win32 判断进程状态(挂起/运行中)、用API挂起/恢复进程

已于 2022-09-04 17:50:57 修改
阅读量3.6k 收藏 7
点赞数 2
文章标签: windows 安全 c++ 经验分享 学习
于 2022-08-09 15:12:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42112038/article/details/126243863
版权

目录

判断进程状态

进程由线程组成,所有线程都挂起时,进程就属于挂起了。这就是判断方法。怎么判断线程是否挂起了呢?

SuspendThread查询挂起计数法

每个线程都有个挂起计数,一般地,挂起计数是0时线程属于工作中,而大于0就是属于挂起。PCHunter类软件查询底层的_KTHREAD.SuspendCount,原理都是查询线程挂起计数。应用层直接查询挂起计数,据我所知只有SuspendThread()ResumeThread()。返回线程之前的挂起计数。我们从SuspendThread()入手,挂起线程取得它挂起计数,然后立刻恢复。这样对目标线程没什么影响。而我们也拿到了它的挂起计数。

由此我们可以写出判断进程状态的函数。创建线程快照,把目标进程所有线程的挂起计数拿到了。只要还有一个线程存活(挂起数0)就视为进程还在运行。

//获取进程的状态
//返回-1,表示发生异常
//返回0,表示进程没有被挂起
//返回1,表示进程处于挂起状态
int GetProcessState(DWORD dwProcessID) {
	HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, dwProcessID);

	if (hSnapshot != INVALID_HANDLE_VALUE) {
		DWORD state = 1;//先置1,一旦有线程还在运行就置0
		THREADENTRY32 te = {sizeof(te)};
		BOOL fOk = Thread32First(hSnapshot, &te);
		for (; fOk; fOk = Thread32Next(hSnapshot, &te)) {
			if (te.th32OwnerProcessID == dwProcessID) {
				HANDLE hThread = OpenThread(THREAD_SUSPEND_RESUME, FALSE, te.th32ThreadID);
				DWORD suspendCount = SuspendThread(hThread);//返回之前的挂起数,大于0表示已挂起
				ResumeThread(hThread);//马上恢复,这样不会对目标程序造成影响
				CloseHandle(hThread);
				if (suspendCount == 0) state = 0; //是个判断所有线程都挂起的好方法
			}
		}
		CloseHandle(hSnapshot);
		return state;
	}
	return -1;
}

虽然,你挂起人家线程似乎“不道德”,但是在不深入系统底层的情况下,这应该是最简单的办法了。

NtQuerySystemInformation查询(推荐)

如果我们对要查询的线程没有挂起权限(很常见,如权限不足、被Hook),就无法使用上面的办法了。另一种用得比较广泛的方法是调用NtQuerySystemInformation(),它功能非常强大,据我所知Toolhelp API底层实现便是调用了它。
函数原型:

typedef enum _SYSTEM_INFORMATION_CLASS {
	SystemBasicInformation = 0,
	SystemProcessorInformation = 1,
	SystemPerformanceInformation = 2,
	SystemTimeOfDayInformation = 3,
	SystemProcessInformation = 5,
	SystemProcessorPerformanceInformation = 8,
	SystemHandleInformation = 16,
	SystemPagefileInformation = 18,
	SystemInterruptInformation = 23,
	SystemExceptionInformation = 33,
	SystemRegistryQuotaInformation = 37,
	SystemLookasideInformation = 45
} SYSTEM_INFORMATION_CLASS;

NTSTATUS NTAPI NtQuerySystemInformation(
	IN SYSTEM_INFORMATION_CLASS SystemInformationClass,
	IN OUT PVOID SystemInformation,
	IN ULONG SystemInformationLength,
	OUT PULONG ReturnLength OPTIONAL);

其定义在winternl.h头文件中,但是不包含在windows.h中,需另行导入。虽然其中定义了NtQuerySystemInformation()函数原型,但是并不会被静态链接到dll中,需自己用GetProcAddress()获取地址来调用。

