进程遍历-EnumProcesses枚举

于 2024-06-07 12:25:17 发布
阅读量900 收藏 20
点赞数 9
分类专栏: windows 文章标签: windows 进程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hide_in_darkness/article/details/139523724
版权

文章目录

进程遍历-EnumProcesses枚举

1. 相关函数及结构体

1.1 enumProcesses

​ 检索系统中每个进程对象的进程标识符

BOOL EnumProcesses(
  [out] DWORD   *lpidProcess,
  [in]  DWORD   cb,
  [out] LPDWORD lpcbNeeded
);

​ lpidProcess 指向接收进程标识符列表的数组的指针

​ cb 进程标识符列表数组的大小(以字节为单位) 一般使用sizeof(lpidProcess [])作为默认空间值

​ lpcbNeeded 进程标识符列表数组中返回的字节数

1.2 OpenProcess

​ 打开现有的本地进程对象

HANDLE OpenProcess(
  [in] DWORD dwDesiredAccess,
  [in] BOOL  bInheritHandle,
  [in] DWORD dwProcessId
);

​ dwDesiredAccess 对进程对象的访问,针对进程的安全描述符检查此访问权限,在这里我们主要关注以下几个权限:

​ PROCESS_QUERY_INFORMATION (0x0400) 检索有关进程的某些信息(例如其令牌、退出代码和优先级类)

​ PROCESS_VM_READ (0x0010) 使用 ReadProcessMemory 读取进程中的内存

​ bInheritHandle 此进程创建的进程是否继承句柄

​ dwProcessId 打开的本地进程的标识符

1.3 enumProcessModules

​ 检索指定进程中每个模块的句柄

BOOL EnumProcessModules(
  [in]  HANDLE  hProcess,
  [out] HMODULE *lphModule,
  [in]  DWORD   cb,
  [out] LPDWORD lpcbNeeded
);

​ hProcess 进程的句柄

​ lphModule 接收模块句柄列表的数组

​ cb lphModule 数组的大小(以字节为单位)

​ lpcbNeeded 在 lphModule 数组中存储所有模块句柄所需的字节数

1.4 getModuleFileNameExW

​ 检索包含指定模块的文件的完全限定路径

DWORD GetModuleFileNameExW(
  [in]           HANDLE  hProcess,
  [in, optional] HMODULE hModule,
  [out]          LPWSTR  lpFilename,
  [in]           DWORD   nSize
);

​ hProcess 包含模块的进程句柄,句柄必须具有 PROCESS_QUERY_INFORMATION 和 PROCESS_VM_READ 访问权限

​ hModule 模块的句柄, 如果此参数为 NULL, 则 GetModuleFileNameEx 返回 hProcess 中指定的进程的可执行文件的路径。

​ lpFilename 指向接收模块的完全限定路径的缓冲区的指针。 如果文件名的大小大于 nSize 参数的值,则函数会成功,但文件名将被截断并用 null 结尾。

​ nSize lpFilename 缓冲区的大小(以字符为单位)

2. 遍历进程

2.1 遍历进程思路分析

  1. 通过EnumProcesses 遍历进程pid号
  2. 通过OpenProcess 尝试打开对应pid进程内存空间
  3. 通过EnumProcessModules 遍历当前进程调用的所有模块
  4. 通过GetModuleFileNameEx 检索指定模块的路径
  5. 处理进程信息结构体

2.2 遍历进程具体实现

#include <Windows.h>
#include <psapi.h>
#include <stdio.h>
#include <tchar.h>
#include <locale.h>

int main() {
	setlocale(LC_ALL, "zh_CN.UTF-8");

	DWORD pProcess[1024];
	DWORD cbNeeded;
	DWORD cProcesses;

	if (!EnumProcesses(pProcess, sizeof(pProcess), &cbNeeded)) {
		return 0;
	}

	cProcesses = cbNeeded / sizeof(DWORD);

	for (int index = 0; index < cProcesses; index++) {
		HANDLE hProcess = OpenProcess(
			PROCESS_QUERY_INFORMATION | PROCESS_VM_READ,
			FALSE, 
			pProcess[index]
		);
		if (hProcess == NULL) {
			continue;
		}

