“进程监控器”小工具的编写(包含整个项目源码)

最新推荐文章于 2021-02-28 18:47:19 发布
最新推荐文章于 2021-02-28 18:47:19 发布
阅读量953 收藏
点赞数
分类专栏: Delphi Windows API函数 文章标签: Delphi 进程快照 运行进程 API函数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yufang5780642/article/details/11260917
版权

“进程监控器”小工具的编写(包含整个项目源码)

一.思路

         1.1【起因】:写的采集驱动在测试的时候发现,由于频繁通讯、数据量有些大,所以偶尔驱动会死掉,造成一段时间数据没采集到。所以打算写一个“进程监控器”,定时扫描驱动的情况,如果驱动没有运行则让驱动运行。

         1.2【思路】:先从配置文件读取需要监控程序的信息,进程监控器运行时定时扫描驱动的情况,如果驱动没有运行则让驱动运行。

         进程监控器写好后运行起来并拖到服务器的开机启动中,这样以后就可以避免驱动死掉,而数据没有采集了。

二.知识点讲解

 

         2.1【知识点】:1.INI文件数据的读取;

                               2.用一个Timer组件,利用进程快照遍历被监控的进程是否运行,没有的话,运行进程;

         2.2【知识点讲解】

2.2.1   delphi中如何让主窗体在程序运行之初不显示

无法实现的操作:

1oncreate事件中设置visible属性或调用hide方法

2onshow事件中设置visible属性或调用hide方法

3、对象观察器中设置visible属性

即设置主窗体的事件或属性都不能实现功能。

 

可实现的操作:

procedure TForm1.FormCreate(Sender: TObject);

begin

Application.ShowMainForm:=False; //放在工程里也可以

end;

 

2.2.2   利用进程快照查找进程

         从配置文件中智能读到进程的名称,需要查找它的运行情况,利用API函数CreateToolhelp32Snapshot(),建立进程快照,再用Process32First()Process32Next()遍历,找到进程。

        

//名称:FindProcessFromName

//功能:用进程名称找到进程ID

//参数:可执行文件名称

//返回:若该可执行文件在运行,返回进程ID

//       若该可执行文件没有运行则返回0

function TForm1.FindProcessFromName(name: string ): DWORD;//name为你要终止的进程的名称,Win9X则需包括路径

var

  pe : TPROCESSENTRY32;//定义一个PROCESSENTRY32结类型的变量

  hShot : THANDLE;

  ProcessID : DWORD;

begin

  ProcessID := 0;

  Result := ProcessID;

  hShot := CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);// 创建快照句柄

  pe.dwSize := sizeof(TPROCESSENTRY32);//一定要先为dwSize赋值

  if (Process32First(hShot,pe)) then

  begin

    repeat

      if pe.szExeFile = name then //判断此进程是否为你要终止的进程

      begin

        ProcessID   :=   pe.th32ProcessID;

        Result := ProcessID;

        Break;

      end;

    until(not(Process32Next(hShot, pe)));

  end;

  CloseHandle(hShot);           //最后别忘记Close

end;

 

2.2.3   运行进程

         有三个API函数可以运行可执行文件WinExecShellExecuteCreateProcess

(1).CreateProcess因为使用复杂,比较少用。

(2).WinExec主要运行EXE文件。如:WinExec(Notepad.exe Readme.txt, SW_SHOW); (3).ShellExecute不仅可以运行EXE文件,也可以运行已经关联的文件。

我们这里用WinExecShellExecute都可以:

WinExec(PAnsiChar(ProcessInfo[i].PrcoessPath), SW_RESTORE);      //WinExec也可以实现

  ShellExecute(0,'Open', PAnsiChar(ProcessInfo[i].PrcoessPath), nil, nil, SW_RESTORE);

 

三.源码

         3.1INI文件】

文件内容如下:

[监视进程配置]

扫描周期()=10

进程数量=2

程序运行周期(分钟)1=0

进程名称1=串口调试助手V2.2.exe

程序运行路径1=D:\串口调试助手V2.2.exe

程序运行周期(分钟)2=0

进程名称2=sscom32.exe

程序运行路径2=D:\sscom32.exe

 