参数1表示希望查询的数据种类,SystemProcessInformation(值为5)意为查询系统所有的进程和线程的信息;
参数2指向接收数据的缓冲区;
参数3是缓冲区大小;
参数4指向所需数据的大小,可以先调用一次获取数据大小再开辟缓冲区。

当查询系统进程和线程信息时,接收的缓冲区包含所有的进程信息(SYSTEM_PROCESS_INFORMATION结构),每个进程信息结构后面紧跟着该进程所有的线程信息(SYSTEM_THREAD_INFORMATION结构)。它们在内存中的结构如下所示:

进程1进程2进程3
进程1信息线程1信息进程2信息线程1信息线程2信息线程3信息进程3信息线程1信息线程2信息

这两个结构的定义(都包含在winternl.h中):

typedef LONG KPRIORITY;
typedef struct _SYSTEM_PROCESS_INFORMATION {
	ULONG NextEntryOffset;//下一个进程信息结构地址与当前结构地址的偏移
	ULONG NumberOfThreads;//线程数量,也决定了后面跟着的线程信息的数量
	LARGE_INTEGER Reserved[3];
	LARGE_INTEGER CreateTime;
	LARGE_INTEGER UserTime;
	LARGE_INTEGER KernelTime;
	UNICODE_STRING ImageName;//映像名称
	KPRIORITY BasePriority;
	HANDLE UniqueProcessId;//进程PID
	HANDLE InheritedFromUniqueProcessId;
	ULONG HandleCount;
	ULONG SessionId;
	ULONG PageDirectoryBase;
	VM_COUNTERS VirtualMemoryCounters;
	SIZE_T PrivatePageCount;
	IO_COUNTERS IoCounters;
} SYSTEM_PROCESS_INFORMATION, *PSYSTEM_PROCESS_INFORMATION;

typedef struct _SYSTEM_THREAD_INFORMATION {
	LARGE_INTEGER Reserved1[3];
	ULONG Reserved2;
	PVOID StartAddress;
	CLIENT_ID ClientId;//一个结构,包含了所在进程ID和线程ID
	KPRIORITY Priority;
	LONG BasePriority;
	ULONG Reserved3;
	ULONG ThreadState;//线程状态
	ULONG WaitReason;//线程处于等待状态的原因
} SYSTEM_THREAD_INFORMATION, *PSYSTEM_THREAD_INFORMATION;

typedef enum _THREAD_STATE {//线程状态
	StateInitialized = 0,
	StateReady, StateRunning/*工作中*/, StateStandby, StateTerminated,
	StateWait/*等待中*/, StateTransition,
	StateUnknown
} THREAD_STATE;

typedef enum _KWAIT_REASON {//线程处于等待状态的原因
	Executive = 0,
	FreePage, PageIn, PoolAllocation, DelayExecution,
	Suspended/*挂起*/, UserRequest, WrExecutive, WrFreePage, WrPageIn,
	WrPoolAllocation, WrDelayExecution, WrSuspended,
	WrUserRequest, WrEventPair, WrQueue, WrLpcReceive,
	WrLpcReply, WrVirtualMemory, WrPageOut, WrRendezvous,
	Spare2, Spare3, Spare4, Spare5, Spare6, WrKernel,
	MaximumWaitReason
} KWAIT_REASON;

可以看到SYSTEM_PROCESS_INFORMATION结构中并没有关联其后紧随的SYSTEM_THREAD_INFORMATION。我们可以用地址访问它后面紧随的线程信息,但是还有更好的办法,我们对SYSTEM_PROCESS_INFORMATION作一个改写:

//在原结构之后加上不影响结构大小的线程数组,巧妙运用越界带来的跨结构访问后面的线程结构
typedef struct _MYSYSTEM_PROCESS_INFORMATION {
	ULONG NextEntryOffset;
	ULONG NumberOfThreads;
	LARGE_INTEGER Reserved[3];
	LARGE_INTEGER CreateTime;
	LARGE_INTEGER UserTime;
	LARGE_INTEGER KernelTime;
	UNICODE_STRING ImageName;
	KPRIORITY BasePriority;
	HANDLE UniqueProcessId;
	HANDLE InheritedFromUniqueProcessId;
	ULONG HandleCount;
	ULONG SessionId;
	ULONG PageDirectoryBase;
	VM_COUNTERS VirtualMemoryCounters;
	SIZE_T PrivatePageCount;
	IO_COUNTERS IoCounters;
	//以上为原结构内容
	SYSTEM_THREAD_INFORMATION Threads[0];
} MYSYSTEM_PROCESS_INFORMATION, *PMYSYSTEM_PROCESS_INFORMATION;

