windows遍历进程与杀死进程

最新推荐文章于 2023-05-15 15:07:04 发布
置顶 最新推荐文章于 2023-05-15 15:07:04 发布
阅读量1.9w 收藏 3
点赞数 2
分类专栏: windows 文章标签: EnumProcesses EnumProcessModules NtTerminateProcess PSAPI遍历进程 TerminateProcess杀死进程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sowhat_ah/article/details/43484693
版权

windows下遍历进程有多种方式:

进程快照:CreateToolhelp32Snapshot;

进程状态API:PSAPI;


在psapi中主要使用到的方法有:

EnumProcesses——枚举进程;

EnumProcessModules——枚举进程内模块;

GetModuleFileNameEx——获取模块名;

通过这3个方法就可以遍历进程以及进程内各个模块;

其中基本数据结构QString、QList是基于Qt的,如果用的不是Qt库,换成C++对应STL标准库List、String的即可;

    //Win32Api:
    void AdjustPrivilege()
    {
        HANDLE hToken;
        if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToken))
        {
            TOKEN_PRIVILEGES tp;
            tp.PrivilegeCount = 1;
            tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
            if (LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &tp.Privileges[0].Luid))
            {
                AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(tp), NULL, NULL);
            }
            CloseHandle(hToken);
        }
    }
	
    //根据进程所在的路径查询进程,并返回进程的ID列表
    QList<DWORD> CheckProcess(const QString &processPath)
    {
        AdjustPrivilege();
        QList<DWORD> pIDList;
        DWORD dwProcessId[1024];
        DWORD bytesRet;
        if (EnumProcesses(dwProcessId, sizeof(dwProcessId), &bytesRet))
        {
            HANDLE hProcess = NULL;
            HMODULE hModus[1024];
            DWORD bytesModuRet;
            TCHAR szModuleName[MAX_PATH];
            QStringList tempPathList = processPath.toLower()
                    .split(QRegExp("[/\\\\]"), QString::SkipEmptyParts);
            QString processPathWinStd;//转成windows标准的路径
            int listLength = tempPathList.length();
            for (int idx = 0; idx < listLength; ++idx)
            {
                if (idx != 0)
                    processPathWinStd.push_back("\\");
                processPathWinStd.push_back(tempPathList[idx]);
            }
            int ProcessNum = (bytesRet/sizeof(DWORD));
            for (int i = 0, j = 0; i < ProcessNum; ++i)
            {
                hProcess = OpenProcess(PROCESS_ALL_ACCESS, false, dwProcessId[i]);
                if (hProcess)
                {
                    //Do not call CloseHandle on any of the handles returned by this function.
                    //The information comes from a snapshot, so there are no resources to be freed.
                    if (EnumProcessModules(hProcess, hModus, sizeof(hModus), &bytesModuRet))
                    {
                        int ModuleNum = (bytesRet/sizeof(DWORD));
                        for (j = 0; j < ModuleNum; ++j)
                        {
                            if (GetModuleFileNameEx(hProcess, hModus[j], szModuleName, sizeof(szModuleName))
                             && processPathWinStd == QString::fromWCharArray(szModuleName, _tcslen(szModuleName)).toLower())
                            {
                                pIDList.push_back(dwProcessId[i]);
                            }
                        }
                    }
                    CloseHandle(hProcess);
                }
            }
        }
        return pIDList;
    }
注意其中的EnumProcessModules中的hModus句柄不能使用CloseHandle(因为这些句柄来自一个快照snapshot,不是实际的资源):

Do not call CloseHandle on any of the handles returned by this function.
The information comes from a snapshot, so there are no resources to be freed.


windows下杀死进程也有两种方式:

TerminateProcess——系统API;

NtTerminateProcess——ntdll.dll中未公开导出方法;

TerminateProcess实际上也是调用NtTerminateProcess实现具体功能的;

