进程的控制

获取系统进程

有些程序需要列出当前正在运行的一系列进程，使用 ToolHelp 函数就可以完成这一任务。

下面的例子（02ProcessList 工 程 ）取得了一个正在运行的进程列表 。 首先使用CreateToolhelp32Snapshot 函数给当前系统内执行的进程拍快照（Snapshot），也就是获得一个进程列表，这个列表中记录着进程的 ID、进程对应的可执行文件的名称和创建该进程的进程ID等数据。然后使用 Process32First 函数和 Process32Next 函数遍历快照中记录的列表。对于每个进程，我们都将打印出其可执行文件的名称和进程 ID 号。具体代码如下。
StdAfx.h

// stdafx.h : include file for standard system include files,
//  or project specific include files that are used frequently, but
//      are changed infrequently
//

#if !defined(AFX_STDAFX_H__9C88BEEE_5C7F_4140_B411_3B326A3986F1__INCLUDED_)
#define AFX_STDAFX_H__9C88BEEE_5C7F_4140_B411_3B326A3986F1__INCLUDED_

#if _MSC_VER > 1000
#pragma once
#endif // _MSC_VER > 1000

#define WIN32_LEAN_AND_MEAN		// Exclude rarely-used stuff from Windows headers

#include <stdio.h>

// TODO: reference additional headers your program requires here

//{{AFX_INSERT_LOCATION}}
// Microsoft Visual C++ will insert additional declarations immediately before the previous line.

#endif // !defined(AFX_STDAFX_H__9C88BEEE_5C7F_4140_B411_3B326A3986F1__INCLUDED_)

StdAfx.cpp

// stdafx.cpp : source file that includes just the standard includes
//	02ProcessList.pch will be the pre-compiled header
//	stdafx.obj will contain the pre-compiled type information

#include "stdafx.h"

// TODO: reference any additional headers you need in STDAFX.H
// and not in this file

02ProcessList.cpp

#include "stdafx.h"
#include <windows.h>
#include <tlhelp32.h> // 声明快照函数的头文件

int main(int argc, char* argv[])
{
	PROCESSENTRY32 pe32;
	// 在使用这个结构之前，先设置它的大小
	pe32.dwSize = sizeof(pe32); 
	
	// 给系统内的所有进程拍一个快照
	HANDLE hProcessSnap = ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	if(hProcessSnap == INVALID_HANDLE_VALUE)
	{
		printf(" CreateToolhelp32Snapshot调用失败！ \n");
		return -1;
	}
	
	// 遍历进程快照，轮流显示每个进程的信息
	BOOL bMore = ::Process32First(hProcessSnap, &pe32);
	while(bMore)
	{
		printf(" 进程名称：%s \n", pe32.szExeFile);
		printf(" 进程ID号：%u \n\n", pe32.th32ProcessID);

		bMore = ::Process32Next(hProcessSnap, &pe32);
	}

	// 不要忘记清除掉snapshot对象
	::CloseHandle(hProcessSnap);
	return 0;
}

CreateToolhelp32Snapshot 用于获取系统内指定进程的快照，也可以获取被这些进程使用的堆、模块和线程的快照。函数的具体用法是。

HANDLE WINAPI CreateToolhelp32Snapshot( 
  DWORD dwFlags, //用来指定“快照”中需要返回的对象，可以是TH32CS_SNAPPROCESS 等
  DWORD th32ProcessID //一个进程ID 号，用来指定要获取哪一个进程的快照，
                      //当获取系统进程列表或获取当前进程快照时可以设为0 
);

本函数不仅可以获取进程列表，也可以用来获取线程和模块等对象的列表。dwFlags 参数指定了获取的列表的类型，其值可以是：
● TH32CS_SNAPHEAPLIST 枚举 th32ProcessID 参数指定的进程中的堆。
● TH32CS_SNAPMODULE 枚举 th32ProcessID 参数指定的进程中的模块。
● TH32CS_SNAPPROCESS 枚举系统范围内的进程，此时 th32ProcessID 参数被忽略。
● TH32CS_SNAPTHREAD 枚举系统范围内的线程，此时 th32ProcessID 参数被忽略。

函数执行成功将返回一个快照句柄，否则返回 INVALID_HANDLE_VALUE（即-1）。

从快照列表中获取进程信息需要使用 Process32First 和 Process32Next 函数，函数的每次调用仅返回一个进程的信息 。 Process32First函数用来进行首次调用 ， 以后的调用由Process32Next 函数循环完成，直到所有的信息都被获取为止。当不再有剩余信息的时候，函数返回 FALSE，所以程序中使用下面的循环结构来获取进程列表。

