进程枚举相关函数

最新推荐文章于 2023-09-22 08:55:36 发布
最新推荐文章于 2023-09-22 08:55:36 发布
阅读量686 收藏
点赞数
分类专栏: windows 文章标签: CreateToolhelp32Snap EnumProcessModules GetModuleBaseName Process32First Process32Next
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/spiderlily/article/details/8254437
版权

1.EnumProcessModules , GetModuleBaseName

       这种方法获取的进程,如果用户名是NETWORK SERVICE或LOCAL SEVICE获取用户名会失败,原因是调用OpenProcess时对这些进程没有权限

示例代码:

#include "stdafx.h"
#include "windows.h"
#include "psapi.h"
#pragma comment(lib,"psapi.lib")


void PrintProcessNameAndID(DWORD processID)
{
      wchar_t szProcessName[MAX_PATH]=L"unknown";
     //得到进程句柄
      HANDLE hProcess=OpenProcess(PROCESS_QUERY_INFORMATION|PROCESS_VM_READ,FALSE,processID);
      //获得进程名称
      if(hProcess!=NULL)
      {
          HMODULE hMod=NULL;
          DWORD cbNeeded;
          if(EnumProcessModules(hProcess,&hMod,sizeof(hMod),&cbNeeded))
          { 
     if(GetModuleBaseName(hProcess,hMod,szProcessName,sizeof(szProcessName)))
                     printf("%ws  (ProcessID:%d)\n",szProcessName,processID);
               }
          else printf("getname fail\n");
          CloseHandle(hProcess);
       }
 else{
          printf("open process fail\n");
          printf("%ws  (ProcessID:%d)\n",szProcessName,processID);
 }
}

int _tmain(int argc, _TCHAR* argv[])
{
    //获得进程标识符列表
     DWORD aProcesses[60],cbNeeded,cProcesses;
     unsigned int i;
     if(!EnumProcesses(aProcesses,sizeof(aProcesses),&cbNeeded))
         printf("EnumProcess fail\n");
     //计算返回进程标识符的个数
     cProcesses=cbNeeded/sizeof(DWORD);
     //打印进程名称和进程标识符
for(i=0;i<cProcesses;i++){
      printf("%d ",i);
              PrintProcessNameAndID(aProcesses[i]);
}
printf("%d",i);
getchar();
     return 0;
}


2.CreateToolhelp32Snapshot , Process32First , Process32Next

     这种方法我觉得比前一种好,可以获得打开任务管理器能看到的所有进程,代码也相对简单。

#include "stdafx.h"Process32Next
#include <windows.h>
#include <tlhelp32.h>
#pragma comment(lib,"kernel32.lib")

int _tmain(int argc, _TCHAR* argv[])
{
    HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
int i=0;
    if (!hSnapshot)
    {
        printf("CreateToolhelp32Snapshot ERROR!/n");
        return 1;
    }
    PROCESSENTRY32 pe32;
    pe32.dwSize = sizeof(PROCESSENTRY32 );//如果不初始化,Process32First会失败。
    if (!Process32First(hSnapshot, &pe32))
    {
        printf("Process32First ERROR!/n");
    }
    do
    {
printf("%d ParentProcessID:%d ProcID:%d---%ws\n",i++,pe32.th32ParentProcessID,pe32.th32ProcessID ,pe32.szExeFile );
    }while(Process32Next(hSnapshot, &pe32));
    getchar();      
    return 0;

}


3.相关函数还有GetProcessMemoryInfo,kiSwapContext,拒说kiSwapContext是RING0级的,可获取隐藏进程,现在还不会HOOK,有基础了再回来练习。

