Windows核心编程<读书笔记四之程序>显示系统中进程、线程、模块详细信息

最新推荐文章于 2022-04-05 21:39:08 发布
最新推荐文章于 2022-04-05 21:39:08 发布
阅读量1.6k 收藏
点赞数
分类专栏: Windows核心编程读书笔记 文章标签: windows 读书 编程 module thread null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuhailin1987/article/details/7006307
版权
 

【文起】豆子爱蟹儿,没有你,我不可能坚持不懈的去思考,为了我们的幸福奋斗

第四章的程序

1、        首先理解下面这个函数:

HANDLE CreateToolhelp32Snapshot( DWORD dwFlags,DWORD th32ProcessID)

dwFlags的取值如下:

u  TH32CS_INHERIT - 声明快照句柄是可继承的。

u  TH32CS_SNAPALL - 在快照中包含系统中所有的进程和线程。

u  TH32CS_SNAPHEAPLIST - 在快照中包含在th32ProcessID中指定的进程的所有的堆。

u  TH32CS_SNAPMODULE - 在快照中包含在th32ProcessID中指定的进程的所有的模块。

u  TH32CS_SNAPPROCESS - 在快照中包含系统中所有的进程。

u  TH32CS_SNAPTHREAD - 在快照中包含系统中所有的线程。

   th32ProcessID 取值为0,则认为取系统值。

如CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,0);

就是给系统中所有进程取快照,此时一种模块只会出现一次(可能很多进程调用了同一个模块,但是取出的模块只会有一个)

CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, th32ProcessID);

给进程ID为th32ProcessID 的进程取快照,此时会把该进程下所有的模块都会取出来。

2、 方法:

  2.1取出系统中所有进程,添加到CComBox中

void CProcessInformationDlg::GetProcessInfo()
{
	CComboBox *pBox = (CComboBox *)GetDlgItem(IDC_COMBO1);
	pBox->ResetContent();
	pBox->RedrawWindow(NULL,0,0);

	PROCESSENTRY32 pe32;
	pe32.dwSize = sizeof(pe32);

	HANDLE hProcessSnap = ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);

	if (INVALID_HANDLE_VALUE == hProcessSnap )
	{
		AfxMessageBox(_T("Call CreateToolhelp32Snapshot failed"));
	}
	BOOL bMore = Process32First(hProcessSnap,&pe32);
	while (bMore)
	{
		TCHAR sz[1024];
		PCTSTR pszExeFile = _tcsrchr(pe32.szExeFile,TEXT('\\'));
		if (NULL == pszExeFile)
		{
			pszExeFile = pe32.szExeFile;
		}
		else
		{
			pszExeFile++;
		}
		wsprintf(sz,TEXT("%s (0x%08x)"),pszExeFile,pe32.th32ProcessID);
		//int n = pBox->GetCount();
		pBox->AddString(sz);

		bMore = Process32Next(hProcessSnap,&pe32);
	}
	pBox->SetCurSel(0);
	GetProcessDetailInfo();

	CloseHandle(hProcessSnap);
}


2.2取出该进程的详细信息到CListBox中,包括进程名,进程ID;所调用的模块信息;包含的线程信息。

void CProcessInformationDlg::GetProcessDetailInfo()
{
	CString csProcess;
	DWORD dwProcessID;
         CListBox *plist = (CListBox*)GetDlgItem(IDC_LIST1);
	CComboBox *pBox = (CComboBox *)GetDlgItem(IDC_COMBO1);
	plist->ResetContent();

	int i = pBox->GetCurSel();
	if (-1 == i)
	{
		AfxMessageBox(_T("ERR"));
	}
	pBox->GetLBText(i,csProcess);
	/* 自己封装一个函数 */
	CStingToDword(csProcess,&dwProcessID);

	PROCESSENTRY32 pe32;
	pe32.th32ProcessID = dwProcessID;
	pe32.dwSize = sizeof(pe32);

	HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,dwProcessID);
	if (INVALID_HANDLE_VALUE == hSnap )
	{
		AfxMessageBox(_T("Call CreateToolhelp32Snapshot failed"));
	}

