枚举进程信息

最新推荐文章于 2023-04-09 08:18:09 发布
最新推荐文章于 2023-04-09 08:18:09 发布
阅读量3k 收藏 5
点赞数 3
分类专栏: VC/C/C++ 文章标签: null delete 存储 module hex system
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/evi10r/article/details/6741805
版权

1.PSAPI法

#include <Windows.h>
#include <iostream>
#include <tchar.h>
#include "psapi.h"
#pragma comment ( lib, "psapi.lib" )

int main()
{
	setlocale(LC_ALL,"CHS"); //要设置控制台的Unicode属性
	DWORD Pid[1024],cbNeededProcess,NumofProcess;
	if (!EnumProcesses(Pid,sizeof(Pid),&cbNeededProcess))
	{
		printf("failed.\n");
	}
	NumofProcess=cbNeededProcess/sizeof(DWORD);
	for (UINT i=0;i<NumofProcess;i++)
	{
		TCHAR szFilePath[MAX_PATH]=_T("unknow");
		HANDLE hProcess=OpenProcess( PROCESS_QUERY_INFORMATION|PROCESS_VM_READ,FALSE, Pid[i]);
		if (hProcess != NULL)
		{	
			GetModuleFileNameEx(hProcess,NULL,szFilePath,sizeof(szFilePath));
			_tprintf(_T("%04d  %s\n"),Pid[i],szFilePath);			
			CloseHandle(hProcess);
		}
	}
	_tprintf(_T("共有%d个进程\n"),NumofProcess);
	return 0;	
}

2.ToolHelpApi

#include <Windows.h>
#include <tchar.h>
#include <tlhelp32.h>
#include <iostream>

int main()
{
	setlocale(LC_ALL,"CHS");
	PROCESSENTRY32 pe32;
	pe32.dwSize=sizeof(pe32);
	BOOL bRet;
	UINT uNum=0;
	HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,NULL);
	bRet = Process32First(hProcessSnap,&pe32);
	while (bRet)
	{        
		HANDLE hModuleSnap=CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,pe32.th32ProcessID);
		MODULEENTRY32 me32={0};
		me32.dwSize=sizeof(MODULEENTRY32);
		Module32First(hModuleSnap,&me32);
		_tprintf(_T("%04d %s\n"),pe32.th32ProcessID,me32.szExePath);
		CloseHandle(hModuleSnap);
		uNum++;
		bRet=Process32Next(hProcessSnap,&pe32);
	}
	_tprintf(_T("共有%d个进程\n"),uNum);
	CloseHandle(hProcessSnap);
	return 0;
}

3.WTSOpenServer法

//
// WTSOpenServer 法   #include <Wtsapi32.h> #pragma comment(lib,"Wtsapi32.lib")   用nbtstat -an获取本机NetBios名称,并在命令行下输入即可
//
char *szServerName = argv[1];
PWTS_PROCESS_INFO wts;
DWORD dwCount;
HANDLE hWtsServer = WTSOpenServer(szServerName);
if(!WTSEnumerateProcesses(hWtsServer,0,1,&wts,&dwCount))
   return 0;
for (DWORD i=0;i<dwCount;i++)
{
   printf("%s\n",wts[i].pProcessName); 
}
return 0;

4.使用Native API我们使用NtQuerySystemInformation

#include <windows.h>
#include <iostream>
#include <tchar.h>
using namespace std;
#include "MyNtdll.h"//定义了函数指针和各种结构体

#define DEF_BUF_SIZE	0x1000
PFNNtQuerySystemInformation NtQuerySystemInformation ;