         3.2【数据定义】

新建CustomDef.pas来定义数据类型。

 

unit CustomDef;

 

interface

 

type TProjectInfo= record

  ProcessNum: integer;                //进程数量

  Monitorcycle: integer;              //扫描周期()

end;

 

 

type TProcessInfo= record

  IsUse : Boolean;

  ProcessCycle : integer;            //程序运行周期(分钟)

  ProcessName : string;         //进程名称

  PrcoessPath : string;         //程序运行路径

end;

 

implementation

 

end.

 

         3.3【窗口界面】

         3.4Delphi源码】

unit Main;

 

interface

 

uses

  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,

  Dialogs, CustomDef, ExtCtrls,

  tlhelp32,

  shellapi;

 

type

  TForm1 = class(TForm)

    tmr1: TTimer;

    procedure FormCreate(Sender: TObject);

    procedure GetInitPara(Filename: string);

    procedure tmr1Timer(Sender: TObject);

  private

    { Private declarations }

    function FindProcessFromName(name: string ): DWORD;

  public

    { Public declarations }

    ProDirPath: string;

    ProjectInfo: TProjectInfo;

    ProcessInfo: array of TProcessInfo;

  end;

 

var

  Form1: TForm1;

 

implementation

 

{$R *.dfm}

 

uses IniFiles;

 

procedure TForm1.FormCreate(Sender: TObject);

begin

  GetInitPara('Monitor.ini');

 

  tmr1Timer(nil);

 

  tmr1.Interval := ProjectInfo.Monitorcycle * 1000;

  tmr1.Enabled := True;

 

  Application.ShowMainForm := False;

end;

 

//名称:GetInitPara

//功能:获取系统初始化参数函数

//参数:Filename 配置文件名称

//返回:无

procedure TForm1.GetInitPara(Filename: string);

var

  IniFile:TInifile;

  i: integer;

  tempProcessCycle,tempProcessName,tempPrcoessPath: string;

begin

  ProDirPath:=ExtractFilePath(Application.ExeName);

  if FileExists(ProDirPath + Filename) then

  begin

    IniFile:=TiniFile.Create(ProDirPath+Filename);              //IniFile全路径

 

    ProjectInfo.ProcessNum:=IniFile.ReadInteger('监视进程配置','进程数量',0);

    ProjectInfo.Monitorcycle:=IniFile.ReadInteger('监视进程配置','扫描周期()',10);

 

    SetLength(ProcessInfo, ProjectInfo.ProcessNum);

 

    for I := 0 to ProjectInfo.ProcessNum - 1 do

    begin

      tempProcessCycle:='程序运行周期(分钟)' + InttoStr(i+1);

      tempProcessName:='进程名称' + InttoStr(i+1);

      tempPrcoessPath:='程序运行路径' + InttoStr(i+1);

 

      ProcessInfo[i].ProcessCycle := IniFile.ReadInteger('监视进程配置',tempProcessCycle,0);

      ProcessInfo[i].ProcessName := IniFile.ReadString('监视进程配置',tempProcessName,'');

      ProcessInfo[i].PrcoessPath := IniFile.ReadString('监视进程配置',tempPrcoessPath,'');

 

      if (ProcessInfo[i].ProcessName<>'') and (ProcessInfo[i].PrcoessPath<>'') then

        ProcessInfo[i].IsUse := True;

    end;

    IniFile.Free;

  end

  else

  begin

    showmessage('[报错:]"'+ProDirPath+'"路径下找不到文件"'+Filename+'",程序无法初始化!');

    Exit;

  end;

end;

 

//功能:定时器1定时响应

procedure TForm1.tmr1Timer(Sender: TObject);

var

  i: integer;

  ProID: DWORD;

begin

  GetInitPara('Monitor.ini');

  tmr1.Enabled := False;

  tmr1.Interval := ProjectInfo.Monitorcycle * 1000;

  tmr1.Enabled := True;