正常情况下,调用这两个任何一个都可以终结或者杀死一个进程(夸用户杀进程需要先提权,提权见“windows提权方法”),但是在有些情况下有些应用程序为了防止自己被杀,会hook系统的TerminateProcess方法,导致TerminateProcess失效;所以用NtTerminateProcess可以使杀死进程的成功率更高一些;

    void Terminate(const QString &processPath)
    {
        AdjustPrivilege();
        //================TerminateProcess================//遍历进程列表与进程模块,匹配路径后强杀
        DWORD dwProcessId[1024];
        DWORD bytesRet;
        if (EnumProcesses(dwProcessId, sizeof(dwProcessId), &bytesRet))
        {
            HANDLE hProcess = NULL;
            HMODULE hModus[1024];
            DWORD bytesModuRet;
            TCHAR szModuleName[MAX_PATH];
            QStringList tempPathList = processPath.toLower()
                    .split(QRegExp("[/\\\\]"), QString::SkipEmptyParts);
            QString processPathWinStd;//转成windows标准的路径
            int listLength = tempPathList.length();
            for (int idx = 0; idx < listLength; ++idx)
            {
                if (idx != 0)
                    processPathWinStd.push_back("\\");
                processPathWinStd.push_back(tempPathList[idx]);
            }
            int ProcessNum = (bytesRet/sizeof(DWORD));
            for (int i = 0, j = 0; i < ProcessNum; ++i)
            {
                hProcess = OpenProcess(PROCESS_ALL_ACCESS, false, dwProcessId[i]);
                if (hProcess)
                {
                    //Do not call CloseHandle on any of the handles returned by this function.
                    //The information comes from a snapshot, so there are no resources to be freed.
                    if (EnumProcessModules(hProcess, hModus, sizeof(hModus), &bytesModuRet))
                    {
                        int ModuleNum = (bytesRet/sizeof(DWORD));
                        for (j = 0; j < ModuleNum; ++j)
                        {
                            if (GetModuleFileNameEx(hProcess, hModus[j], szModuleName, sizeof(szModuleName))
                             && processPathWinStd == QString::fromWCharArray(szModuleName, _tcslen(szModuleName)).toLower())
                            {
                                TerminateProcess(hProcess, 4);
                            }
                        }
                    }
                    CloseHandle(hProcess);
                }
            }
        }
    }

    void Terminate(const DWORD &pID)
    {
        AdjustPrivilege();
        //================TerminateProcess================//根据进程ID强杀
        HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, false, pID);
        if (hProcess)
        {
            TerminateProcess(hProcess, 4);
            CloseHandle(hProcess);
        }
    }

ntdll.dll导出方式: 

    const unsigned long SE_DEBUG_PRIVILEGE = 0x14;
    typedef int (__stdcall *fRtlAdjustPrivilege)(ULONG, BOOLEAN, BOOLEAN, PBOOLEAN);
    typedef DWORD (__stdcall *fNtTerminateProcess)(HANDLE, UINT);
    HMODULE hNtDll = NULL;
    fRtlAdjustPrivilege funcAdjustPrivilege = NULL;
    fNtTerminateProcess funcTerminateProcess = NULL;

    //================
    //NtDll方式:
    //================
    bool NtInit()
    {
        hNtDll = LoadLibrary(_T("ntdll.dll"));
        if (!hNtDll)
            return false;
        funcAdjustPrivilege =
                (fRtlAdjustPrivilege)GetProcAddress(hNtDll, "RtlAdjustPrivilege");
        funcTerminateProcess =
                (fNtTerminateProcess)GetProcAddress(hNtDll, "NtTerminateProcess");
        return true;
    }

    void NtFree()
    {
        if (hNtDll)
            FreeLibrary(hNtDll);
    }

    void NtAdjustPrivilege()
    {
        if (funcAdjustPrivilege)
        {
            BOOLEAN oldStatus;
            funcAdjustPrivilege(SE_DEBUG_PRIVILEGE, true, false, &oldStatus);
        }
    }