BOOL Initial ()
{
	// 检测当前进程中是否存在ntdll.dll
	HMODULE	hMod = GetModuleHandle(_T("ntdll.dll"));
	if ( hMod == NULL )
	{
		// 如果不存在,就使用LoadLibrary来加载
		hMod = LoadLibrary (_T("ntdll.dll")) ;
		if ( hMod == NULL )
			return FALSE ;
	}
	// 取得函数地址
	NtQuerySystemInformation =(PFNNtQuerySystemInformation)GetProcAddress(hMod,"NtQuerySystemInformation") ;
	return TRUE ;
}
VOID DisplayProcessInformation ( LPBYTE lpBuf )
{	
	cout << "///" << endl ;
	cout << "//                       Process Information                         //" << endl ;
	cout << "///" << endl ;
	PSYSTEM_PROCESSES pSysProcess = (PSYSTEM_PROCESSES)lpBuf ;
	while ( TRUE )
	{
		cout << "ProcessName:" << '\t' ; 
		if ( pSysProcess->ProcessName.Buffer != NULL )
			printf ("%30S", pSysProcess->ProcessName.Buffer ) ;
		cout << endl ;

		cout << "InheritedFromProcessId:\t\t" << pSysProcess->InheritedFromProcessId << endl ;
		cout << "ProcessId:\t\t\t" << pSysProcess->ProcessId << endl ;
		cout << "HandleCount:\t\t\t" << pSysProcess->HandleCount << endl ;
		cout << "ThreadCount:\t\t\t" << pSysProcess->ThreadCount << endl ;

		cout << "-------------------------------------------------------------------------" << endl ;
		if ( pSysProcess->NextEntryDelta == 0 )
			break ;
		pSysProcess = (PSYSTEM_PROCESSES)( (DWORD)pSysProcess + pSysProcess->NextEntryDelta ) ;
	}
}
VOID QuerySystemInformation (SYSTEM_INFORMATION_CLASS SystemInformationClass)
{
	NTSTATUS	status ;
	UINT		nSize = DEF_BUF_SIZE ;
	LPBYTE		lpBuf = NULL ;

	// 由于事先并不知道需要多少空间来存储进程信息
	// 因而采用循环测试法,
	while ( TRUE )
	{
		// 动态分配空间,用来存储进程信息
		if ( ( lpBuf = new BYTE [ nSize ] ) == NULL )
		{
			cout << "Allocate memory failed!" << endl ;
			return ;
		}

		// 枚举进程信息
		status = NtQuerySystemInformation(SystemInformationClass,lpBuf,nSize,0) ;
		if ( !NT_SUCCESS(status))
		{
			// 检测是否返回缓冲区不够大
			if ( status == STATUS_INFO_LENGTH_MISMATCH )
			{
				nSize += DEF_BUF_SIZE ;
				delete lpBuf ;
				continue ;
			}
			else
			{
				cout << "NtQuerySystemInformation ErrorCode=0x" << hex << status << endl ;
				return ;
			}
		}
		else
			break ;
	}

	// 输出进程信息
	DisplayProcessInformation (lpBuf) ;
	delete lpBuf ;
}
int main()
{
	if (Initial() == FALSE)
	{
		_tprintf(_T("Initial failed!"));
		return 0;
	}
	QuerySystemInformation(SystemProcessesAndThreadsInformation );
	return 0;
}


























                

        

        

    




    

      

        

            

              
                
                  W1nds
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    3
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    5
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                  1
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
获取进程信息

				
			

			

				

					甜筒八部 的专栏
				

				

					08-08
					
					2684
					
				

			

		

		

			
				
使用 NtQueryInformationProcess 函数Retrieves information about the specified process.

Windows NT/2000系统的NTDLL.DLL包含了许多未公开的API函数。

NtQueryInformationProcess就是微软 NTDLL.DLL包含的未公开 的一个 API。


NTDLL.DLL中有一个函数叫NtQueryInformationProcess,用它可以指定参数,获得指定结构体类型的进程信息,拷贝到...

			
		

	



                

              
                



	

		

			

				
					
易语言枚举进程PID

				
			

			

				

					08-21
				

			

		

		

			
				
易语言枚举进程PID源码系统结构:子程序_枚举进程,子程序_取窗口句柄,EnumWindowsProc,FindWindowEx,GetWindowText,GetClassName,CreateToolhelp32Snapshot,Process32First,Process32Next,CloseHandle,...

