进程操作技巧集

最新推荐文章于 2020-09-21 21:15:10 发布
最新推荐文章于 2020-09-21 21:15:10 发布
阅读量1.2k 收藏
点赞数
分类专栏: 四书五经 文章标签: winapi report structure module null thread
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cmdn/article/details/420972
版权
        

     首先谈一谈取得进程快照(枚举系统当前进程)的系统底层函数。一般我们会用到3个关键的函数:CreateToolhelp32Snapshot(),Process32First()和Process32Next()。顺带介绍一个OpenProcess函数。

 

 他们的定义分别如下:

HANDLE WINAPI CreateToolhelp32Snapshot(

  DWORD dwFlags, //系统快照要查看的信息类型

  DWORD th32ProcessID      //值0表示当前进程

);

BOOL WINAPI Process32First(

  HANDLE hSnapshot,        //CreateToolhelp32Snapshot()创建的快照句柄

  LPPROCESSENTRY32 lppe  //指向进程入口结构

);

BOOL WINAPI Process32Next(

  HANDLE hSnapshot,        //这里参数同Process32First

  LPPROCESSENTRY32 lppe  //同上

);

 

使用方法

首先使用CreateToolhelp32Snapshot()创建系统快照句柄(hprocess是我们声明用来保存创建的快照句柄):hProcess=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);

然后调用Process32First()获得系统快照中的第一个进程信息(Report是BOOL型作为判断系统快照中下一条进程记录):report=Process32First(hProcess,pinfo);//report是bool值

接着用一个循环调用来遍历系统中所有运行的进程:

while(report)

 {

  hModule=CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,pinfo->th32ProcessID);

  Module32First(hModule, minfo);

  GetShortPathName(minfo->szExePath,shortpath,256);

  printf("%s --- %sn",pinfo->szExeFile,shortpath);

  report=Process32Next(hProcess, pinfo);  

 }

在这个过程中我们很可能使用OpenProcess函数:

(HANDLE OpenProcess(

  DWORD dwDesiredAccess,

  BOOL bInheritHandle,

  DWORD dwProcessId

);)它是根据第三个参数dwProcessId来得到HANDLE的。

相关资料

     Msdn上的实现:

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/perfmon/base/taking_a_snapshot_and_viewing_processes.asp

 

下面是操作的一段代码:

代码段1

HANDLE hProcessSnap=NULL

PROCESSENTRY32 pe={0};

hProcessSnap=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);

if(hProcessSnap==(HANDLE)-1) return;

pe.dwSize=sizeof(PROCESSENTRY32);

if(Process32First(hProcessSnap,&pe))

{

  do

  {

    //pe.szExeFile 中就是进程名称

  }

  while(Process32Next(hProcessSnap,&pe));

 

代码段2

 

#include <windows.h>

#include <tlhelp32.h>

#include <stdio.h>

BOOL GetProcessList ()

{

    HANDLE         hProcessSnap = NULL;

    BOOL           bRet      = FALSE;

    PROCESSENTRY32 pe32      = {0};

    //  Take a snapshot of all processes in the system.

    hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

    if (hProcessSnap == (HANDLE)-1)

        return (FALSE);

    //  Fill in the size of the structure before using it.

    pe32.dwSize = sizeof(PROCESSENTRY32);

    //  Walk the snapshot of the processes, and for each process,

    //  display information.

    if (Process32First(hProcessSnap, &pe32))

    {

        DWORD         dwPriorityClass;

        BOOL          bGotModule = FALSE;

        MODULEENTRY32 me32       = {0};

      do

        {

            bGotModule = GetProcessModule(pe32.th32ProcessID,

                pe32.th32ModuleID, &me32, sizeof(MODULEENTRY32));

            if (bGotModule)

            {

                HANDLE hProcess;

                // Get the actual priority class.

                hProcess = OpenProcess (PROCESS_ALL_ACCESS,FALSE, pe32.th32ProcessID);

                dwPriorityClass = GetPriorityClass (hProcess);

                CloseHandle (hProcess);