BOOL bMore = ::Process32First(hProcessSnap, &pe32);
while(bMore)
{
	 // 在这里处理返回到 PROCESSENTRY32 中的进程信息
	printf(" 进程名称：%s \n", pe32.szExeFile);
	printf(" 进程ID号：%u \n\n", pe32.th32ProcessID);

	bMore = ::Process32Next(hProcessSnap, &pe32);
}

Process32First 和 Process32Next 函数的第一个参数是快照句柄，第二个参数是一个指向PROCESSENTRY32 结构的指针，进程信息将会被返回到这个结构中。结构的定义如下。

typedef struct 
{ 
    DWORD dwSize; //结构的长度，必须预先设置
    DWORD cntUsage; //进程的引用记数
    DWORD th32ProcessID; //进程ID 
    DWORD th32DefaultHeapID; //进程默认堆的 ID 
    DWORD th32ModuleID; //进程模块的 ID 
    DWORD cntThreads; //进程创建的线程数
    DWORD th32ParentProcessID; //进程的父线程 ID 
    LONG pcPriClassBase; //进程创建的线程的基本优先级
    DWORD dwFlags; //内部使用
    CHAR szExeFile[MAX_PATH]; //进程对应的可执行文件名
} PROCESSENTRY32;

使用 ToolHelp 函数并不是获取系统内的进程信息的惟一方法，函数 EnumProcesses 也可以完成这项任务，但是 Windows 98 系列的操作系统不支持它。

终止当前进程

终止进程也就是结束程序的执行，让它从内存中卸载。进程终止的原因可能有 4 种：
（1）主线程的入口函数返回。
（2）进程中一个线程调用了 ExitProcess 函数。
（3）此进程中的所有线程都结束了。
（4）其他进程中的一个线程调用了 TerminateProcess 函数。

要结束当前进程一般让主线程的入口函数（例如，main 函数）返回。当用户的程序入口函数返回的时候，启动函数会调用 C/C++运行期退出函数 exit，并将用户的返回值传递给它。exit 函数会销毁所有全局的或静态的 C++对象，然后调用系统函数 ExitProcess 促使操作系统终止应用程序。ExitProcess 是一个 API 函数，它会结束当前应用程序的执行，并设置它的退出代码，其用法如下。

void ExitProcess(UINT uExitCode); //参数uExitCode 为此程序的退出代码。

当然也可以在程序的任何地方去调用 ExitProcess，强制当前程序的执行立即结束。对于操作系统来说，这样做是很正常的，但是 C/C++应用程序应该避免直接调用这个函数，因为这会使 C/C++运行期库得不到通知，而没有机会去调用全局的或静态的 C++对象的析构函数。

终止其他进程

ExitProcess 函数只能用来结束当前进程，不能用于结束其他进程。如果需要结束其他进程的执行，可以使用 TerminateProcess 函数。

BOOL TerminateProcess( 
  HANDLE hProcess, //要结束的进程（目标进程）的句柄
  UINT uExitCode //指定目标进程的退出代码，你可以使用GetExitCodeProcess 取得一个进程的退出代码
);

在对一个进程操作前，必须首先取得该进程的进程句柄。CreateProcess 函数创建进程后会返回一个进程句柄，而对于一个已经存在的进程，只能使用 OpenProcess 函数来取得这个进程的访问权限，函数用法如下。

HANDLE OpenProcess( 
  DWORD dwDesiredAccess, //想得到的访问权限，可以是PROCESS_ALL_ACCESS 等
  BOOL bInheritHandle, //指定返回的句柄是否可以被继承
  DWORD dwProcessId //指定要打开的进程的ID 号
);

这个函数打开一个存在的进程并返回其句柄。dwDesiredAccess 参数指定了对该进程的访问权限，这些权限可以是：
● PROCESS_ALL_ACCESS 所有可进行的权限
● PROCESS_QUERY_INFORMATION 查看该进程信息的权限（还有许多没有列出）

bInheritHandle 参数指定此函数返回的句柄是否可以被继承。dwProcessId 参数指定了要打开进程的 ID 号，可以从任务管理器中找到它们，也可以用 ToolHelp 函数获取。

