进程遍历-EnumProcesses枚举

于 2024-06-07 12:25:17 发布
阅读量906 收藏 20
点赞数 9
分类专栏: windows 文章标签: windows 进程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hide_in_darkness/article/details/139523724
版权

文章目录

进程遍历-EnumProcesses枚举

1. 相关函数及结构体

1.1 enumProcesses

​ 检索系统中每个进程对象的进程标识符

BOOL EnumProcesses(
  [out] DWORD   *lpidProcess,
  [in]  DWORD   cb,
  [out] LPDWORD lpcbNeeded
);

​ lpidProcess 指向接收进程标识符列表的数组的指针

​ cb 进程标识符列表数组的大小(以字节为单位) 一般使用sizeof(lpidProcess [])作为默认空间值

​ lpcbNeeded 进程标识符列表数组中返回的字节数

1.2 OpenProcess

​ 打开现有的本地进程对象

HANDLE OpenProcess(
  [in] DWORD dwDesiredAccess,
  [in] BOOL  bInheritHandle,
  [in] DWORD dwProcessId
);

​ dwDesiredAccess 对进程对象的访问,针对进程的安全描述符检查此访问权限,在这里我们主要关注以下几个权限:

​ PROCESS_QUERY_INFORMATION (0x0400) 检索有关进程的某些信息(例如其令牌、退出代码和优先级类)

​ PROCESS_VM_READ (0x0010) 使用 ReadProcessMemory 读取进程中的内存

​ bInheritHandle 此进程创建的进程是否继承句柄

​ dwProcessId 打开的本地进程的标识符

1.3 enumProcessModules

​ 检索指定进程中每个模块的句柄

BOOL EnumProcessModules(
  [in]  HANDLE  hProcess,
  [out] HMODULE *lphModule,
  [in]  DWORD   cb,
  [out] LPDWORD lpcbNeeded
);

​ hProcess 进程的句柄

​ lphModule 接收模块句柄列表的数组

​ cb lphModule 数组的大小(以字节为单位)

​ lpcbNeeded 在 lphModule 数组中存储所有模块句柄所需的字节数

1.4 getModuleFileNameExW

​ 检索包含指定模块的文件的完全限定路径

DWORD GetModuleFileNameExW(
  [in]           HANDLE  hProcess,
  [in, optional] HMODULE hModule,
  [out]          LPWSTR  lpFilename,
  [in]           DWORD   nSize
);

​ hProcess 包含模块的进程句柄,句柄必须具有 PROCESS_QUERY_INFORMATION 和 PROCESS_VM_READ 访问权限

​ hModule 模块的句柄, 如果此参数为 NULL, 则 GetModuleFileNameEx 返回 hProcess 中指定的进程的可执行文件的路径。

​ lpFilename 指向接收模块的完全限定路径的缓冲区的指针。 如果文件名的大小大于 nSize 参数的值,则函数会成功,但文件名将被截断并用 null 结尾。

​ nSize lpFilename 缓冲区的大小(以字符为单位)

2. 遍历进程

2.1 遍历进程思路分析

  1. 通过EnumProcesses 遍历进程pid号
  2. 通过OpenProcess 尝试打开对应pid进程内存空间
  3. 通过EnumProcessModules 遍历当前进程调用的所有模块
  4. 通过GetModuleFileNameEx 检索指定模块的路径
  5. 处理进程信息结构体

2.2 遍历进程具体实现

#include <Windows.h>
#include <psapi.h>
#include <stdio.h>
#include <tchar.h>
#include <locale.h>

int main() {
	setlocale(LC_ALL, "zh_CN.UTF-8");

	DWORD pProcess[1024];
	DWORD cbNeeded;
	DWORD cProcesses;

	if (!EnumProcesses(pProcess, sizeof(pProcess), &cbNeeded)) {
		return 0;
	}

	cProcesses = cbNeeded / sizeof(DWORD);

	for (int index = 0; index < cProcesses; index++) {
		HANDLE hProcess = OpenProcess(
			PROCESS_QUERY_INFORMATION | PROCESS_VM_READ,
			FALSE, 
			pProcess[index]
		);
		if (hProcess == NULL) {
			continue;
		}

		HMODULE hHmoudle[1024];
		DWORD cbProcessNeeded;
		if (EnumProcessModules(hProcess, hHmoudle, sizeof(hHmoudle), &cbProcessNeeded)) {
			for (int pIndex = 0; pIndex < cbProcessNeeded / sizeof(DWORD); pIndex++) {
				TCHAR szModName[MAX_PATH];
				if (GetModuleFileNameEx(hProcess, hHmoudle[pIndex], szModName, sizeof(szModName) / sizeof(TCHAR) )) {
					_tprintf(TEXT("\t%ws (0x%08X)\n"), szModName, hHmoudle[pIndex]);
				}
			}
		}

		CloseHandle(hProcess);
	}

	return 1;
}

在这里插入图片描述

参考文献

[1] https://learn.microsoft.com/zh-cn/windows/win32/api/psapi/nf-psapi-enumprocesses?redirectedfrom=MSDN

[2] https://learn.microsoft.com/zh-cn/windows/win32/api/processthreadsapi/nf-processthreadsapi-openprocess

[3] https://learn.microsoft.com/zh-cn/windows/win32/procthread/process-security-and-access-rights

[4] https://learn.microsoft.com/zh-cn/windows/win32/psapi/enumerating-all-modules-for-a-process

[5] https://learn.microsoft.com/zh-cn/windows/win32/api/psapi/nf-psapi-enumprocessmodules