			
		

	



                


  
              

                


	

		

			

				
					
VC++ 枚举进程模块信息

				
			

			

				

					09-14
				

			

		

		

			
				
Vc++ 枚举进程模块信息, 调试可用, 酷似 冰刃,当然功能不如冰刃。

			
		

	





	

		

			

				
					
进程枚举的四种方式

				
			

			

				

					qq_43812868的博客
				

				

					09-14
					
					1985
					
				

			

		

		

			
				
进程枚举是将系统中的所有进程显示出来,就像Windows中的任务管理器一样,可以看到系统中运行的所有进程进程枚举的四种方法:


	通过系统快照进行枚举
	
	
	通过psapi.dll中的函数进行枚举
	
	
	通过ntdll.dll中的函数进行枚举
	
	
	通过ntdll.dll中的函数进行枚举
	
第一种、通过系统快照进行枚举

1、CreateToolhelp32Snapshot()

CreateToolhelp32Snapshot可以通过获取进程信息为指定的进程进程使用的堆[HE.

			
		

	



		

			
		



	

		

			

				
					
【游戏逆向】常见锁定目标进程的方法分享

				
			

			

				

					douluo998的博客
				

				

					04-09
					
					1265
					
				

			

		

		

			
				
当我们分析完游戏逻辑,收集了足够的游戏数据之后就可以动手开发一款专属于自己的辅助工具。而开发辅助的第一步就是先找到游戏进程,锁定游戏进程之后接下来才能在考虑辅助功能的实现是选择改数据、改代码还是CALL函数。锁定目标进程从实现上来讲可以分为三类:1、根据进程名或进程路径锁定目标进程;2、根据窗口名锁定目标进程;3、无脑全系统注入所有进程,在进程内在判断是否为目标进程。所谓根据进程名锁定目标进程说的直白一些就是先枚举系统进程得到当前系统中运行的所有进程信息,然后对比进程名称或者进程路径来判断是不是目标进程

			
		

	





	

		

			

				
					
进程枚举

				
			

			

				

					CButtonST的专栏
				

				

					08-16
					
					752
					
				

			

		

		

			
				
各种进程枚举方法

方法一:使用工具库(Tool Help Library)函数
这是一种历史最悠久、也是最基本的方法(从Windows 95开始就支持这种方法)。这些API函数中,最重要的当属CreateToolhelp32Snapshot,它的函数原型如下:
HANDLE WINAPI CreateToolhelp32Snapshot(
DWORD dwFlags, 
DWORD

			
		

	





	

		

			

				
					
C/C++:Windows编程—创建进程、终止进程枚举进程枚举线程、枚举DLL

				
			

			

				

					重庆李四
				

				

					01-20
					
					6033
					
				

			

		

		

			
				
进程、线程及DLL枚举API介绍
无论是枚举进程还是枚举进程中的DLL文件,方法都是相同的,都是通过创建指定的相关快照,再通过循环逐条获取快照的内容。类似的枚举线程、枚举堆都是相同的方法,差别只是在创建快照时的参数不同,逐条获取快照的内容时的API函数不同而已。
枚举进程的API函数:CreateToolhelp32Snapshot()、Process32First()、Process32Next...

			
		

	





	

		

			

				
					
枚举进程和PID_枚举进程和PID_

				
			

			

				

					09-30
				

			

		

		

			
				
本项目"枚举进程和PID"显然是一个使用 Delphi 10.4.1 开发的应用程序,它旨在帮助开发者查看和获取Windows 10系统中的进程信息。  在Delphi中,我们可以利用几个关键的API函数来枚举进程和获取PID:  1. **...

			
		

	





	

		

			

				
					
VC++ 枚举所有进程信息

				
			

			

				

					03-15
				

			

		

		

			
				
在实际开发中,枚举进程信息可能用于监控系统性能、诊断问题或创建系统管理工具。正确理解和使用这些API对于任何Windows平台上的系统级开发者都是必不可少的技能。通过不断的实践和学习,你可以更熟练地掌握VC++在...

			
		

	





	

		

			

				
					
枚举进程.列出所有进程来 得到进程列表

				
			

			

				

					03-21
				

			

		

		

			
				
在Windows操作系统中,枚举进程是一项重要的系统管理任务,它涉及到获取系统中当前正在运行的所有进程信息。这个过程通常由开发者使用,以便监控系统状态、分析性能或进行调试。"枚举进程.列出所有进程来 得到进程...