                // Print the process's information.

                printf( "/nPriority Class Base/t%d/n", pe32.pcPriClassBase);

                printf( "PID/t/t/t%d/n", pe32.th32ProcessID);

                printf( "Thread Count/t/t%d/n", pe32.cntThreads);

                printf( "Module Name/t/t%s/n", me32.szModule);

                printf( "Full Path/t/t%s/n/n", me32.szExePath);

            }

        }

        while (Process32Next(hProcessSnap, &pe32));

        bRet = TRUE;

    }

    else

        bRet = FALSE;    // could not walk the list of processes

    // Do not forget to clean up the snapshot object.

    CloseHandle (hProcessSnap);

    return (bRet);

}

cmdn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
系统编程(程序与进程进程操作API
weixin_46431190的博客
02-15 632
一、什么是程序,什么是进程 1.程序:一堆待执行的代码,称之为程序 2.进程:当程序被CPU加载后,程序中一行行代码被执行,形成一个动态的过程,即一个正在执行的程序 3.如何执行一个进程:即执行程序,如执行hello,即./hello 4.进程在系统中如何存储:以结构体的形式进行存储,结构体中存放该进程的一些相关信息,可通过ps -ef查看进程相关信息 二、如何查看当前系统进程 1.输入ps -ef查看 可以查看到当前系统内进程的各项信息,例如:进程的使用者(权限归属),进程id,该进程的父进
进程操作
weixin_49001476的博客
11-13 455
1.创建父子进程 fork函数的用法 #include <sys/types.h> #include <unistd.h> #include <stdio.h> int main() { pid_t pid; printf("pid=%d\n",getpid()); pid=fork(); if(pid>0){ printf("this is father p
进程控制的一些api
weixin_30460489的博客
08-10 122
转自:http://blog.chinaunix.net/uid-26833883-id-3222794.html 1.fork() ,vfork() 创建进程 2‘ exec()类 在进程中执行其他的程序 3‘wait(),waitpid(),获取子进程结束的状态和处理僵尸进程 僵尸进程:如果子进程先于父进程结束,子进程就变成僵尸进程,(在父进程结束前一直都是),其进程号和栈等资源...
进程编程API
qq_42717239的博客
03-19 222
WinExec、ShellExecute、CreateProcess、EnumProcessess、Process32First、
操作系统导论》实验二:进程API的使用
K_Xin的博客
05-16 1447
(1) 写个程序调用 fork()。调用 fork() 之前,主程序使用并设置变量x的值。子程序中x的值是多少?同时在父程序和子程序中修改x的值会发生什么? // p1.c #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <sys/wait.h> int main() { int x = 0; printf("father x is %d\n", x);
易语言源码指定进程工作.rar
03-30
"易语言源码指定进程工作.rar" 是一个包含易语言源代码的压缩文件,主要用于处理操作系统中的进程工作相关功能。 在计算机系统中,进程是程序的一次执行实例,而工作则是操作系统为每个进程分配的物理内存页...
Linux高级技巧
10-27
Linux高级技巧,Linux 教程 -------------------------------------------------------------------------------- File Name 第一课 什么是Linux 第二课 为什么使用Linux 第三课 Linux纵览 第四课 ...
C#操作CAD图纸
01-22
本话题聚焦于"C#操作CAD图纸",这是一个涉及到C#编程语言与Autodesk AutoCAD成开发的实例。AutoCAD是一款广泛使用的计算机辅助设计(CAD)软件,而C#则是一种强大的.NET框架下的编程语言,它提供了丰富的功能来...
3.2 进程篇-API操作:创建/使用 等待/退出