 

  for I := 0 to ProjectInfo.ProcessNum - 1 do

  begin

    ProID := FindProcessFromName(ProcessInfo[i].ProcessName);

    if ProID=0 then

    begin

//      WinExec(PAnsiChar(ProcessInfo[i].PrcoessPath), SW_RESTORE);      //WinExec也可以实现

      ShellExecute(0,'Open', PAnsiChar(ProcessInfo[i].PrcoessPath), nil, nil, SW_RESTORE);

    end;

  end;

end;

 

//名称:FindProcessFromName

//功能:用进程名称找到进程ID

//参数:可执行文件名称

//返回:若该可执行文件在运行,返回进程ID

//       若该可执行文件没有运行则返回0

function TForm1.FindProcessFromName(name: string ): DWORD;//name为你要终止的进程的名称,Win9X则需包括路径

var

  pe : TPROCESSENTRY32;//定义一个PROCESSENTRY32结类型的变量

  hShot : THANDLE;

  ProcessID : DWORD;

begin

  ProcessID := 0;

  Result := ProcessID;

  hShot := CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);// 创建快照句柄

  pe.dwSize := sizeof(TPROCESSENTRY32);//一定要先为dwSize赋值

  if (Process32First(hShot,pe)) then

  begin

    repeat

      if pe.szExeFile = name then //判断此进程是否为你要终止的进程

      begin

        ProcessID   :=   pe.th32ProcessID;

        Result := ProcessID;

        Break;

      end;

    until(not(Process32Next(hShot, pe)));

  end;

  CloseHandle(hShot);           //最后别忘记Close

end;

 

end.

 

 

 

 

 

 

 

 

 

 