	BOOL bMore = Process32First(hSnap,&pe32);
	while (bMore)
	{
		if(dwProcessID == pe32.th32ProcessID )
		{
			TCHAR sz[1024];
			PCTSTR pszExeFile = pe32.szExeFile;
			wsprintf(sz,TEXT("FileName:%s\r\n"),pszExeFile);
			plist->AddString(sz);

			wsprintf(sz,TEXT("  PID = 0x%08x, ParentPID = 0x%08x, PriorityClass = %u, Thread = %u, Heaps = %u"),
				pe32.th32ProcessID,pe32.th32ParentProcessID,pe32.pcPriClassBase,pe32.cntThreads,pe32.th32DefaultHeapID);
			plist->AddString(sz);
			break;

		}
		else
		{
			bMore = Process32Next(hSnap,&pe32);
		}
	}
	plist->AddString(_T(""));
	plist->AddString(_T("Modules Information:"));
	plist->AddString(_T("Usage        BaseAddr(Image)                   Size          Module"));

	MODULEENTRY32 modle32;
	modle32.th32ProcessID = dwProcessID;
	modle32.dwSize = sizeof(modle32);
	hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,dwProcessID);
	if (INVALID_HANDLE_VALUE == hSnap )
	{
		AfxMessageBox(_T("Call CreateToolhelp32Snapshot failed"));
	}

	bMore = Module32First(hSnap,&modle32);
	while(bMore)
	{
		if (dwProcessID == modle32.th32ProcessID)
		{
			TCHAR sz[1024] = {0};
			wsprintf(sz,TEXT(" %5d        %p                   %8u          %s"),
				modle32.ProccntUsage,modle32.modBaseAddr,modle32.modBaseSize,modle32.szExePath);
			plist->AddString(sz);
		}
		bMore = Module32Next(hSnap,&modle32);
	}

	plist->AddString(_T(""));
	plist->AddString(_T("Thread Information:"));
	plist->AddString(_T("  TID                   Priority"));

	THREADENTRY32 th32;
	th32.th32OwnerProcessID = dwProcessID;
	th32.dwSize = sizeof(th32);
	hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD,dwProcessID);
	if (INVALID_HANDLE_VALUE == hSnap)
	{
		AfxMessageBox(_T("Call CreateToolhelp32Snapshot failed"));
	}

	bMore = Thread32First(hSnap,&th32);
	while(bMore)
	{
		if (dwProcessID == th32.th32OwnerProcessID)
		{
			TCHAR sz[1024] = {0};
			wsprintf(sz,TEXT("  0x%08x       %u"),
				th32.th32ThreadID,th32.tpBasePri);
			plist->AddString(sz);
		}
		bMore = Thread32Next(hSnap,&th32);
	}

	CloseHandle(hSnap);
}


2.3点击module的Menu,将module信息显示到CCombox中

void CProcessInformationDlg::GetModuleInfo()
{
	
	CComboBox *pBox = (CComboBox *)GetDlgItem(IDC_COMBO1);
	pBox->ResetContent();
	pBox->RedrawWindow(NULL,0);

	MODULEENTRY32 module32;
	module32.dwSize = sizeof(module32);

	HANDLE hModuleSnap = ::CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,0);

	if (INVALID_HANDLE_VALUE == hModuleSnap)
	{
		AfxMessageBox(_T("Call CreateToolhelp32Snapshot failed"));
	}
	BOOL bModule = Module32First(hModuleSnap,&module32);
	while (bModule)
	{
		TCHAR sz[1024];
		wsprintf(sz,TEXT("%s"),module32.szModule);
		pBox->AddString(sz);

		bModule = Module32Next(hModuleSnap,&module32);

	}
	pBox->SetCurSel(0);
	GetModuleDetailInfo();
	CloseHandle(hModuleSnap);
	
