Win32:进程相关的API

最新推荐文章于 2023-08-15 14:59:58 发布
最新推荐文章于 2023-08-15 14:59:58 发布
阅读量637 收藏 3
点赞数 1
分类专栏: Windows系统编程 加密解密
原文链接:https://blog.csdn.net/forchoosen/article/details/103001920
版权

文章目录

 

获取所有进程的进程ID和EXE文件名

方式1:通过进程快照CreateToolhelp32Snapshot(),获取所有进程的ID和进程EXE名(不是路径)

    #include <tlHelp32.h>
    #include <vector>
    //**
    // Method:     GetPEntryList 
    // Description:获取进程ENTRY32列表(CreateToolhelp32Snapshot进程快照方式),获取进程ID和EXE名
    // Parameter:  OUT std::vector<char  > & list - 
    // Returns:    void - 
    //**
    void MyTools::GetPEntryList(OUT std::vector<PROCESSENTRY32>& list)
    {
        HANDLE handle;
        handle = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); //调用CreatToolhelp32Snapshot来获取快照,用THREADENTRY32来获取线程信息等 就会用到'tlHelp32.h'头文件
        PROCESSENTRY32 info = new PROCESSENTRY32;
        info->dwSize = sizeof(PROCESSENTRY32);
        Process32First(handle, info);
        while (Process32Next(handle, info) != FALSE)
        {
            DWORD PID = info->th32ProcessID;    //获取进程ID  
            wchar_t ExeName = info->szExeFile;    //获取进程的EXE名(注意不是全路径)   
            PROCESSENTRY32 copyInfo = new PROCESSENTRY32;    //将造成内存泄漏
            copyInfo = info;
            list.push_back(copyInfo);    //进程结构体PROCESSENTRY32存入vector
        }
        delete(info);

        CloseHandle(handle);

        return;
    }

方式2:通过枚举进程EnumProcesses(),只能获取所有进程的ID

    //**
    // Method:     GetPIDList 
    // Description:获取进程ID列表(EnumProcesses方式)
    // Parameter:  OUT std::vector<int  > & PIDList - 
    // Returns:    void - 
    //**
    void GetPIDList(OUT std::vector<int>& PIDList)
    {
        //获取PID数组
        DWORD PIDs[500];    //PID数组
        DWORD NeededSize;    //数组有效字节数
        EnumProcesses(OUT PIDs, sizeof(PIDs), OUT & NeededSize);

        //计算PID个数
        int numberOfPID = (NeededSize / sizeof(DWORD));

        //遍历PID数组
        for (int i = 0; i < numberOfPID; i++)
        {
            PIDList.push_back(PIDs[i]);  //写入vector
        }
        return;
    }
  • 注意,不论是CreateToolhelp32Snapshot()还是EnumProcesses(),得到的进程数量都是一样的。盲猜CreateToolhelp32Snapshot的内部是调用了EnumProcesses()。

打开进程句柄(通过进程ID)

  • OpenProcess() 打开某进程,且声明需要的权限,一般可以声明PROCESS_ALL_ACCESS即所有权限。
  • 有的进程无法打开,尝试用管理员身份运行EXE后可以打开一部分进程(如svhost.exe),但仍有一些进程无法打开(如System、smss.exe等)。 
    //**
// Method:     OpenProcessByPID 
// Description:
// Parameter:  int PID - 
// Parameter:  HANDLE & hProcess - 
// Returns:    void - 
//**
void OpenProcessByPID(int PID,OUT HANDLE& hProcess)
{
    hProcess = 0;
    //打开进程
    hProcess = OpenProcess(PROCESS_ALL_ACCESS, 0, PID);
    if (hProcess == 0)
    {
        MessageBox(0, L"打开进程失败:是否开启管理员身份?是否在32位进程中尝试打开64位进程?", 0, 0);
    }
    return;
}
  • 打开当前进程的句柄 
    HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ,FALSE,GetCurrentProcessId());
    •  
  • 32位进程中无法打开64位进程,而64位进程既可以打开32位进程也可以打开64位进程。
  • 可以使用IsWow64Process宏判断目标进程的位数。 
            //判断是32位还是64位进程,isWow64Process用于判断某进程是否运行在WOW64下。
        //对于64位程序,Wow64Process参数会返回FALSE!
        BOOL Wow64Process;
        IsWow64Process(hProcess, &Wow64Process);
        if(Wow64Process==TRUE){printf("目标进程是32位进程");}
  • 提权函数:经测试发现没有任何效果,可能win10不再需要提权令牌了?只需管理员权限就够了? 
    //**
// Method:     UpPrivileges 
// Description:提权函数,但暂时看不到效果,很多进程提权后仍打不开:
// Returns:    bool - 
//**
bool UpPrivileges()
{
    HANDLE hToken;
    TOKEN_PRIVILEGES tp;
    TOKEN_PRIVILEGES oldtp;
    DWORD dwSize = sizeof(TOKEN_PRIVILEGES);
    LUID luid;