FC_梦想
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
进程监控代码
11-03
进程监控代码进程监控代码
process monitor 进程监测工具
12-29
可以监测进程,计算机安全人员必备的工具. Process Monitor is an advanced monitoring tool for Windows that shows real-time file system, Registry and process/thread activity. It combines the features of two legacy Sysinternals utilities, Filemon and Regmon, and adds an extensive list of enhancements including rich and non-destructive filtering, comprehensive event properties such session IDs and user names, reliable process information, full thread stacks with integrated symbol support for each operation, simultaneous logging to a file, and much more. Its uniquely powerful features will make Process Monitor a core utility in your system troubleshooting and malware hunting toolkit.
进程函数监控项目
walker的博客
02-28 281
简介 该项目的目的是向特定进程中注入DLL,实现对目标进程中的特定函数进行监控,可以实现的特定函数的Hook(获取该函数的参数,不影响该函数的正常执行)、以及远程调用。 该项目进程间通信是通过 DLL 共享节实现的。 该项目存在的缺点: 无法直接通过 DLL 中的函数获取被注入进程中的自定义函数地址(程序编写者自己写的函数地址),只能使用地址数值进行 InlineHook 和远程调用。 IATHook、InlineHooK、远程函数调用,由于无法知道函数的参数个数和类型,只能对特定函数进行Hook,
c语言编写进程监控器
07-18
运行在linux下的进程监控器软件,只有一页的代码,自己编写用来提高水平的,轻拍...
Windows进程提取与监测软件的设计与实现
03-09
这是我大四时的毕业设计,用VC++ 6.0 做的基于MFC的Windows进程提取与管理的软件码,软件包括当前任务的管理,进程、线程、模块的管理,CPU、内存信息的显示与管理。
实时监控某一个进程
09-27
此代码可以实时监控某一个进程,当某一个进程启动时,它可以提示,退出时,它也立即提示!
利用WMI对象实现进程监控.zip易语言项目例子码下载
03-22
在本项目"利用WMI对象实现进程监控"中,我们将探讨如何使用易语言来通过Windows Management Instrumentation(WMI)技术进行系统监控,特别是对进程的监控。 **WMI是什么?** WMI是微软提供的一个标准接口,允许...
易语言进程查看器.zip易语言项目例子码下载
03-24
这个"易语言进程查看器.zip"是一个易语言项目码示例,它提供了查看系统进程中运行程序的功能。通过分析这个项目码,我们可以学习到易语言在处理系统级信息和用户界面设计方面的应用。 首先,我们要了解...
爬虫脚本项目码-简单计时器
02-27
在压缩包的文件列表中,"爬虫脚本项目码-简单计时器"很可能是包含所有代码的文件夹。解压后,我们可以通过阅读码了解具体的实现细节,包括计时器是如何工作的,以及爬虫是如何设计和执行的。这将是一个很好的...
易语言枚举隐藏进程码.zip易语言项目例子码下载
03-24
"易语言枚举隐藏进程码.zip" 是一个包含易语言项目的压缩包,提供了关于如何在易语言中枚举和处理隐藏进程代码示例。 首先,我们要理解什么是“枚举”。“枚举”在编程中通常指遍历或列出系统中的某个特定...
基于Hook进程监控的设计与实现
02-22
本文在分析钩子的工作原理和使用钩子的关键技术点基础上,利用Windows 提供的消息钩子函数设计并实现了一个进程监控程序,分析了程序的实现过程,给出了程序的监控效果及不足之处。
Process Monitor代码
06-14
c++语言编译的进程监控 含有技术有 钩子技术 内核函数
自己编的SNMP网络监控的软件
08-12
一款很不错的snmp协议的网络监控软件,对学习snmp的朋友很有帮助呵
进程监控驱动,
04-01
进程监控驱动,码。简单的注册进程创建回调示例。
window内核监控工具代码
09-26
一:SSDT表的hook检测和恢复 ~!~~~ 二:IDT表的hook检测和恢复 ~~~~~~(idt多处理器的恢复没处理,自己机器是单核的,没得搞,不过多核的列举可以) 三:系统加载驱动模块的检测 通过使用一个全局hash表(以DRIVEROBJECT为对象)来使用以下的方法来存储得到的结果,最终显示出来 1.