    void NtTerminate(const QString &processPath)
    {
        NtAdjustPrivilege();
        //================TerminateProcess================//遍历进程列表与进程模块,匹配路径后强杀
        if (funcTerminateProcess)
        {
            DWORD dwProcessId[1024];
            DWORD bytesRet;
            if (EnumProcesses(dwProcessId, sizeof(dwProcessId), &bytesRet))
            {
                HANDLE hProcess = NULL;
                HMODULE hModus[1024];
                DWORD bytesModuRet;
                TCHAR szModuleName[MAX_PATH];
                QStringList tempPathList = processPath.toLower()
                        .split(QRegExp("[/\\\\]"), QString::SkipEmptyParts);
                QString processPathWinStd;//转成windows标准的路径
                int listLength = tempPathList.length();
                for (int idx = 0; idx < listLength; ++idx)
                {
                    if (idx != 0)
                        processPathWinStd.push_back("\\");
                    processPathWinStd.push_back(tempPathList[idx]);
                }
                int ProcessNum = (bytesRet/sizeof(DWORD));
                for (int i = 0, j = 0; i < ProcessNum; ++i)
                {
                    hProcess = OpenProcess(PROCESS_ALL_ACCESS, false, dwProcessId[i]);
                    if (hProcess)
                    {
                        //Do not call CloseHandle on any of the handles returned by this function.
                        //The information comes from a snapshot, so there are no resources to be freed.
                        if (EnumProcessModules(hProcess, hModus, sizeof(hModus), &bytesModuRet))
                        {
                            int ModuleNum = (bytesRet/sizeof(DWORD));
                            for (j = 0; j < ModuleNum; ++j)
                            {
                                if (GetModuleFileNameEx(hProcess, hModus[j], szModuleName, sizeof(szModuleName))
                                 && processPathWinStd == QString::fromWCharArray(szModuleName, _tcslen(szModuleName)).toLower())
                                {
                                    funcTerminateProcess(hProcess, 4);
                                }
                            }
                        }
                        CloseHandle(hProcess);
                    }
                }
            }
        }
    }

    void NtTerminate(const DWORD &pID)
    {
        NtAdjustPrivilege();
        //================TerminateProcess================//根据进程ID强杀
        if (funcTerminateProcess)
        {
            HANDLE hProcess = NULL;
            hProcess = OpenProcess(PROCESS_ALL_ACCESS, false, pID);
            if (hProcess)
            {
                funcTerminateProcess(hProcess, 4);
                CloseHandle(hProcess);
            }
        }
    }