weixin_43690845的博客
04-22 259
wait
pydbg中关于process_snapshot的质疑
深度技术安全
01-12 2947
保存快照和恢复快照 其实是个比较复杂的事情,因为快照前后,内存可能分配了释放,保护属性可能也改变,或内存释放了被分配, 所以,只是简单的保存commit且是带写属性的内存还是不够的。其二是前后可能涉及句柄的关闭问题,快照前打开的句柄,只是一个数字,恢复了之后,可能在 快照后被关闭过,内核已经清楚这个对象,造成打开句柄失败,影响流程。 所以,要感知内存的变化,屏蔽掉句柄的关闭操作,过滤
linux 进程(二) --- 进程的创建及相关api
weixin_34279246的博客
01-24 229
一、进程的创建fork()函数  由fork创建的新进程被称为子进程(child process)。该函数被调用一次,但返回两次。两次返回的区别是子进程的返回值是0,而父进程的返回值则是 新子进程进程ID。将子进程ID返回给父进程的理由是:因为一个进程的子进程可以多于一个,所有没有一个函数使一个进程可以获得其所有子进程进程ID。fork使子进程得到返回值0的理由是:一个进程只会有一个父进程,...
进程相关API(滴水)
若面朝大海边竹妮春暖花开的博客
03-29 288
每一个进程都有一个句柄表,属于进程自己,里面包含自己打开对象的句柄 操作系统也有一张表,每个操作系统只有一份,称为全局句柄表。里面包含了所有正在运行的进程和线程 CreateProcess函数创建进程时返回的进程句柄hProcess为当前进程私有句柄表中的索引;进程IDdwProcessId为全局句柄表中的索引。索引编号是唯一的 dwCreationFlags参数可以以不同形式创建进程,CREA...
杀死进程API使用
冷风
03-24 3065
杀死进程API使用 TerminateProcess绝对可以。发送消息时,程序可能会拦截消息,不让程序退出。但是TerminateProcess是强制终止,所以绝对可以。Win2000的任务管理器使用的应该就是TerminateProcess。DWORD dwProcID;HANDLE hProcess; HWND h = FindWindow(0, "未定标题 -
API进程和线程函数
benjiamen的专栏
08-30 1048
CancelWaitableTimer 这个函数用于取消一个可以等待下去的计时器操作 CallNamedPipe 这个函数由一个希望通过管道通信的一个客户进程调用 ConnectNamedPipe 指示一台服务器等待下去,直至客户机同一个命名管道连接 CreateEvent 创建一个事件对象 CreateMailslot 创建一个邮路。返回的句柄由邮路服务器使用(收件人) CreateMutex
进程API
error0_dameng的博客
08-12 496
wait():           pid_t waitpid(int * status)           wait函数用于等待子进程结束或中断           表头文件:#include&lt;sys/types.h&gt;   #include&lt;sys/wait.h&gt;           定义函数:pid_t wait(int *status);         ...
通过windows api 操作进程
weixin_30906425的博客
10-07 362
最近玩dota时,对11平台自动加入游戏产生了兴趣,大概知道和外挂、木马等都 是通过底层的win32 api实现,像hook等技术。 windows 的核心机制是消息,进程间可通过消息通信, 将消息发送给窗口进行处理,这个窗口不是我们常说的窗口,例如系统自带记事本, 我们通常认为是一个窗口,而实际是由多个窗口组成,通过spy++查看,这里所看到的就是所有程序中的窗口。 首先写一个简间的...
拥有进程守护的恶意程序查杀
qq_35474564的博客
09-21 322
病毒有进程守护程序时,往往刚把一个程序结束后,被结束的程序立马就会被重启,所以可以先把需要结束的程序先挂起,然后在一起结束。 注意权限问题,权限不够可能无法结束进程。 #include <Windows.h> #include <stdio.h> #include <TlHelp32.h> int main() { HANDLE hProcessSnap; // 进程快照句柄 HANDLE hProcess; /
一个寻找进程函数
sanfenlu的专栏
11-22 462
<br />#include <tlhelp32.h><br /> <br />BOOL CmfcFindProcDlg::FindCurProcess(CString strCurProcess)<br />{<br /> HANDLE hProcessSnap;<br /> HANDLE hProcess;<br /> PROCESSENTRY32 pe32;<br /> DWORD dwPriorityClass;<br /> CString strListProcName;<br /> BOOL r
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值