//覆盖原定义
#define SYSTEM_PROCESS_INFORMATION MYSYSTEM_PROCESS_INFORMATION
#define PSYSTEM_PROCESS_INFORMATION PMYSYSTEM_PROCESS_INFORMATION

改写之后SYSTEM_PROCESS_INFORMATION结构的大小并没有改变,而且多了一个数组供我们方便地访问后面的线程。毫无疑问,访问任何元素都会越界,但是越界后访问的地址是这个数组所在地址加上sizeof(SYSTEM_THREAD_INFORMATION)乘以访问的下标的积,正好是内存中那一个或多个线程信息结构的地址。

由此我们有如下的思路(流程图做得难看,请见谅):

Created with Raphaël 2.3.0 传入进程PID 调用NtQuerySystemInformation() 传入SystemProcessInformation(5), 缓冲区指针传NULL,取得缓冲区大小 申请对应大小的内存 再次调用函数,传入缓冲区指针,取得数据 遍历(下一个)进程信息SYSTEM_PROCESS_INFORMATION结构 进程遍历完 出错(进程不存在) 判断是否是目标进程 (对比PID) 遍历(下一个)线程信息SYSTEM_THREAD_INFORMATION结构 线程遍历完 进程已挂起 判断线程是否在挂起 进程未挂起 yes no yes no yes no yes no

这是代码:

#include <winternl.h>

//在原结构之后加上不影响结构大小的线程数组,巧妙运用越界带来的跨结构访问后面的线程结构
typedef struct _MYSYSTEM_PROCESS_INFORMATION {
	ULONG NextEntryOffset;
	ULONG NumberOfThreads;
	LARGE_INTEGER Reserved[3];
	LARGE_INTEGER CreateTime;
	LARGE_INTEGER UserTime;
	LARGE_INTEGER KernelTime;
	UNICODE_STRING ImageName;
	KPRIORITY BasePriority;
	HANDLE UniqueProcessId;
	HANDLE InheritedFromUniqueProcessId;
	ULONG HandleCount;
	ULONG SessionId;
	ULONG PageDirectoryBase;
	VM_COUNTERS VirtualMemoryCounters;
	SIZE_T PrivatePageCount;
	IO_COUNTERS IoCounters;
	//以上为原结构内容
	SYSTEM_THREAD_INFORMATION Threads[0];
} MYSYSTEM_PROCESS_INFORMATION, *PMYSYSTEM_PROCESS_INFORMATION;

//覆盖原定义
#define SYSTEM_PROCESS_INFORMATION MYSYSTEM_PROCESS_INFORMATION
#define PSYSTEM_PROCESS_INFORMATION PMYSYSTEM_PROCESS_INFORMATION

//定义函数原型
typedef NTSTATUS(NTSYSAPI NTAPI *FunNtQuerySystemInformation)
(IN SYSTEM_INFORMATION_CLASS SystemInformationClass, IN OUT PVOID SystemInformation,
 IN ULONG SystemInformationLength, OUT PULONG ReturnLength OPTIONAL);