}


2.4 将模块详细信息写入CListBox中,包含调用该模块的process信息

这个函数有一个需要注意的地方。我们寻找调用模块的进程信息时,只能把系统中所有进程轮询,然后将每一个进程ID传入,快照出其模块信息,再去比对模块的szModule。

无法直接根据模块信息去找出调用其进程的方法。此点难住我很久,希望对你有用。

void CProcessInformationDlg::GetModuleDetailInfo()
{
	WCHAR lpsz[256] = {0};
	CListBox *plist = (CListBox *)GetDlgItem(IDC_LIST1);
	plist->ResetContent();

	CComboBox *pcom = (CComboBox *)GetDlgItem(IDC_COMBO1);
	int i = pcom->GetCurSel();
	pcom->GetLBText(i,lpsz);

	MODULEENTRY32 module32;
	module32.dwSize = sizeof(module32);
	HANDLE hModuleSnap = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,0);
	if (INVALID_HANDLE_VALUE == hModuleSnap)
	{
		AfxMessageBox(_T("Call CreateToolhelp32Snapshot failed"));
	}
	BOOL bMore = Module32First(hModuleSnap,&module32);
	while (bMore)
	{
		if (0 == _tcscmp(lpsz,module32.szModule))
		{
			WCHAR sz[1024] = {0};
			wsprintf(sz,TEXT("PathName:%s"),module32.szExePath);
			_tcscpy(lpsz,module32.szExePath);
			plist->AddString(sz);
			break;
		}
		bMore = Module32Next(hModuleSnap,&module32);
	}

	plist->AddString(_T("Process Information:"));
	plist->AddString(_T("    PID                   BaseAddr                  Process"));
	
	PROCESSENTRY32 pe32;
	pe32.dwSize = sizeof(pe32);
	HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
	if (INVALID_HANDLE_VALUE == hProcessSnap)
	{
		AfxMessageBox(_T("Call CreateToolhelp32Snapshot failed"));
	}
	BOOL bMoreProcess = Process32First(hProcessSnap,&pe32);
	while (bMoreProcess)
	{
		MODULEENTRY32 md32;
		md32.dwSize = sizeof(md32);
		md32.th32ProcessID = pe32.th32ProcessID;
		HANDLE hMdSnap = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,pe32.th32ProcessID);
		bMore = Module32First(hMdSnap,&md32);
		while(bMore)
		{
			if (0 == _tcscmp(lpsz,md32.szExePath) )
			{
				WCHAR wsz[1024] = {0};
				wsprintf(wsz,TEXT("    0x%8d                   %p                  %s"),
					pe32.th32ProcessID,md32.modBaseAddr,pe32.szExeFile);
				plist->AddString(wsz);
			}
			bMore = Module32Next(hMdSnap,&md32);
		}
		CloseHandle(hMdSnap);
		bMoreProcess = Process32Next(hProcessSnap,&pe32);
	}
	CloseHandle(hProcessSnap);
	CloseHandle(hModuleSnap);
}


3、至此完成书上所说例子,能详细显示出系统中进程、线程、模块的信息。

 