    if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))
    {
        MessageBox(0, L"OpenProcessToken is FALSE ", 0, 0);
        if (GetLastError() == ERROR_CALL_NOT_IMPLEMENTED)
        {
            printf("OpenProcessToken GetLastError() == ERROR_CALL_NOT_IMPLEMENTED \n");
            return true;
        }
        else
        {
            printf("OpenProcessToken GetLastError() ==Others \n");
            return false;
        }
    }
    if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &luid))
    {
        CloseHandle(hToken);
        MessageBox(0, L"LookupPrivilegeValue is FALSE ", 0, 0);
        return false;
    }
    ZeroMemory(&tp, sizeof(tp));
    tp.PrivilegeCount = 1;
    tp.Privileges[0].Luid = luid;
    tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    / Adjust Token Privileges /
    if (!AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(TOKEN_PRIVILEGES), &oldtp, &dwSize)) {
        CloseHandle(hToken);
        MessageBox(0, L"AdjustTokenPrivileges == FALSE ", 0, 0);
        return false;
    }
    // close handles
    printf("UpPrivileges Success ! \n");
    CloseHandle(hToken);
    return true;

}

打开模块句柄/基址(根据进程句柄、模块名)

  • 通过GetModuleHandle(NULL)只能获取当前进程的模块基址,参数为NULL表示获取主模块基址
  • 通过EnumProcessModulesEx()可以枚举任意进程的所有模块句柄,其中首个模块句柄就是主模块的基址。 
    //**
// Method:     OpenModuleByName 
// Description:获取模块基址(根据进程句柄、模块名称)
// Parameter:  HANDLE hProcess - 
// Parameter:  wchar_t  destModuleName - 
// Parameter:  OUT HMODULE hModule - 
// Returns:    void - 
//**
void OpenModuleByName(HANDLE hProcess, wchar_t destModuleName, OUT HMODULE& hModule)
{
    if (hProcess == 0) { hModule = 0; return; }

    //枚举进程的所有模块的句柄
    HMODULE moduleArray[500] = { 0 };
    DWORD neededSize = 0;
    EnumProcessModulesEx(hProcess, OUT moduleArray, sizeof(moduleArray), OUT & neededSize, LIST_MODULES_ALL);

    //获取主模块基址:进程第0个模块的句柄就是进程主模块的句柄/基址/载入地址
    if (destModuleName == NULL)
    {
        hModule = moduleArray[0];
    }
    //获取指定模块名称的模块基址
    else
    {
        int NumOfModule = neededSize / sizeof(HMODULE); //计算模块个数
        for (int i = 0; i < NumOfModule; i++)
        {
            WCHAR moduleFileName[50] = { 0 };
            MyTools::GetModuleName(hProcess, moduleArray[i], moduleFileName);
            if (wcscmp(moduleFileName, destModuleName) == 0) { hModule = moduleArray[i]; return; }
        }

    }
}

获取模块的文件全路径(根据进程句柄、模块句柄)

  • 获取目标进程的主模块全路径(根据模块句柄)
  • 参数hModule表示模块的在目标进程的载入地址/基址+
  • 如果传入hModule=NULL,则表示获取主模块全路径,即进程全路径
            WCHAR filePath[200] = { 0 };
        GetModuleFileNameEx(hProcess, hModule,OUT filePath, sizeof(filePath) );
    • 1
    • 2

获取模块的文件名(根据进程句柄、模块句柄)