//获取进程的状态
//返回-1,表示发生异常
//返回0,表示进程没有被挂起
//返回1,表示进程处于挂起状态
int GetProcessState(DWORD dwProcessID) {
	int nStatus = -1;
	//取函数地址
	FunNtQuerySystemInformation mNtQuerySystemInformation = FunNtQuerySystemInformation(GetProcAddress(GetModuleHandle("ntdll.dll"), "NtQuerySystemInformation"));
	//先调用一次,获取所需缓冲区大小
	DWORD dwSize;
	mNtQuerySystemInformation(SystemProcessInformation, NULL, 0, &dwSize);
	//申请缓冲区
	HGLOBAL hBuffer = GlobalAlloc(LPTR, dwSize);
	if (hBuffer == NULL)
		return nStatus;
	PSYSTEM_PROCESS_INFORMATION pInfo = PSYSTEM_PROCESS_INFORMATION(hBuffer);
	//查询
	NTSTATUS lStatus = mNtQuerySystemInformation(SystemProcessInformation, pInfo, dwSize, 0);
	if (!NT_SUCCESS(lStatus)) {
		GlobalFree(hBuffer);
		return nStatus;
	}
	//遍历进程
	while (true) {
		//判断是否是目标进程
		if (((DWORD)(ULONG_PTR) pInfo->UniqueProcessId) == dwProcessID) {
			nStatus = 1;
			//遍历线程
			for (ULONG i = 0; i < pInfo->NumberOfThreads; i++) {
				//如果不是在挂起,就表明程序存活,可以返回(堵塞、无响应不算挂起)
				if (pInfo->Threads[i].WaitReason != Suspended) {
					nStatus = 0;
					break;
				}
			}
			break;
		}
		//遍历进程完成
		if (pInfo->NextEntryOffset == 0)
			break;
		//移动到下一个进程信息结构的地址
		pInfo = PSYSTEM_PROCESS_INFORMATION(PBYTE(pInfo) + pInfo->NextEntryOffset);
	}
	//释放缓冲区
	GlobalFree(hBuffer);
	return nStatus;
}

这里我们对线程“挂起”的判断是狭义的挂起,不包括GetMessage()SendMessage()造成的堵塞、无响应等;对进程挂起的定义是需要进程的所有线程都是挂起(因为NtSuspendProcess()就是挂起了进程的所有线程)。事实上,当我们没有操作一个Win32 GUI程序时,它的主线程就是等待状态,因此我们不能拿SYSTEM_THREAD_INFORMATION.ThreadState == StateWait作为判断线程挂起的依据。

还有一个有一点概率发生的情况:在第一次调用NtQuerySystemInformation()取得缓冲区大小后,正好有新进程/线程创建了,第二次调用会出错(微软在创建进程快照的文档也提及过),解决方法就是再调用一次获取新缓冲区;对于如上示例中给的函数,重复调用即可。

挂起/恢复进程

知道了进程挂起的“定义”,我们可以创建个线程快照,把目标进程所有线程给挂起了,那它就算挂起了(就像上面用挂起线程取挂起计数的例子一样,只要去掉其中的ResumeThread()就是挂起进程了)。

比较合适的办法呢?我们用软件(如ExeScope)查看ntdll.dll的导出函数,可以发现函数NtSuspendProcess()还有配套NtResumeProcess()
描述
它们的原型是:

NTSYSAPI NTSTATUS NTAPI NtSuspendProcess(
	IN HANDLE Process);
NTSYSAPI NTSTATUS NTAPI NtResumeProcess(
	IN HANDLE Process);

由此我们可以动态从ntdll.dll中获取它们地址并调用它们。

//挂起进程,调用未公开函数NtSuspendProcess。suspend参数决定挂起/恢复
typedef NTSTATUS(NTSYSAPI NTAPI *NtSuspendProcess)(IN HANDLE Process); 
typedef NTSTATUS(NTSYSAPI NTAPI *NtResumeProcess)(IN HANDLE Process);
BOOL SuspendProcess(DWORD dwProcessID, BOOL suspend) {
	NtSuspendProcess mNtSuspendProcess;
	NtResumeProcess mNtResumeProcess;
	HMODULE ntdll = GetModuleHandle("ntdll.dll");
	HANDLE handle = OpenProcess(PROCESS_SUSPEND_RESUME, FALSE, dwProcessID);
	if (suspend) {
		mNtSuspendProcess = (NtSuspendProcess)GetProcAddress(ntdll, "NtSuspendProcess");
		return mNtSuspendProcess(handle) == 0;
	} else {
		mNtResumeProcess = (NtResumeProcess)GetProcAddress(ntdll, "NtResumeProcess");
		return mNtResumeProcess(handle) == 0;
	}
}