sowhat_Ah
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
根据窗口title杀死一个进程
07-29
遍历系统进程,获取系统所有打开的窗口句柄,并获得其窗口标题。杀死一个窗口标题符合要求的进程
Qt 获取所有进程、终止某个进程
m0_73443478的博客
01-05 2688
Qt 获取所有进程、终止某个进程
Qt笔记-获取Windows下目前运行的进程信息
IT1995的博客
12-01 8042
目录 基本概念 代码与实例 源码下载 基本概念 知识点如下: CreateToolhelp32Snapshot 获取当前系统进程快照 void Thread::getSnapshot() { HANDLE hProcess = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, NULL); if(...
windows API 强制杀死进程
01-24
https://blog.csdn.net/qq_18286031/article/details/86607462 使用ntsd.exe 和windows API来杀死进程,其中用好几种方法,开发环境:VS2015+Qt5.9.1
系统进程管理VC源代码
03-15
该代码实现了进程遍历和杀死。 关键字:InfoFormToolHelp,OpenProcessToken,LookupPrivilegeValue,进程
外部进程嵌入到Qt进程界面
twtongwei的博客
05-15 1161
在程序中调起外部应用,然后将应用显示在软件的窗口中
Qt技巧:多窗口互相调用
shawn06
06-22 8317
这里用一个简单例子,介绍在使用Qt Creator设计ui时,如何用一个窗口调用另一个窗口。
Qt 实现进程间窗口嵌套(一)
热门推荐
an505479313的博客
10-09 1万+
环境:Qt 5.9.1_msvc2015_64bit,Window 10. 为了实现在qt程序中打开Window上其他应用程序,并将其嵌入到qt程序中。 方法:获取外部程序的窗口句柄,调用 [static] QWindow *QWindow::fromWinId(WId id) 函数创建QWindow,然后调用 [static] QWidget *QWidget::createWi
QT MDI子窗口遍历
zhangxiaonanwin的专栏
12-21 3935
QT MDI子窗口遍历
WebEnvelope:微信抢红包APP原始码
03-23
Web信封 微信抢红包APP原始码,实现微信抢红包功能 实现思路 通过一个服务的辅助类,实时监测微信聊天的信息列表,当发现有红包发来时候,如果没有在微信聊天界面,则立即重定向到微信聊天界面,模拟点击红包,替换为红包界面,通过拆红包的控件的id模拟点击,自动防止红包,为了防止服务被后台进程杀死,采取了提升进展能级的措施,使其权限达到最高。 注意事项 拆红包的事件可以通过控件id获取,但是每个版本的id不一样,这个需要远程android studio对不同版本进行获取,本项目中使用微信的版本是6.3.32。还有一种方式是通过关键字“拆红包”遍历抓取,经过测试,效率比较低,抢红包的效率没根据id的高。
大数据linux命令.pdf
12-24
⼤数据linux命令 1.vim三种模式 2.vim +⽂件名(修改该⽂件) 3.进⼊编辑模式–i或insert都可以 编辑完成后esc退出编辑模式 :wq-----保存后返回命令⾏ :wq!----强制离开 q!----不保存⽽强制离开 4.vim快捷键 拷贝当前⾏:yy,拷贝当前⾏向下的5⾏:5yy。粘贴:p。【⼀般模式】 删除当前⾏:dd,删除当前⾏向下的5⾏:5dd 【⼀般模式】 在⽂件中查找某个单词 【命令模式下:/关键字,回车查找,输⼊n就是查找下⼀个】 编辑/etc/profile⽂件,使⽤快捷键到底⽂档的最末⾏[G]和最⾸⾏[gg]【⼀般模式下】 在⼀个⽂件中输⼊"hello",然后⼜撤销这个动作u【⼀般模式下】 5.halt 关机 reboot 重启 sync 把内存的数据同步到磁盘(关机前保存) logout 注销 6.⽤户管理 添加⽤户— useradd -d[指定⽬录] ⽤户名 指定密码----passwd ⽤户名 删除⽤户----userdel 删除⽤户 ⼆。实⽤指令 7.1 ⽂件和⽬录相关的指令 1 pwd 该命令⾏的意思就是print working directory,显⽰当前⼯作⽬录的绝对路径。 2 ls [选项] 显⽰当前⽬录下的⽂件和⽬录 选项: -a :显⽰当前⽬录所有的⽂件和⽬ -l : 以列表的⽅式显⽰信息 -h : 显⽰⽂件⼤⼩时,以 k , m, G 单位显⽰ ⽰例: ls -alh 显⽰当前⽬录的全部⽂件和⽬录 ls -alh /home 显⽰/home⽬录的全部⽂件和⽬录 3 mkdir 该命令⾏的意思就是make directory,新建⼀个⽂件夹(⽬录) ⽰例: 单级⽬录:mkdir ⽬录名 mkdir sharm 创建sharm这个⽂件夹 多级⽬录:mkdir –p ⽬录名 4.touch [⽂件名] [⽂件名] 创建⼀个或者多个空⽂件,如果⽂件存在,则刷新⽂件的修改时间 5.rmdir [空⽬录] 只能删除空⽬录 6.rm -rf [空⽬录或者⾮空⽬录] 7.find [搜索范围][选项] find指令是将从指定⽬录向下递归地遍历其各个⼦⽬录,将满⾜条件的⽂件或者⽬录显⽰在终端。 ⽰例: find /home -name hello.txt 根据⽂件名称查找/home⽬录下的hello.txt⽂件 find /home -user sharm 根据⽂件所有者查找/home⽬录下⽤户名为sharm的⽂件 find /home -size +10M 查找整个linux系统下⼤于10M的⽂件(+n⼤于-n⼩于n等于) 8.locate hello.txt 查找整个Linux系统下hello.txt的位置 9.tar 指令 是打包指令,最后打包后的⽂件是 .tar.gz 的⽂件。该命令可以压缩,也可以解压缩 10.任务调度 crontab 就是定时启动任务 11.配置固定的ip地址 修改该⽂件:vim /etc/sysconfig/network-scripts/ifcfg-eth0 12.修改主机名 13.进程管理 ps -aux:查看当前进程 kill 进程杀死进程 14.rpm和yum包管理器 rpm相当于windows的setup.exe 14.1 rpm –qa 查询已安装的rpm列表 rpm -e firefox 卸载软件包 14.2 yum管理器可以⾃动下载RPM包并安装 15.xsync将⽂件同步到所有虚拟机上 16.hadoop fs 具体命令 是指该命令可以⽤于⽂件系统。 hdfs dfs 具体命令 是指将具体命令专门针对hdfs分布式⽂件系统。 17.-ls: 显⽰⽬录信息 -cat:显⽰⽂件内容 mkdir:创建路径 -rm -r:递归删除⽬录及⽬录⾥⾯内容
强制杀掉Windows进程工具
06-13
可以强制杀掉系统中杀不掉的进程
c代码创建,杀死,遍历进程
11-13
用c语言写的遍历进程,创建进程杀死进程
关于__Federico Milano 的电力系统分析工具箱.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
mlab-upenn 研究小组的心脏模型模拟.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
混合图像创建大师matlab代码.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
中序遍历二叉树-java版本
04-26
在Java中,实现二叉树的中序遍历同样可以通过递归来完成。中序遍历的顺序是:首先递归地中序遍历左子树,然后访问根节点,最后递归地中序遍历右子树。 在这段代码中,Node类定义了二叉树的节点,BinaryTree类包含一个指向根节点的指针和inOrder方法,用于递归地进行中序遍历。printInOrder方法调用inOrder方法并打印出遍历的结果。 在Main类中,我们创建了一个示例二叉树,并调用printInOrder方法来输出中序遍历的结果。输出应该是:4 2 5 1 3,这表示中序遍历的顺序是左子树(4),然后是根节点(2),接着是右子树的左子树(5),然后是右子树的根节点(1),最后是右子树的右子树(3)。
无头单向非循环链表的实现(SList.c)
最新发布
04-26
无头单向非循环链表的实现(函数定义文件)
查找进程遍历杀死进程的shell脚本
07-27
你可以使用以下的shell脚本来查找进程并杀死它们: ```shell #!/bin/bash # 输入进程名或关键字 read -p "请输入进程名或关键字: " keyword # 查找匹配的进程并杀死它们 pid=$(ps aux | grep "$keyword" | grep -v grep | awk '{print $2}') if [ -n "$pid" ]; then echo "找到以下进程ID:$pid" read -p "是否继续杀死这些进程?(y/n) " choice if [ "$choice" == "y" ] || [ "$choice" == "Y" ]; then kill -9 $pid echo "已杀死进程!" else echo "取消操作。" fi else echo "未找到匹配的进程。" fi ``` 这个脚本会要求你输入一个进程名或关键字,然后它会查找匹配的进程并列出它们的进程ID。你可以选择是否继续杀死这些进程。如果选择是,脚本会使用`kill -9`命令来强制杀死这些进程。如果选择否,脚本会取消操作。 请注意,使用`kill -9`命令会立即终止进程,可能导致数据丢失或其他不可预料的问题。请谨慎使用该命令,并确保你知道自己在做什么。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值