  • 通过截取模块的文件全路径可以得到模块文件名
  • 传入模块句柄=NULL表示主模块的文件名,即’进程名’。
//**
// Method:     GetModuleName 
// Description:获取模块的文件名(根据进程句柄、模块句柄)
// Parameter:  HANDLE hProcess - 
// Parameter:  HMODULE hModule - 参数为NULL时表示获取主模块的文件名
// Parameter:  OUT WCHAR  ModuleFileName - 是文件名,不是全路径
// Returns:    void - 
//**
void MyTools::GetModuleName(HANDLE hProcess, HMODULE hModule, OUT WCHAR ModuleFileName)
{
    if (hProcess == 0)return;
    //获取进程全路径:进程主模块(第0个模块)的全路径
    WCHAR fullPath[200] = { 0 };
    DWORD bufferSize = GetModuleFileNameEx(hProcess, hModule, OUT fullPath, sizeof(fullPath));
    //从全路径中截取EXE文件名
    int len = wcslen(fullPath);
    for (int i = len - 1; i >= 0; i--)
    {
        if (fullPath[i] == L'\')
        {
            wcscpy(ModuleFileName, &fullPath[i + 1]);
            break;
        }
    }
}

获取模块的镜像大小、入口地址(通过进程句柄、模块起始地址)

  • GetModuleInformation()实际上是通过分析模块的PE头结构,从而返回ImageSize和EntryPoint的,所以参数hModule必须是模块的起始镜像地址,所以传入hModule=NULL并不能得到主模块的信息。 
        MODULEINFO moduleInfo = { 0 };
    GetModuleInformation(hProcess, hModule, OUT & moduleInfo, sizeof(moduleInfo));
    moduleInfo.lpBaseOfDll;//模块基址,实际上就是传入的hModule参数值
    moduleInfo.SizeOfImage;//模块镜像大小
    moduleInfo.EntryPoint; //模块入口地址

读取进程的内存

//打开进程(读取权限)
HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, 0, PID);
//读取内存
LPVOID destAddr=(LPVOID)0x7ff7e1e40000;
BYTE buffer[1024] = { 0 };
unsigned __int64 numberOfReadedByte = 0;    //成功读取的内存字节数
ReadProcessMemory(hProcess, destAddr, OUT buffer, sizeof(buffer), &numberOfReadedByte );

if (numberOfReadedByte == 0) 
{ 
     DWORD code = GetLastError();
    MessageBox(0, L"读取进程内存失败", 0, 0);
    return false; 
}