		HMODULE hHmoudle[1024];
		DWORD cbProcessNeeded;
		if (EnumProcessModules(hProcess, hHmoudle, sizeof(hHmoudle), &cbProcessNeeded)) {
			for (int pIndex = 0; pIndex < cbProcessNeeded / sizeof(DWORD); pIndex++) {
				TCHAR szModName[MAX_PATH];
				if (GetModuleFileNameEx(hProcess, hHmoudle[pIndex], szModName, sizeof(szModName) / sizeof(TCHAR) )) {
					_tprintf(TEXT("\t%ws (0x%08X)\n"), szModName, hHmoudle[pIndex]);
				}
			}
		}

		CloseHandle(hProcess);
	}

	return 1;
}

在这里插入图片描述

参考文献

[1] https://learn.microsoft.com/zh-cn/windows/win32/api/psapi/nf-psapi-enumprocesses?redirectedfrom=MSDN

[2] https://learn.microsoft.com/zh-cn/windows/win32/api/processthreadsapi/nf-processthreadsapi-openprocess

[3] https://learn.microsoft.com/zh-cn/windows/win32/procthread/process-security-and-access-rights

[4] https://learn.microsoft.com/zh-cn/windows/win32/psapi/enumerating-all-modules-for-a-process

[5] https://learn.microsoft.com/zh-cn/windows/win32/api/psapi/nf-psapi-enumprocessmodules

[6] https://learn.microsoft.com/zh-cn/windows/win32/api/psapi/nf-psapi-getmodulefilenameexw