[6] https://learn.microsoft.com/zh-cn/windows/win32/api/psapi/nf-psapi-getmodulefilenameexw

关注我们,咱们在安全的路上,扬帆起航

在这里插入图片描述

hide_in_darkness
关注
  • 9
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
EnumProcesses
linux_wolfelite的专栏
02-20 4522
  EnumProcessesBOOL EnumProcesses( DWORD *lpidProcess, DWORD cb, DWORD *cbNeeded );EnumProcesses()带三个参数,DWORD 类型的数组指针 lpidProcess;该数组的大小尺寸 cb;以及一个指向 DWORD 的指针 cbNeeded,它接收返回数据的长度。DWORD 数组用于保存当前运行的
进程名的几种方法
snjdju的专栏
05-06 962
方法一:使用EnumProcessModule<img id="Code_Closed_Image_110151" style="display: none;" onclick="function onclick(){this.style.display=none; Code_Closed_Text_110151.style.display=none; Code_Open_Im
Windows API一日一练(88)EnumProcesses函数
anjichan4261的博客
12-12 229
当你开发的软件在用户那里运行出错了,想怎么办呢?当然是希望把出错时候的运行环境信息生成报表,然后再Email回来查看了。这里就介绍一个函数可以把当时运行环境的进程全部找到,然后可以输出每个进程的信息。当然,这个函数也可以使用到杀病毒软件里,用来查看可疑的进程信息。 函数EnumProcesses声明如下: BOOL WINAPI EnumProcesses ( ...
EnumProcesses枚系统中所有的进程 使用注意事项
我的地盘你做不了主
11-07 1245
<br />一般在stdafx.h头文件中添加<br />#include"psapi.h"<br />#pragma comment(lib,"psapi.lib")<br /> <br />然后再工程中要添加进psapi.dll    psapi.lib   psapi.h 三个文件<br /> <br />然后在使用EnumProcesses地方就可像MSDN中那样直接使用了
易语言API例程枚进程EnumProcesses
07-20
进程(EnumProcesses)是Windows API中的一个函数,允许程序获取系统中正在运行的所有进程的标识符。在这个“易语言API例程枚进程EnumProcesses”项目中,我们将深入探讨如何在易语言中调用这个API函数,以及...
易语言遍CSRSS进程源码-易语言
06-13
在提供的"压缩包子文件的文件名称列表"中,`Csr枚进程.e`很可能是这段易语言源代码的文件名,里面应该包含了实现上述功能的具体代码。如果你想深入理解或使用这段代码,建议打开这个文件查看源代码,结合以上理论...
另类遍进程代码
09-08
- **系统分析**:对于系统管理员或开发者,另类的进程可以帮助他们获取更全面的信息,尤其是在面对复杂系统问题时。 然而,需要注意的是,不恰当或非法地使用这样的技术可能会违反系统安全规定,甚至触犯法律。...
易语言枚隐藏进程源码-易语言
06-13
是指在程序中遍或列出特定对象的所有实例,比如系统中的所有进程。在易语言中,枚隐藏进程主要涉及以下几个知识点: 1. **进程管理**:在Windows操作系统中,每个运行的应用程序或服务都是一个进程。...
调用dll进程列表-易语言
06-13
在IT领域,尤其是在系统编程和软件开发中,枚(Enumeration)是一种常用的技术,用于遍和处理系统中的特定对象或资源。在这个场景下,“枚调用dll进程列表”指的是通过编程方式获取并列出系统中正在调用动态...
windows编程之进程的三种方式
Timmiy的博客
06-23 1923
在windows中,获取进程有3中方式,首先是进程快照,它涉及到了几个API,来看一下。 第一个是CreateToolhelp32Snapshot,用于获取进程相关信息的快照,声明如下: HANDLE WINAPI CreateToolhelp32Snapshot( DWORD dwFlags, //指定快照中包含的系统内容 DWORD th32ProcessID
获得进程可执行文件的路径: GetModuleFileNameEx, GetProcessImageFileName, QueryFullProcessImageName
热门推荐
David的专栏
11-05 2万+
  想获得进程可执行文件的路径通常有三个方法:一: 调用GetModuleFileNameEx函数获得可执行文件的模块路径这个函数从Windows NT 4.0开始到现在的Vista系统都能使用,向后兼容性比较好。 二:调用GetProcessImageFileName函数,这个函数在Windows XP及其以后的系统中都能使用。 三:调用Windows Vista新增
EnumProcess 实现枚进程
10-08 423
BOOL WINAPI EnumProcesses ( _Out_writes_bytes_(cb) DWORD * lpidProcess, _In_ DWORD cb, _Out_ LPDWORD l...
GetModuleFileNameEx
weixin_33974433的博客
05-06 2154
HANDLE hProcess =::OpenProcess(PROCESS_ALL_ACCESS,false,5196);  char bufFullName[500]={0};  ::GetModuleFileNameEx((HMODULE)hProcess,NULL,bufFullName,sizeof(bufFullName));
EnumProcess
for_casech的博客
03-29 367
BOOL WINAPI EnumProcesses (     DWORD * lpidProcess,     DWORD   cb,     DWORD * cbNeeded     ); lpidProcess是保存进程ID的数组。 cb是进程组数的大小。 cbNeeded是返回进程数组的大小。 void TestEnumP
windows c 枚进程
最新发布
04-16
可以使用Windows API函数EnumProcesses()来获取系统中所有进程的ID,然后可以使用OpenProcess()函数打开进程,使用GetModuleFileNameEx()函数获取进程可执行文件的完整路径等信息。如果需要获取更详细的信息,可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值