【文尾】

如果文章对您有帮助,请留下对我和蟹儿的祝福。如果需要源代码,请留下对我和蟹儿的祝福以及您的邮箱,我会在第一时间将源代码发至您邮箱。

豆浆爱蟹蟹
关注
专栏目录
Windows核心编程》若干知识点实战应用分享
dvlinker的技术专栏
01-21 3万+
Windows核心编程》若干知识点应用实践分享,希望大家能够仔细研读,在提升理论知识水平的同时,也能有效地提高分析解决问题的技能。
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入)
热门推荐
杨秀璋的专栏
06-25 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入、APC注入,案例包括键盘钩子、计算器远线程注入实现、APC注入等,希望对您有所帮助。
操作系统——进程线程知识点总结
m0_47014744的博客
09-10 224
进程 进程的定义 程序就是一个指令序列,早期计算机只支持单道程序 引入多道程序技术后,为了方便操作系统管理,完成程序的并发执行,引入了进程进程实体的概念 传统定义:进程程序的一次执行过程(动态) 新定义:进程进程实体的运行过程,是系统进行资源分配和调度的一个独立单位 进程的组成 程序段,数据段,PCB(进程控制块)三部分组成了进程实体(简称进程,也叫进程映像),其,PCB是进程存在的唯一标准! 程序段:存放要执行的代码 数据段:运算时使用产生的运算数据 PCB:操作系统通过PCB管理进程进程
windows核心编程进程&线程
miraclewgf的博客
07-19 482
在前一章总结内核对象时提到过进程内核对象和线程内核对象,但是对进程线程以及进程内核对象和线程内核对象在其的意义还不是很清楚,下面就详细说说进程线程进程内核对象和线程内核对象,进程进程内核对象,线程线程内核对象之间的千丝万缕的联系。   在开始之前,提出两个面试经常遇到的简单问题:(1)进程线程的联系和区别 (2)在多线程编程为什么要考虑同步互斥操作?两个问题的解答在本章最后给出
系统进程的查看方式及命令
yangkaiorange的博客
07-25 3405
进程就是系统未完成并且正在进行的工作 #查看进程 1)图形方式查看 gnome-system-monitor 2)进程查看命令 ps     -A    ##所有进程         -a    ##在当前环境运行的进程,不包函环境信息         -u    ##显示进程用户信息          a    ##在当前环境运行的进程          x    ##列出系统...
Windows内核原理与实现--Windows进程线程基本概念(1)
XboxMicro
04-17 1441
操作系统需要做的事情是:维护一个全局的进程表,记录下当前有哪些进程正在被执行,把时间分成适当的片段
Windows内核之线程简介
eskimoer的专栏
05-26 2317
1 线程定义 内核对象,操作系统用它来对线程实施管理。内核对象也是系统用来存放线程统计信息的地方 另一个是线程堆栈,它用于维护线程在执行代码时需要的所有函数参数和局部变量. 2 线程进程的区别 进程是不活泼的。进程从来不执行任何东西,它只是线程的容器。 线程在它的进程地址空间执行代码,并且在进程的地址空间对数据进行操作。 线程共享进程的地址控件 线程只有一个内核对象和一个堆栈
Python非常详细编程笔记.zip_python 详细笔记_python编程
09-19
Python是一种广泛使用的高级编程语言,以其易读性、简洁的语法和强大的功能而闻名。这份“Python非常详细编程笔记”涵盖了Python的基础到进阶...这份“Python非常详细编程笔记.pdf”无疑是学习过程的一份宝贵资料。
【操作系统】第六话·线程进程的(宝ᴗ宝)嘛?
kikokingの比特宇宙
04-05 9649
从今天开始,我们将要开启一个新的系列【闪耀计划】,没错!这是今年上半年的一整个系列计划!本专题目的是通过百天刷题计划,通过题目和知识点串联的方式,完成对计算机操作系统的复习和巩固;同时还配有专门的笔记总结和文档教程哦!想要搞定,搞透计算机操作系统的同学,本专栏将会通过模块化的分类,刷够1000道题,为大家提供点对点的考点相关知识轰炸!值得注意的是,本专栏将会通过教程+课后习题的方式来进行巩固教学,课后习题的题量也是算入总题数的哦!
Windows程序设计读书笔记(合集)
03-17
Windows程序设计读书笔记(合集)】 在深入学习Windows程序设计的过程,了解并掌握基本概念、编程模型以及API调用是至关重要的。本合集笔记涵盖了这些关键知识点,旨在帮助开发者更好地理解和应用Windows程序设计...
第12章 系统进程信息
Lucius的专栏