spiderlily
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NT下进程.rar
04-05
这个"NT下进程.rar"文件很可能包含了一系列与枚Windows NT系统下的进程相关的代码、文档或者工具。 进程涉及到的知识点包括: 1. **Windows API**:Windows操作系统提供了一组API函数来枚进程,如`...
API枚进程例程.rar
04-04
进程通常涉及到以下几个关键的Windows API函数: 1. **CreateToolhelp32Snapshot**: 这个API函数用于创建一个系统快照,包含了进程和线程的信息。它返回一个句柄,后续可以使用这个句柄来遍历系统中的进程。 2...
使用 ToolHelp32 库枚进程(转)
gxj1680的专栏
07-01 836
ToolHelp32 库函数在 KERNEL32.dll 中,它们都是标准的 API 函数。但是 Windows NT 4.0 不提供这些函。  ToolHelp32 库中有各种各样的函数可以用来枚系统中的进程、线程以及获取内存和模块信息。其中枚进程 只需用如下三个的函数:CreateToolhelp32Snapshot()、Process32First()和 Process32Next()。
进程
CButtonST的专栏
08-16 753
各种进程方法 方法一:使用工具库(Tool Help Library)函数 这是一种历史最悠久、也是最基本的方法(从Windows 95开始就支持这种方法)。这些API函数中,最重要的当属CreateToolhelp32Snapshot,它的函数原型如下: HANDLE WINAPI CreateToolhelp32Snapshot( DWORD dwFlags, DWORD
C++枚进程的方法
钟斌的博客
08-15 6398
主要使用的下面几个函数: 1、CreateToolhelp32Snapshot 2、Process32First 3、Process32Next 所以要引用下面的头文件: #include 枚进程的代码如下: // 枚系统当前所有进程信息 // 并把信息输出到工程目录下EnumInfo_ToolHelp_process.txt BOOL EnumProcessInfo()
系统进程方法
狂客队长
08-07 736
P r o c e s s 3 2 F i r s t和P r o c e s s 3 2 N e x t函数。 更加有趣的是,M i c r o s o f t的Windows NT开发小组因为不喜欢To o l H e l p函数,所以没有将这些函数添加给Windows NT。相反,他们开发了自己的Process Status函数,用于枚进程(这些函数包含在P S A P I . d l l
进程的四种方式
qq_43812868的博客
09-14 1994
进程是将系统中的所有进程显示出来,就像Windows中的任务管理器一样,可以看到系统中运行的所有进程进程的四种方法: 通过系统快照进行枚 通过psapi.dll中的函数进行枚 通过ntdll.dll中的函数进行枚 通过ntdll.dll中的函数进行枚 第一种、通过系统快照进行枚 1、CreateToolhelp32Snapshot() CreateToolhelp32Snapshot可以通过获取进程信息为指定的进程进程使用的堆[HE.
易语言源码NT下进程.rar
03-30
易语言源码NT下进程.rar 易语言源码NT下进程.rar 易语言源码NT下进程.rar 易语言源码NT下进程.rar 易语言源码NT下进程.rar 易语言源码NT下进程.rar
进程和PID_枚进程和PID_
09-30
在Delphi中,我们可以利用几个关键的API函数来枚进程和获取PID: 1. **EnumProcesses**: 这个函数用于枚当前系统中所有正在运行的进程。它会返回一个进程ID数组,这些ID对应着系统中的每个进程。你需要提供一个...
GetModuleBaseName()与GetModuleFileNameEx()函数用法
Alan_Program的博客
06-21 2135
MSDN上面原文: GetModuleBaseName() The GetModuleBaseName function retrieves the base name of the specified module. //GetModuleBaseName函数检索指定模块的基本名称。 DWORD GetModuleBaseName( HANDLE hProcess, // handle...
7.1 实现进程内存块枚
CSDN
09-22 4550
在`Windows`操作系统中,每个进程的虚拟地址空间都被划分为若干内存块,每个内存块都具有一些属性,如内存大小、保护模式、类型等。这些属性可以通过`VirtualQueryEx`函数查询得到。该函数可用于查询进程虚拟地址空间中的内存信息的函数。它的作用类似于`Windows`操作系统中的`Task Manager`中的进程选项卡,可以显示出一个进程的内存使用情况、模块列表等信息。使用`VirtualQueryEx`函数,可以枚一个进程的所有内存块。该函数需要传入要查询的进程的句柄、基地址和一个`ME
2014-03-13周四:返回进程函数:GetModleFileName和GetModuleBaseName的区别
勿忘初心,安得始终
03-13 1818
转自:http://blog.csdn.net/love3s/article/details/8029173 GetModleFileName返回进程名包含路径 GetModuleBaseName返回进程名不包含路径 下面是获取当前进程名的方法 GetModleFileName(NULL, lpText, sizeof(lpText)); GetModuleBaseName
给出GetModuleBaseName的c++示例
weixin_42596214的博客
01-17 75
#include <Windows.h> #include <TlHelp32.h> #include <tchar.h> int _tmain(int argc, _TCHAR* argv[]) { DWORD dwPID; _tprintf(_T("输入进程ID: ")); _tscanf(_T("%u"), &amp;dw...
GetModleFileName和GetModuleBaseName的区别
离,路的尽头还很远...
09-28 8612
GetModleFileName返回进程名包含路径 GetModuleBaseName返回进程名不包含路径 下面是获取当前进程名的方法 GetModleFileName(NULL, lpText, sizeof(lpText)); GetModuleBaseName(GetCurrentProcess(), NULL, lpText, sizeof(lpText)); 使用GetModuleBa
当前进程的几种方法(总结)
简单的快乐
09-07 2194
///1获取当前进程这种方法也很常见,通过MSDN就可以找到例子代码,它是通过Psapi.dll提供的API函数EnumProcesses和EnumProcessModules来实现。有一点要说明的是,Visual Studio提供的SDK包里没有提供相应的Psapi.h和与之相对应的导入库,当时就很纳闷,MSDN里的例子居然编译不通,后来才发现,编译时根本找不到“psapi.h”。呵呵,还好,M
VC获取进程的cpu使用率、内存、线程数、句柄数等信息
深之JohnChen的专栏
09-07 6541
//ProcessInfoCollect.h //进程信息采集 #pragma once //枚进程 typedef BOOL(_stdcall *ENUMPROCESS)( DWORD *pProcessIds, //指向进程ID数组链 DWORD cb, //ID数组的大小,用字节计数 DWORD *pBytesReturned //返回的字...
无法定位程序输入点K32Get Module File Name Ex于动态链接库KERNEL32.dll上 的错误解析
热门推荐
小米的修行之路
03-13 3万+
这里我要讨论的是在 WinSDK v7.0中的一些不友好的错误。如果你是一名开发者,并且当前使用的是VS2010编译器自带的 WinSDK v7.0,那么个别时候当你执行程序时,可能遇到这样的错误提示:The procedure entry point K32*** could not be located in the dynamic link library KERNEL32.dll中文版本的...
windows内核枚进程pid例子
最新发布
04-20
Windows内核可以通过遍历进程控制块(Process Control Block,简称PCB)来枚进程的PID。下面是一个简单的示例代码,用于在Windows内核中枚进程的PID: ```c #include NTSTATUS EnumerateProcesses() { ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值