常规的ZwQuerySystemInformation来列举 2通过打开驱动对象目录来列举 3搜索内核空间匹配驱动的特征来列举(这个功能里面我自己的主机一运行就死机,别的机器都没事,手动设置热键来蓝屏都不行,没dump没法分析,哎,郁闷) 4从本驱动的Modulelist开始遍历来列举驱动 四:进程的列举和进程所加载的dll检测 采用以下方法来列举进程: 1ZwQuerySystemInformation参数SystemProcessesAndThreadsInformation来枚举 2进程EPROCESS 结构的Activelist遍历来枚举 3通过解析句柄表来枚举进程 4通过Handletablelisthead枚举进程 5进程创建时都会向csrss来注册,从这个进程里面句柄表来枚举进程 6通过自身进程的HANDLETABLE来枚举进程 7通过EPROCESS的SessionProcessLinks来枚举进程 8通过EPROCESS ---VM---WorkingSetExpansionLinks获取进程 9暴力搜索内存MmSystemRangeStart以上查找PROCESS对象 进程操作: 进程的唤醒和暂停通过获取PsSuspendProcess和PsResumeProcess来操作的 进程结束通过进程空间清0和插入apc。 采用以下方法查找DLL: 1遍历VAD来查找dll 2挂靠到对应的进程查找InLoadOrderLinks来枚举dll 3暴力搜索对应进程空间查找pe特征来枚举dll DLL的操作: Dll的卸载是通过MmUnmapViewOfSection和MmmapViewOfSection(从sdt表中相应函数搜索到的)来实现的(本来想直接清0 dll空间,有时行有时不行)(只要将这个进程的ntdll卸载了,进程就结束了,一个好的杀进程的办法撒,绿色环保无污染),注入dll使用的是插入apc实现的。(注入的dll必须是realse版的。Debug版会出现***错误,全局dll注入貌似也是)插入apc效果不是很好,要有线程有告警状态才执行。 五:线程信息的检测 遍历ThreadList来枚举线程 线程的暂停和唤醒都是通过反汇编获取PsResumeThread和PsSuspendThread直接从r3传来ETHREAD来操作的,通过插入APC来结束线程 六:shadow sdt表的hook检测与恢复 没有采用pdb来解决函数名问题,直接写入xp和03的shandow表函数名(主要是自己的网不稳定,连windbg有时都连不上微软) 七:系统所有的过滤驱动的检测 查看各device下是否挂接有驱动之类的,可直接卸载 八:系统常用回调历程的检测和清除 只检查了PsSetLoadImageNotifyRoutine PsSetCreateThreadNotifyRoutine PsSetCreateProcessNotifyRoutine CmRegisterCallback这几个,至于那个什么shutdown回调不知道是啥玩意,就没搞了,有知道的顺便告诉我下撒,谢谢 九:文件系统fat和ntfs的分发函数检测 直接反汇编fat和ntfs的DriverEntry得到对应的填充分发的偏移,然后和当前已经运行的文件系统的分发相比是否被hook,并附带恢复 十:文件查看功能 自己解析ntfs和fat的结构,来实现列举文件和直接写磁盘删除。附带有普通的删除和发生IRP来删除。不过这里面有点问题,ntfs删除有时把目录给搞坏了,大家凑合着吧, Ntfs网上删除这些操作的代码不多,就是sudami大大的利用ntfs-3g来实现的,看了下,太多了,充满了结构。然后自己对照着系统删除文件时目录的变化来自己实现的。只处理了$BITMAP对应的位清除,父目录的对应文件的索引项的覆盖,删除文件对应的filerecord清0. 另外偷懒时间都没处理,呵呵,y的,一个破时间都都搞好几个字节移来移去的。 十一:常用内核模块钩子的检测和恢复 这里只检测了主要的内核模块nkrnlpa**.exe的.win32k.sys,hal.dll,比对它们的原始文件从而查找eat inline hook,iat hook ,和inline hook。Inline是从TEXT段开始一段位置开始比较的。(有点慢貌似,等待显示扫描完成就好了) 十二:应用层进程所加载dll的钩子 应用层钩子检测和内核模块钩子检测原理一样,不过为了能读写别的进程的空间,并没有使用openprocess去打开进程,而是通过KiattachProcess挂靠到当前进程,然后通过在r0直接读写进程空间的。
易语言内存查看器码.zip易语言项目例子码下载
03-24
本篇将围绕“易语言内存查看器码”展开,探讨其核心原理、实现方式以及学习方法,以供个人技术提升、学生毕业设计和小团队项目开发参考。 内存查看器是程序员进行程序调试和分析的重要工具,它可以实时监控程序...
监视指定进程执行的监视狗(系统服务)代码
12-14
这个程序之所以称之为监视狗,就是因为,它可以监视你指定的应用程序的执行情况。该程序作为一个系统服务,会在系统启动的时候自动运行,然后负责,启动已经配置好的执行程序。如果被执行的程序在中途被关闭或者运行不正确,监视狗会自动开启另外一个同样的应用程序。
开机自启动,进程监视和保护程序(附码)
09-02
可用于开机自启动和设定某进程在停止多长时间后自动重新启动。特别适用于需要长期运行的程序,若遇到非法关闭后,可自行重新启动。 附上delphi码,可用于学习,实际工程中也很有用途。
系统或进程监控工具monit
小小收藏家
07-14 1746
monit是一款功能强大的系统状态、进程、文件、目录和设备的监控软件,它可以自动重启那些已经挂掉的程序,非常适合监控系统关键的进程和资,如:nginx、apache、mysql和cpu占有率等。    monit安装之后,可以在/etc目录下找到配置文件,monit主要配置如下: ########################################################
给linux中etl的进程加监控使用哪个工具比较好
最新发布
05-18
在 Linux 中监控进程工具有很多,以下是一些常用的工具: 1. top:可以实时监控系统的运行状态,包括 CPU 使用率、内存使用率、进程等。 2. htop:与 top 类似,但提供更丰富的功能和可视化界面。 3. ps:可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值