10-20 302
在本章,将介绍访问各种系统进程信息的方法。本章的主要重点是讨论 /proc 文件系统。还将阐述uname()系统调用,用于获取各种系统标识符。 12.1 The /proc 文件系统 在旧的UNIX实现,一般没有简单的方法通过查看分析(或者改变)内核的属性来回答以下问题: 系统有多少个正在运行的进程,这些进程的所属者是谁? 进程打开了哪些文件? 哪些文件当前是锁住的,哪些进程持有这些锁?...
windows核心编程
03-06
SDK软件开发工具包(Software Development Kit, SDK)一般是一些被软件工程师用于为特定的软件包、软件框架、硬件平台、作业系统等创建应用软件的开发工具的集合.MFCMFC是一套框架它是微软提供的, 用于在C++环境下编写用于程序的一个框架和引擎它可以说是 WinAPI 和 C++ 结合后的再一次封装它属于应用程序框架Windows API……
WINDOWS核心编程——进程和作业
pokeyode的专栏
07-06 942
要理解进程首先要厘清下概念。进程程序可执行文件在系统运行的实例。进程是被系统所管理的资源的集合,cpu计算资源也是一种资源被用于执行代码所生成的指令,cpu执行指令流的最小单位就是线程,一个进程必然含有一个线程。 main函数被称为入口函数,指定了进程进入我们所设计的流程位置,即当指令流执行到main函数代码所生成的指令时就进入到我们(用代码)设计的流程。故main函数被称为入口函数而非
windows核心编程系列 》六谈谈线程调度、优先级和关联性
系统运维
10-08 335
http://blog.csdn.net/ithzhang/article/details/8046723转载请注明出处! 线程调度、优先级和关联性 每个线程都有一个CONTEXT结构,保存在线程内核对象。大约每隔20mswindows就会查看所有当前存在的线程内核对象。并在可调度的线程内核对象选择一个,将其保存在CONTEXT结构的值载入cpu寄存器。这被称为上下文切换。大约又过...
操作系统进程线程有什么关系呢?
一个不爱说话的程序员
01-15 646
线程具有许多传统进程所具有的特征,故又称为轻量级进程( Light-Weight Process)或进程元;而把传统的进程称为重量级进程( Heavy- Weight Process),它相当于只有一个线程的任务。在引入了线程的操作系统,通常一个进程都有若干个线程,至少也需要有一个线程。下面,我们从调度、并发性、系统开销、拥有资源等主要方面来对线程进程进行比较。 1.调度 在传统的操作系统...
加载exe的PE信息并输出相关PE信息的一段c++代码
weixin_34245169的博客
11-29 199
今天看了下关于windows平台的PE结构,然后通过C++写了一个简单的加载PE信息的程序,只加载了DOS头、NT头、以及节点的信息,以后补上关于加载输出表、输入表的相关代码,详细代码如下: #include <iostream> #include <string> #include <Windows.h> using name...
进程控制块包含的信息
斜阳雨陌
02-13 1万+
进程控制块包含三类信息  1.标识信息。 用于唯一地标识一个进程,常常分由用户使用的外部标识符和被系统使用的内部标识号。几乎所有操作系统进程都被赋予一个唯一的、内部使用的数值型的进程号,操作系统的其他控制表可以通过进程号来交叉引用进程控制表。常用的标识信息包括进程标识符、父进程的标识符、用户进程名、用户组名等。  2.现场信息。 用于保留一个进程在运行时存放在处理器现场的各种信息,任何
Linux系统进程显示信息
qq_45225437的博客
02-01 566
一、ps命令显示信息 字段 含义 USER 用户名称 PID 进程id %CPU cpu用量百分比 %MEM 内存用量百分比 VSZ 占用虚拟内存大小 RSS 常驻内存集大小 TTY 字符终端 STAT 进程状态 START 运行时间 TIME 占用cpu时间 COMMAND 进程名称 二、top显示信息 前五行统计信息详解
windows进程线程
u012252959的博客
04-19 2167
 在讨论windows下的进程线程时,我们先回顾下通用操作系统进程线程。之所以称之为通用是因为一贯的本科或者其他教材都是这么说的: 1、进程系统分配资源的最小单位。 2、线程是处理器调度的最小单位。 3、一个进程可以包含很多线程,且这些线程共享进程内的所有资源。 然后又有大致三种线程模型:进程模型、用户级线程、内核级线程,三种模型如图所示 把线程模型按严格意义上的划分就
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值