我这里想吐槽的一点是,网上很多文章对于ntdll中函数调用前,都用的LoadLibrary()加载ntdll。程序必然会已加载它,直接GetModuleHandle()就能拿到它句柄了呀。

参考

还参考了以下文章:

上面这个并不是合规的办法(但能用),因为其默认每个进程的线程数都是5,在进程信息结构体定义末尾加上了大小为5的线程数组,很别扭

上面这个只是查询了第一个线程的挂起状态,不准,而且对缓冲区大小的获取非常随意,是判断大小够不够,不够再把大小乘2

小流汗黄豆
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
win32进程间通信(共享内存)实例分析
09-04
主要介绍了win32进程间通信(共享内存)实例分析,对win32应用程序及进程的原理做了较为深入的剖析,需要的朋友可以参考下
木马/后门程序在WINNT进程隐藏和查找的方法
11-06
WIN9X,只需要将进程注册为系统服务就能够从进程查看器隐形,可是这一切在WINNT却完全不同,无论木马从端口、启动文件上如何巧妙地隐藏自己,始终都不能欺骗WINNT的任务管理器,以至于很多的朋友问我:在WINNT下难道木马真的再也无法隐藏自己的进程了?本文试图通过探讨WINNT木马的几种常用隐藏进程手段,给大家揭示木马/后门程序在WINNT进程隐藏的方法和查找的途径。   我们知道,在WINDOWS系统下,可执行文件主要是Exe和Com文件,这两种文件在运行时都有一个共同点,会生成一个独立的进程,查找特定进程是我们发现木马的主要方法之一(无论手动还是防火墙),随着入侵检测软件的
判断一个窗口是否挂起【小记】?
magictong的专栏
02-26 9713
判断一个窗口是否挂起了(就是没有响应了),在多窗口编程了经常会用到,在给别的窗口发消息前,为了目的窗口能确定收到消息,常常在之前先检测窗口是否挂起了,我们以前常用的方式的是使用下面的方法: // 判断一个窗口是否已经停止响应了(超时0.5秒) DWORD_PTR dwResult = 0; LRESULT lr = ::SendMessageTimeout(g_hWin, WM_NULL
Windows 下 根据进程名获取进程ID 以及该进程下所有窗口的句柄
weixin_41167925的博客
09-16 3624
#include <windows.h> #include <stdint.h> #include <tlhelp32.h> #include <stdio.h> #include <iostream> #include <vector> typedef struct EnumHWndsArg { std::vector<HWND>* vecHWnds; DWORD dwProcessId; }EnumHWndsArg
GetLastError返回代码的含义
黑色幽灵的专栏
03-03 6219
调用例子:DWORD dw;dw = GetLastError(); sprintf(szBuf, "GetLastError returned %u/n", dw);〖0〗-操作成功完成。 〖1〗-功能错误。 〖2〗-系统找不到指定的文件。 〖3〗-系统找不到指定的路径。 〖4〗-系统无法打开文件。 〖5〗-拒绝访问。 〖6〗-句柄无效。 〖7〗-存储控制块被损坏。 〖8〗-存储空间不足,无
NtQuerySystemInformation判断线程是否挂起/判断线程状态
03-20
NtQuerySystemInformation判断线程是否挂起/判断线程状态
检测当前进程是否挂起
zhuhuibeishadiao
06-04 7594
KTHREAD的结构: +0x16c SuspendApc : _KAPC +0x19c SuspendSemaphore : _KSEMAPHORE +0x1b0 ThreadListEntry : _LIST_ENTRY +0x1b8 FreezeCount : Char +0x1b9 SuspendCount : Char
Windows挂起线程/进程?小心吃不了兜着走
12-20 2279
Windows提供一个SuspendThread来挂起线程,被挂起的线程会增加它内核对象的一个挂起计数,只有挂起计数为0的线程被标记为可调度,从而可以执行。这些都是老生常谈,这篇文章介绍的心思想是:如果你不清楚被挂起的线程/进程正在做什么,最好不要没事挂起它们。 在多线程的环境下,一个最常见的情况就是对临界资源的共享访问,操作系统上我们都学过,如果某一个资源是临界资源,那么对它访问前必须要上
Windows挂起进程
qq_41515678的博客
02-22 2539
Window系统并没有公开提供挂起进程API,但提供了SuspendThread,对一个程序的挂起,即对该程序所有的线程的挂起。 首先引用头文件 #include <windows.h> 'Windows头文件 #include <tlhelp32.h> 'Windows进程与线程快照需要 通过创建系统进程与线程的快照来停止对应进程的线程。 1.根据名称停止指定进程 #...
挂起进程代码
01-18
挂起进程 调用系统api,
win10 下安装ubuntu子系统 运行进程/线程 C 语言程序
01-09