			
		

	





	

		

			

				
					
枚举系统中正在运行的进程

				
			

			

				

					02-06
				

			

		

		

			
				
枚举系统中正在运行的进程,包括了几种方法:快照、psapi.dll提供的API、wtsapi32.dll提供的API、ntdll.dll提供的API.

			
		

	





	

		

			

				
					
VC++枚举系统当前进程例子

				
			

			

				

					05-06
				

			

		

		

			
				
VC++枚举系统当前进程例子

			
		

	





	

		

			

				
					
准确在64位系统下枚举进程模块

				
			

			

				

					04-08
				

			

		

		

			
				
在32位进程中使用WMI枚举其他进程的模块,支持32位系统和64位系统。

			
		

	





	

		

			

				
					
易语言枚举窗口进程

				
			

			

				

					08-21
				

			

		

		

			
				
易语言枚举窗口进程系统结构:取模块路径,取特征码,读内存十六进制文本,取得窗口_,取前台窗口_,取进程线程标识符_,Module32First,CreateToolhelp32Snapshot,打开进程_,ReadProcessMemory,CloseHandle, ==

			
		

	





	

		

			

				
					
C++枚举进程的方法

				
			

			

				

					钟斌的博客
				

				

					08-15
					
					6396
					
				

			

		

		

			
				
主要使用的下面几个函数:
1、CreateToolhelp32Snapshot
2、Process32First
3、Process32Next
所以要引用下面的头文件:
#include 

枚举进程的代码如下:
// 枚举系统当前所有进程信息
// 并把信息输出到工程目录下EnumInfo_ToolHelp_process.txt
BOOL EnumProcessInfo()

			
		

	





	

		

			

				
					
9种枚举枚举进程的方法及实现

				
			

			

				

					爱杀之爪的矩阵
				

				

					07-02
					
					1588
					
				

			

		

		

			
				
<br />//<br />//native api获得进程表<br />NTSTATUS NativeApiEnumProcess()<br />{<br /> ULONG pNeededSize=0;<br /> int iCount = 1;<br /> int bOver=0;<br /> NTSTATUS status;<br /> ULONG uSize;<br /> PVOID pSi=NULL; <br /> PSYSTEM_PROCESS_INFORMATION pSpiNext = NU

			
		

	





	

		

			

				
					
NtQuerySystemInformation 枚举进程

				
			

			

				

					
				

				

					10-08
					
					716
					
				

			

		

		

			
				
函数原型:NTSTATUS WINAPI NtQuerySystemInformation( _In_ SYSTEM_INFORMATION_CLASS SystemInformationClass, _Inout_ PVOID SystemInformation, _In_ ULONG...

			
		

	





	

		

			

				
					
C/C++ Windows API——枚举进程、结束进程及提升权限

					
热门推荐

				
			

			

				

					司马懿的西山居
				

				

					10-21
					
					1万+
					
				

			

		

		

			
				
// EnumProcessDemo.cpp : 定义控制台应用程序的入口点。
//#include "stdafx.h"
#include <Windows.h>
#include <TlHelp32.h>//CreateToolhelp32Snapshot
#include <Psapi.h>//EnumProcessesbool GetPrivileges()
{
    // 取得当前进程

			
		

	





	

		

			

				
					
c语言枚举当前所有进程,c语言之进程枚举代码

				
			

			

				

					weixin_34653945的博客
				

				

					05-21
					
					199
					
				

			

		

		

			
				
#include #include void usage( int );void PrintModules( DWORD );//Define Command parametersbool a=FALSE;bool m=FALSE;bool s=FALSE;bool f=FALSE;char * FindString;void main(int argc, char **argv){DWORD a...

			
		

	





	

		

			

				
					
linux 枚举进程

					
最新发布

				
			

			

				

					09-13
				

			

		

		

			
				
Linux中,有几种方法可以枚举进程。  1. 使用`ps`命令:ps命令是一个常用的工具,用于列出当前正在运行的进程。通过`ps -ef`命令可以列出所有进程的详细信息。你还可以使用管道和`grep`命令来过滤出特定进程信息...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值