关注我们,咱们在安全的路上,扬帆起航

在这里插入图片描述

hide_in_darkness
关注
  • 9
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
EnumProcesses
linux_wolfelite的专栏
02-20 4521
  EnumProcessesBOOL EnumProcesses( DWORD *lpidProcess, DWORD cb, DWORD *cbNeeded );EnumProcesses()带三个参数,DWORD 类型的数组指针 lpidProcess;该数组的大小尺寸 cb;以及一个指向 DWORD 的指针 cbNeeded,它接收返回数据的长度。DWORD 数组用于保存当前运行的
遍历进程名的几种方法
snjdju的专栏
05-06 961
方法一:使用EnumProcessModule<img id="Code_Closed_Image_110151" style="display: none;" onclick="function onclick(){this.style.display=none; Code_Closed_Text_110151.style.display=none; Code_Open_Im
Windows API一日一练(88)EnumProcesses函数
anjichan4261的博客
12-12 229
当你开发的软件在用户那里运行出错了,想怎么办呢?当然是希望把出错时候的运行环境信息生成报表,然后再Email回来查看了。这里就介绍一个函数可以把当时运行环境的进程全部找到,然后可以输出每个进程的信息。当然,这个函数也可以使用到杀病毒软件里,用来查看可疑的进程信息。 函数EnumProcesses声明如下: BOOL WINAPI EnumProcesses ( ...
EnumProcesses枚举系统中所有的进程 使用注意事项
我的地盘你做不了主
11-07 1244
<br />一般在stdafx.h头文件中添加<br />#include"psapi.h"<br />#pragma comment(lib,"psapi.lib")<br /> <br />然后再工程中要添加进psapi.dll    psapi.lib   psapi.h 三个文件<br /> <br />然后在使用EnumProcesses地方就可像MSDN中那样直接使用了
易语言API例程枚举进程EnumProcesses
07-20
枚举进程(EnumProcesses)是Windows API中的一个函数,允许程序获取系统中正在运行的所有进程的标识符。在这个“易语言API例程枚举进程EnumProcesses”项目中,我们将深入探讨如何在易语言中调用这个API函数,以及...
易语言遍历CSRSS进程源码-易语言
06-13
在提供的"压缩包子文件的文件名称列表"中,`Csr枚举进程.e`很可能是这段易语言源代码的文件名,里面应该包含了实现上述功能的具体代码。如果你想深入理解或使用这段代码,建议打开这个文件查看源代码,结合以上理论...
另类遍历进程代码
09-08
- **系统分析**:对于系统管理员或开发者,另类的进程遍历可以帮助他们获取更全面的信息,尤其是在面对复杂系统问题时。 然而,需要注意的是,不恰当或非法地使用这样的技术可能会违反系统安全规定,甚至触犯法律。...
易语言枚举隐藏进程源码-易语言
06-13
枚举是指在程序中遍历或列举出特定对象的所有实例,比如系统中的所有进程。在易语言中,枚举隐藏进程主要涉及以下几个知识点: 1. **进程管理**:在Windows操作系统中,每个运行的应用程序或服务都是一个进程。...
枚举调用dll进程列表-易语言
06-13
在IT领域,尤其是在系统编程和软件开发中,枚举(Enumeration)是一种常用的技术,用于遍历和处理系统中的特定对象或资源。在这个场景下,“枚举调用dll进程列表”指的是通过编程方式获取并列出系统中正在调用动态...
windows编程之进程枚举的三种方式
Timmiy的博客
06-23 1921
windows中,获取进程枚举有3中方式,首先是进程快照,它涉及到了几个API,来看一下。 第一个是CreateToolhelp32Snapshot,用于获取进程相关信息的快照,声明如下: HANDLE WINAPI CreateToolhelp32Snapshot( DWORD dwFlags, //指定快照中包含的系统内容 DWORD th32ProcessID
获得进程可执行文件的路径: GetModuleFileNameEx, GetProcessImageFileName, QueryFullProcessImageName
热门推荐
David的专栏
11-05 1万+
  想获得进程可执行文件的路径通常有三个方法:一: 调用GetModuleFileNameEx函数获得可执行文件的模块路径这个函数从Windows NT 4.0开始到现在的Vista系统都能使用,向后兼容性比较好。 二:调用GetProcessImageFileName函数,这个函数在Windows XP及其以后的系统中都能使用。 三:调用Windows Vista新增
GetModuleFileNameEx
weixin_33974433的博客
05-06 2154
HANDLE hProcess =::OpenProcess(PROCESS_ALL_ACCESS,false,5196);  char bufFullName[500]={0};  ::GetModuleFileNameEx((HMODULE)hProcess,NULL,bufFullName,sizeof(bufFullName));
GetModuleFileNameEx遍历获取64bit程序路径失败的一种解决方法(Win7-64-bit)
weixin_30500473的博客
04-26 321
根据官方的说法: For the best results use the following table to convert paths. Windows 2000 = GetModuleFileNameEx()Windows XP x32 = GetProcessImageFileName()Windows XP x64 = GetProcessImageFileName()Window...
枚举系统进程的学习
走出憧憬的专栏
01-31 2760
    昨天在对Windows服务学习的时候突然想到编写一个在一段时间间隔后对系统进程进行列举,从而可以根据查看输出内容判断系统是否出现了异常,但以回忆自己以前对进程的学习都忘完了,只好又从新在网上搜查一番,看看各位的高招。然后为了不在犯同样的错误,把它记录下来吧。恩,只要CSDN一天还在,这些东西应该是会在的吧。 还真别说,在网上一搜的话,各位大侠的文章确实写得很好,本来我觉得他们的水平
windows c 枚举进程
最新发布
04-16
可以使用Windows API函数EnumProcesses()来获取系统中所有进程的ID,然后可以使用OpenProcess()函数打开进程,使用GetModuleFileNameEx()函数获取进程可执行文件的完整路径等信息。如果需要获取更详细的信息,可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值