或者用这篇文章的方法 https://blog.csdn.net/zhangdongren/article/details/82663977 安装完后启动(第一次启动稍微时间长一点) 启动完成后,输入用户名和密码 (密码一定要牢记,可以简单一点,因为这是win系统...
unity3d使用win32api,实现最小化,托盘运行,开机自启动,浏览文件框,隐藏标题栏
01-04
unity3d使用win32api,实现最小化,托盘运行,开机自启动,浏览文件框,隐藏标题栏
WIN32程序获取父进程ID的方法
01-01
学过windows程序设计的人都知道,windows进程是可以有父子关系的,拥有父子关系的进程,一旦父进程结束,子进程有会随之退出。但是如果进程之间没有父子关系,我们如何让子进程在父进程退出是也同时跟着退出呢?...
Spring IOC(二)
zhangyan_1010的专栏
04-28 914
Spring Bean定义,Bean的作用域,依赖注入
RDD算子使用----transformation转换操作
m0_51388399的博客
04-28 891
rdd.map(p: A => B):RDD,对rdd集合的每一个元素,都作用一次该func函数,之后返回值为生成元素构成的一个新的RDD。rdd.flatMap(p: A => 集合):RDD ==>rdd集合的每一个元素,都要作用func函数,返回0到多个新的元素,这些新的元素共同构成一个新的RDD。mapPartitions(p: Iterator[A] =>Iterator[B]),上面的map操作,一次处理一条记录;而mapPartitions一次性处理一个partition分区的数据。
CST电磁仿真软件优化器和选择激励的使用【图文教程】
a18665053298的博客
04-28 583
局部优化算法适用于需要优化的变量数量少,Parameter取值范围小的优化,全局优化算法适用于需要优化的变量数量多,Parameter取值范围大的仿真优化,我们要根据实际情况选择最佳解决方案。在此对话框勾选需要进行仿真的Port,也可以更改Port的Amplitude和Phase,还可以设置为依次激励还是同时激励。【TIP】设置simultaneous的状态下进行仿真时,因为不是依次计算各端口获取的传输特性,S-Parameter结果不会输出到Output,而是输出到F-Parameter。
C#知识|泛型集合List相关方法
北纬38度的雷先森
05-01 499
集合定义的时候,无需规定元素的个数。
【刷爆力扣之二叉树】107. 二叉树的层序遍历 II
最新发布
guojiaqi_的博客
05-01 237
这道题要求进行自底向上的层序遍历,可以先使用正序层序遍历的方式对树进行遍历,然后将每一层的遍历结果放入一个栈数据结构,等遍历完成后,将栈数据结构的每一层的节点再弹出加入到结果集合,即可将原先栈的数据顺序反转,实现自底向上的层序遍历
037——加入Kconfig机制
qq_52479948的博客
04-28 1268
Kconfig的由来可以追溯到Linux内核配置系统的演变和发展。随着Linux内核的日益复杂,对于内核的配置和管理也变得越来越重要。为了满足不同硬件和需求的配置要求,Linux内核需要一个灵活且强大的配置系统。
c# CreateProcess():使用 Win32 API 创建新进程并返回进程句柄详细方法
06-01
使用 C# 调用 Win32 API 创建新进程并返回进程句柄的详细方法如下: 1. 首先需要设置一个 StartInfo 对象,用于存储启动进程的相关信息,如进程名称、命令行参数等。 ```csharp ProcessStartInfo startInfo = new ProcessStartInfo(); startInfo.FileName = "notepad.exe"; // 进程名称 startInfo.Arguments = "test.txt"; // 命令行参数 ``` 2. 创建一个 Process 对象,并将 StartInfo 对象赋值给它。 ```csharp Process process = new Process(); process.StartInfo = startInfo; ``` 3. 调用 Win32 API 的 CreateProcess 方法,创建新进程并返回进程句柄。 ```csharp bool success = CreateProcess( startInfo.FileName, startInfo.Arguments, IntPtr.Zero, IntPtr.Zero, false, 0, IntPtr.Zero, null, ref startupInfo, out PROCESS_INFORMATION processInfo); if (success) { process.Handle = processInfo.hProcess; process.Id = processInfo.dwProcessId; } ``` 其,CreateProcess 方法的参数含义如下: - lpApplicationName:要执行的可执行文件的名称,如果指定了完整路径,则 lpCommandLine 参数可以为 null。 - lpCommandLine:要传递给可执行文件的命令行参数。 - lpProcessAttributes:进程句柄的安全属性,通常设置为 IntPtr.Zero。 - lpThreadAttributes:线程句柄的安全属性,通常设置为 IntPtr.Zero。 - bInheritHandles:指定是否从父进程继承句柄,通常设置为 false。 - dwCreationFlags:指定进程的创建标志,通常设置为 0。 - lpEnvironment:进程的环境变量,通常设置为 IntPtr.Zero。 - lpCurrentDirectory:进程的当前工作目录,通常设置为 null。 - lpStartupInfo:启动信息,包括窗口大小、标题等。 - lpProcessInformation:输出参数,包括进程句柄和进程 ID。 4. 最后可以使用 Process 对象的方法来操作新创建的进程,如 WaitForExit() 等。 ```csharp process.WaitForExit(); ``` 完整的代码示例: ```csharp using System; using System.Diagnostics; using System.Runtime.InteropServices; namespace CreateProcessDemo { class Program { static void Main(string[] args) { // 设置启动信息 ProcessStartInfo startInfo = new ProcessStartInfo(); startInfo.FileName = "notepad.exe"; startInfo.Arguments = "test.txt"; // 创建进程并返回进程句柄 Process process = new Process(); process.StartInfo = startInfo; bool success = CreateProcess( startInfo.FileName, startInfo.Arguments, IntPtr.Zero, IntPtr.Zero, false, 0, IntPtr.Zero, null, ref startupInfo, out PROCESS_INFORMATION processInfo); if (success) { process.Handle = processInfo.hProcess; process.Id = processInfo.dwProcessId; // 等待进程结束 process.WaitForExit(); } } // 声明 CreateProcess 方法 [DllImport("kernel32.dll", SetLastError = true, CharSet = CharSet.Unicode)] static extern bool CreateProcess( string lpApplicationName, string lpCommandLine, IntPtr lpProcessAttributes, IntPtr lpThreadAttributes, bool bInheritHandles, uint dwCreationFlags, IntPtr lpEnvironment, string lpCurrentDirectory, ref STARTUPINFO lpStartupInfo, out PROCESS_INFORMATION lpProcessInformation); // 定义 STARTUPINFO 结构体 [StructLayout(LayoutKind.Sequential, CharSet = CharSet.Unicode)] struct STARTUPINFO { public uint cb; public string lpReserved; public string lpDesktop; public string lpTitle; public uint dwX; public uint dwY; public uint dwXSize; public uint dwYSize; public uint dwXCountChars; public uint dwYCountChars; public uint dwFillAttribute; public uint dwFlags; public short wShowWindow; public short cbReserved2; public IntPtr lpReserved2; public IntPtr hStdInput; public IntPtr hStdOutput; public IntPtr hStdError; } // 定义 PROCESS_INFORMATION 结构体 [StructLayout(LayoutKind.Sequential)] struct PROCESS_INFORMATION { public IntPtr hProcess; public IntPtr hThread; public uint dwProcessId; public uint dwThreadId; } } } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值