一般使用下面的代码来终止一个进程，其范例源代码在配套光盘的02TerminateProcess 工程下。
StdAfx.h

// stdafx.h : include file for standard system include files,
//  or project specific include files that are used frequently, but
//      are changed infrequently
//

#if !defined(AFX_STDAFX_H__9C88BEEE_5C7F_4140_B411_3B326A3986F1__INCLUDED_)
#define AFX_STDAFX_H__9C88BEEE_5C7F_4140_B411_3B326A3986F1__INCLUDED_

#if _MSC_VER > 1000
#pragma once
#endif // _MSC_VER > 1000

#define WIN32_LEAN_AND_MEAN		// Exclude rarely-used stuff from Windows headers

#include <stdio.h>

// TODO: reference additional headers your program requires here

//{{AFX_INSERT_LOCATION}}
// Microsoft Visual C++ will insert additional declarations immediately before the previous line.

#endif // !defined(AFX_STDAFX_H__9C88BEEE_5C7F_4140_B411_3B326A3986F1__INCLUDED_)

StdAfx.cpp

// stdafx.cpp : source file that includes just the standard includes
//	02ProcessList.pch will be the pre-compiled header
//	stdafx.obj will contain the pre-compiled type information

#include "stdafx.h"

// TODO: reference any additional headers you need in STDAFX.H
// and not in this file

02TerminateProcess.cpp

#include "stdafx.h"
#include <windows.h>

BOOL TerminateProcessFromId(DWORD dwId)
{
	BOOL bRet = FALSE;
	// 打开目标进程，取得进程句柄
	HANDLE hProcess = ::OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwId);
	if(hProcess != NULL)
	{
		// 终止进程
		bRet = ::TerminateProcess(hProcess, 0);
	}
	CloseHandle(hProcess);
	return bRet;
}

int main(int argc, char* argv[])
{
	DWORD dwId;
	printf(" 请输入您要终止的进程的ID号： \n");
	scanf_s("%u", &dwId);
	if(TerminateProcessFromId(dwId))
	{
		printf(" 终止进程成功！ \n");
	}
	else
	{
		printf(" 终止进程失败！ \n");
	}

	return 0;
}

为 TerminateProcessFromId 函数传递一个进程 ID 号，它将试图去结束这个进程，并返回操作结果。可以从任务管理器中找一个进程 ID，试试这个函数的执行结果。

OpenProcess 函数执行失败后将返回 NULL，这时可以进一步调用 GetLastError 函数取得出错代码。GetLastError 取得调用线程的最后出错代码。最后出错代码是每个线程都维护的基本数据。

进程结束以后，调用 GetExitCodeProcess 函数可以取得其退出代码，如果在调用这个函数时，目标进程还没有结束，此函数会返回 STILL_ACTIVE，表示进程还在运行。这就给我们提供了一种检测一个进程是否已经终止的方法。

一旦进程终止，就会有下列事件发生：
（1）所有被这个进程创建或打开的对象句柄就会关闭。
（2）此进程内的所有线程将终止执行。
（3） 进 程 内 核 对 象 变 成 受 信 状 态 ， 所 有 等 待 在 此 对 象 上 的 线 程 开 始 运 行 ， 即WaitForSingleObject 函数返回。
（4）系统将进程对象中退出代码的值由 STILL_ACTIVE 改为指定的退出码。

保护进程

这里的“保护进程”指的是保护进程不被其他进程非法关闭。有时一些软件出于某种目的而禁止一些特殊程序的运行。比如，很多游戏都禁止 WPE 运行（一个截获网络数据的软件），它们定时检测系统内的进程，一旦发现 WPE 进程存在就试图关闭它。

如果要保护 WPE 不会被非法关闭，可以从两个方面入手，一个是防止此进程被其他进程检测到，另一个是防止此进程被其他进程终止。

在检测系统进程的时候，一般的程序都使用 ToolHelp 函数或者是 Process Status 函数（即上面所述的 EnumProcesses 系列的函数），所以只要 HOOK 掉系统对这些函数的调用，使这些函数的返回结果中不包含要保护的进程即可。

更简单的办法就是直接 HOOK 掉其他进程对 TerminateProcess 函数的调用。因为一个进程要结束另外一个进程一般都调用 TerminateProcess 函数，包括 Windows 自带的任务管理器。配套光盘的 09HookTermProApp 实例就是基于这一思想而设计的。