获取进程的所有模块的句柄

  • 获取其他进程的所有模块
    HMODULE moduleArray[500] = { 0 };
    DWORD neededSize = 0;
    //枚举进程的模块
    EnumProcessModulesEx(hProcess, OUT moduleArray, sizeof(moduleArray), OUT & neededSize, LIST_MODULES_ALL);
  • 获取当前进程的所有模块
    HMODULE moduleArray[500] = { 0 };
    DWORD neededSize = 0;
    //打开当前进程的句柄
    HANDLE hCurrentProcess = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ,FALSE,GetCurrentProcessId());
    //枚举当前进程的模块
    EnumProcessModulesEx(hCurrentProcess , OUT moduleArray, sizeof(moduleArray), OUT & neededSize, LIST_MODULES_ALL);
^卿^
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
新编WIN32API大全(中文)
07-29
《新编WIN32API大全(中文)》是一本深入探讨Windows操作系统编程接口的重要书籍,主要针对C++和VC++开发者。这本书详细介绍了Win32 API的各个方面,为开发高效、稳定的Windows应用程序提供了坚实的基础。 在第一章...
[Win32] ToolHelp API进程API 详解
zuishikonghuan的博客
08-17 4794
本博文由CSDN博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处:
WindowsAPI查看进程信息列表
Rainbow
08-07 414
【代码】WindowsAPI查看进程信息列表。
利用windows API获取当前进程占用内存以及整个系统当前内存使用情况
热门推荐
springontime的专栏
06-08 1万+
//显示当前程序的内存使用情况 void LogCurrentProcessMemoryInfo() { HANDLE handle=GetCurrentProcess(); PROCESS_MEMORY_COUNTERS_EX pmc = {0}; int a = sizeof(pmc); if (!GetProcessMemoryInfo(handle,(PROCESS_MEMORY_...
win32根据进程pid获取进程名称
最新发布
qq_29176323的博客
08-15 514
win32根据进程pid获取进程名称
MFC关闭其他进程
mdcire的专栏
12-19 1903
#include void CloseProgram(CString strProgram) { HANDLE handle; //定义CreateToolhelp32Snapshot系统快照句柄 HANDLE handle1; //定义要结束进程句柄 handle = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);//获得系统快照句柄
win32根据进程获取进程ID或者终止进程
zjx_cfbx的博客
09-04 7351
第一部分: 根据进程获取进程ID。 首先我们需要了解三个windows API函数: HANDLE WINAPI CreateToolhelp32Snapshot( DWORD dwFlags, DWORD th32ProcessID ); CreateToolhelp32Snapshot函数可以得到系统进程快照的句柄,如果函数调用成功返回快照句柄,否则返回INVALID_HA...
Win32 API大全_Win32API_
09-29
Win32 API不仅包括了图形用户界面(GUI)的元素,如窗口、按钮、菜单等,还包括了系统管理、进程与线程控制、内存管理、文件操作、网络通信等多个方面的功能。 1. **系统调用与函数库**:Win32 API是一个庞大的函数...
WindowsAPI:Win32 API抽象层
03-05
5. **进程和线程**:Win32 API提供了创建、管理和同步进程和线程的工具。`CreateProcess`启动新进程,`CreateThread`创建线程,`WaitForSingleObject`则用于等待特定对象的状态改变。 6. **网络编程**:虽然Winsock...
win32APi(中文版).zip
05-18
5. **线程与进程**:Win32 API提供了对多线程和多进程的支持,包括线程的创建、同步、调度,以及进程的创建、通信和资源管理。 6. **内存管理**:讨论动态内存分配、释放、内存保护以及内存映射等技术,这些都是...
win32_API_WIN32_API.CHM_
09-29
5. **进程和线程管理**:开发者可以使用Win32 API创建和控制进程和线程。`CreateProcess`启动新进程,`CreateThread`创建新线程,`ExitProcess`和`ExitThread`结束进程或线程。 6. **内存管理**:`VirtualAlloc`和`...
WIN32常用API进程相关操作API CreateProcess、OpenProcess、ExitProcess、TerminateProcess、CreateToolhelp32Snapshot
m0_62783065的博客
11-11 837
WIN32常用API进程相关操作API CreateProcess、OpenProcess、ExitProcess、TerminateProcess、CreateToolhelp32Snapshot、根据进程ID控制进程结束,遍历本机所有进程
win32 API获取当前进程的基质
易大飞
06-30 2330
我的另一个博客的地址:http://blog.sina.com.cn/s/blog_149e9d2ec0102wzhz.html 加载到进程地址空间的每一个可执行文件或者DLL文件都被赋予了一个独一无二的实例句柄。可执行文件的实例被作为(w)WinMain函数的第一个参数hInstanceExe传入。在需要加载资源的函数调用中,一般都要提供此句柄的值。       (w)WinMain的hIn
Win32 API编程:显示系统进程列表
ako262246的博客
03-02 478
#include <windows.h> #include <tlhelp32.h> // 声明快照函数的头文件 #include "tchar.h" #include "stdio.h" #include <iostream> using namespace std; int main(int argc, char* argv[]...
API获取所有进程的用户名
weixin_34343689的博客
02-01 485
#include <WtsApi32.h> #pragma comment(lib,"WtsApi32.lib") SID_NAME_USE sUse; WTS_PROCESS_INFO *pProInfo,*pTemp; DWORD dwRes; DWORD dwSize = MAX_PATH; WCH...
获取系统中的进程列表(win 32 SDK)
ITer_Luo的专栏
01-22 2088
获取系统中进程列表 在DOS操作系统下,一个程序可以读写系统中的所有内存,所以可以方便地修改任何地方的代码和数据 ,不管这些代码和数据是不是自己所有的,另外,程序可以自由存取所有的寄存器,自由设置所有的中 断,所以程序可以通过设置单步中断或断点中断来跟踪代码的执行。这些功能可以归结为对一个进程进 行调试。 在Windows操作系统中,不同进程之间的地址空间是隔离的,要
CreatProcess - WINDOWS API 第一弹 进程相关
Bobowen的博客
10-18 1015
CreatProcess
Win32学习笔记(7)进程相关API
wzprabbit的博客
12-18 821
1.ID与句柄: 句柄:就是进程里的私有表里的一个索引。 不过除了进程中的句柄表,操作系统也有一个句柄表。称为全局句柄表 全局句柄表并不是一个私有的概念,整个操作系统只有一份。全局句柄表至少包含所有的正在运行中的所有的进程和线程。 在创建进程的学习中我们知道,CreateProcess()函数中的最后一个参数lpProcessInformation指向PROCESS_INFORMATION结构体,结构体成员中有 hProcess;//进程句柄 dwProcessId;//进程id 那么两者.
Win32 API详解:开发者必备参考手册
Win32 API不仅提供了创建和管理窗口、处理用户输入、绘制图形、管理内存和进程等基本功能,还涵盖了高级特性如网络通信、多线程、国际化和本地化支持等。 在"窗口管理函数"章节中,详细阐述了如何通过API来创建、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值