,LPCTSTR lpName) { HANDLE hToken; HANDLE hProcess; LUID destLuid; int iResult; if(hprocess == NULL) hProcess = GetCurrentProcess(); else hProcess = hprocess; if ( ::OpenProcessToken( hProcess, TOKEN_ALL_ACCESS, &hToken ) ) { if ( ::LookupPrivilegeValue( NULL, lpName/*SE_DEBUG_NAME*/, &destLuid ) )
CreateToolhelp32Snapshot枚举进程
01-27 5579
 CreateToolhelp32Snapshot枚举进程   CreateToolhelp32Snapshot枚举进程每一个应用程序实例在运行起来后都会在当前系统下产生一个进程,大多数应用程序均拥有可视界面,用户可以通过标题栏上的关闭按钮关闭程序。但是也有为数不少的在后台运行的程序是没有可视界面的,对于这类应用程序用户只能通过CTRL+ALT+DEL热键呼出"关闭程序"对话框显示出当前系统进程列
微信不能打开,点击微信后显示无法定位程序输入点CreateTOolhelp32Snapshot于动态链接库KERNEL32.dll上。
最新发布
weixin_49360346的博客
08-25 393
kernel32.dll文件可能由于病毒攻击、系统错误或人为误操作等因素,被删除或损坏,导致系统在调用其内部函数时无法找到指定的输入点。用户在安装某些软件或更新操作系统后,kernel32.dll的版本可能与正在运行的程序要求的版本不符,造成输入点无法定位。应用程序自身可能存在编码缺陷,导致在调用kernel32.dll时指定了不存在的函数入口。
CreateToolhelp32Snapshot
zen_z的专栏
05-31 1134
CreateToolhelp32Snapshot   CreateToolhelp32Snapshot函数为指定的进程、进程使用的堆[HEAP]、模块[MODULE]、线程[THREAD])建立一个快照[snapshot]。   HANDLE WINAPI CreateToolhelp32Snapshot(   DWORD dwFlags,   DWORD th32ProcessID   );   参数:   dwFlags   [输入]指定快照中包含的系统内容,这个参数能够使用下列数值(常量)中的一个或多
CreateToolhelp32Snapshot函数
胸怀世界
02-28 1万+
CreateToolhelp32Snapshot CreateToolhelp32Snapshot可以通过获取进程信息为指定的进程、进程使用的堆[HEAP]、模块[MODULE]、线程建立一个快照。说到底,可以获取系统中正在运行的进程信息,线程信息,等。 原型:HANDLE WINAPI CreateToolhelp32Snapshot( _In_ DWORD dwFlags, //
WindowsAPI ——CreateToolhelp32Snapshot
qq_38933606的博客
08-23 1285
CreateToolhelp32Snapshot 获取指定文件大小,in byte。 函数原型 DWORD GetFileSize(__kernel_entry NTSTATUS NtQueryInformationProcess( HANDLE ProcessHandle, PROCESSINFOCLASS ProcessInformationClass, PVOID ProcessInformation, ULONG ProcessInformationLength, PULONG ReturnLe
Win32病毒利用:DLL远程注入技术详解
首先,`FindTarget`函数是一个关键部分,它使用`CreateToolhelp32Snapshot`和`Process32First/Process32Next`来获取系统的进程快照,并遍历每一个进程,通过比较`szExeFile`字段来确定是否为目标进程。当找到匹配的...
[Win32] ToolHelp API 和 进程API 详解
zuishikonghuan的博客
08-17 4813
本博文由CSDN博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处:
Windows C++调用系统键盘API详解
`CreateToolhelp32Snapshot` 创建一个进程快照,`Process32First` 和 `Process32Next` 分别用于开始遍历和继续遍历这个快照,从而获取每个进程的信息。 3. **Windows API的使用** - 在寻找并获取到键盘进程的句柄...
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入)
杨秀璋的专栏
06-25 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入、APC注入,案例包括键盘钩子、计算器远线程注入实现、APC注入等,希望对您有所帮助。
CreateToolhelp32Snapshot Process32First Process32Next
11-26
CreateToolhelp32Snapshot Process32First Process32Next
[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
热门推荐
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。基础性文章,希望对您有所帮助~
CreateToolhelp32Snapshot 函数作用,用法
qq_42503022的博客
01-03 3216
CreateToolhelp32Snapshot 函数通过获取进程信息为指定的进程、进程使用的堆[HEAP]、模块[MODULE]、线程建立一个快照. 说到底,可以获取系统中正在运行的进程信息,线程信息,等 函数原型: HANDLE WINAPI CreateToolhelp32Snapshot( DWORD dwFlags, //用来指定“快照”中需要返回的对象,可以是TH32CS_SNAPPR...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值