[Win32] ToolHelp API 和 进程API 详解

最新推荐文章于 2024-09-16 12:18:09 发布
最新推荐文章于 2024-09-16 12:18:09 发布
阅读量4.8k 收藏 8
点赞数
分类专栏: Win32SDK 文章标签: win32 windows api
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zuishikonghuan/article/details/47720803
版权
本文详细介绍了Windows中的ToolHelp API和进程API,包括如何使用CreateToolhelp32Snapshot创建进程快照,Process32First获取进程信息,以及如何利用TerminateProcess结束进程。此外,还探讨了进程API中的其他关键函数和注意事项。
摘要由CSDN通过智能技术生成
 本博文由CSDN博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处:http://blog.csdn.net/zuishikonghuan/article/details/47720803

一:ToolHelp API

MSDN:https://msdn.microsoft.com/en-us/library/ms686832(VS.85).aspx

关于Toolhelp API,MSDN是这样解释的:

The functions provided by the tool help library make it easier for you to obtain information about currently executing applications. These functions are designed to streamline the creation of tools.

提供的工具帮助库的功能方便您可以获取有关当前正在执行的应用程序的信息。这些功能旨在简化创建工具。

其实,ToolHelp API就是用于枚举进程,枚举模块,获取进程和模块信息的工具API。

1。CreateToolhelp32Snapshot

HANDLE WINAPI CreateToolhelp32Snapshot(
  _In_ DWORD dwFlags,
  _In_ DWORD th32ProcessID
);

创建进程快照

dwFlags:

TH32CS_INHERIT:指示是可继承的快照句柄。

TH32CS_SNAPALL:包括所有进程和线程,再加上堆的 th32ProcessID 中指定的进程和模块。等效于指定 TH32CS_SNAPHEAPLIST,TH32CS_SNAPMODULE,TH32CS_SNAPPROCESS 和 TH32CS_SNAPTHREAD 的值组合使用或运算 (|)。

TH32CS_SNAPHEAPLIST:包括所有堆的快照中的 th32ProcessID 中指定的进程。若要枚举的堆,请参阅 Heap32ListFirst。

TH32CS_SNAPMODULE:包括所有模块的快照中的 th32ProcessID 中指定的进程。若要枚举模块,请参阅 Module32First。如果函数失败与 ERROR_BAD_LENGTH,重试功能,直到成功为止。
64 位 Windows: 在 32 位进程中使用此标志,而在 64 位进程中使用 64 位的进程。若要包括 64 位进程从 th32ProcessID 中指定的进程的 32 位模块,请使用 TH32CS_SNAPMODULE32 标志。

TH32CS_SNAPMODULE32:包括所有的 32 位模块的 th32ProcessID 在快照时从 64 位进程调用中指定的进程。此标志可以结合 TH32CS_SNAPMODULE 或 TH32CS_SNAPALL。如果函数失败与 ERROR_BAD_LENGTH,重试功能,直到成功为止。

TH32CS_SNAPPROCESS:包含在快照中系统中的所有进程。若要枚举的进程,请参阅 Process32First。

TH32CS_SNAPTHREAD:包含在快照中系统中的所有线程。若要枚举的线程,请参阅 Thread32First。若要标识属于特定进程的线程,线程进行枚举时比较 THREADENTRY32 结构的 th32OwnerProcessID 成员及其进程标识符。

th32ProcessID:

要包含在快照中的进程的进程标识符。这个参数可以是零,以表明当前进程。当指定的 TH32CS_SNAPHEAPLIST、 TH32CS_SNAPMODULE、 TH32CS_SNAPMODULE32 或 TH32CS_SNAPALL 的值,将使用此参数。否则为它将被忽略,所有流程都包含在快照中。

如果指定的进程是空闲进程或 CSRSS 之一处理,此函数将失败和最后的错误代码是 ERROR_ACCESS_DENIED,因为它们的访问限制阻止用户级代码打开它们。

如果指定的进程是一个 64 位的过程和调用方是 32 位的进程,此函数将失败和最后的错误代码是 ERROR_PARTIAL_COPY (299)。

返回值:如果此函数成功,它返回一个打开句柄到指定快照。如果函数失败,则返回 INVALID_HANDLE_VALUE

简单解释:如果你想枚举进程,dwFlags用TH32CS_SNAPPROCESS,此时th32ProcessID会被忽略,要枚举模块,用TH32CS_SNAPMODULE(64位程序枚举32位进程的模块时用TH32CS_SNAPMODULE32),枚举模块时th32ProcessID表示进程ID

2。Process32First

BOOL WINAPI Process32First(
  _In_    HANDLE           hSnapshot,
  _Inout_ LPPROCESSENTRY32 lppe
);

获取进程快照中的第一个进程信息

hSnapshot:调用 CreateToolhelp32

最低0.47元/天 解锁文章
zuishikonghuan
关注
专栏目录
Win32 - 进程相关API
stmlg的博客
05-13 446
进程相关API 1.PID 与 句柄 上节课,我们知道. 每一个进程 都有自己的 私有的一张 句柄表. ​ 然而我们的操作系统(Windows)也有一张句柄表 , 叫做全局句柄表 这张表 包含了所有的进程 线程 事件 等 接下来分析 我们创建子进程返回来的Process_Information typedef struct _PROCESS_INFORMATION { HANDLE hProcess; //本身进程的句柄表编号 HANDLE hThread; DWOR
Win 32API速查
Snake_74的博客
06-30 2123
文章目录Win32API用户篇内核篇参数表WinExecVirtualAllocExCreateProcessAdjustTokenPrivilegesNtQueryInformationProcessRtlCompressBufferRtlDecompressBufferCryptAcquireContextCryptGetHashParamCreateServiceCryptDeriveKey...
Toolhelp API 简介
狼窝
09-11 3446
Toolhelp APIs是Windows中一组能够方便得到系统中win32应用程序的当前运行状况的函数,这些函数设计目的是实现一些基于Win32子系统的工具,特别是调试器。通过使用Toolhelp API,我们可以实现象Windows附带的系统工具Dr watson一样的功能(当然真正实现它的所有功能不是光靠Toolhelp API一个函数库就可以的)。而且这些函数适用于win9x,winnt,
完整版进程管理器——全路径与图标展示
最新发布
weixin_33670640的博客
09-16 814
本文还有配套的精品资源,点击获取 简介:进程管理是操作系统的核心功能,允许用户监控和控制系统进程。本文介绍的“完整版进程管理器”提供了额外的进程信息,包括显示每个进程的全路径文件名和程序图标。这些信息对于识别进程来源、提高系统安全性和优化系统性能至关重要。用户可以通过这一工具结束无用进程,优化资源使用,并通过界面友好的方式管理进程。开发者可能使用了Windows API函数...
列举 Windows 所有进程ToolHelp
weixin_34297704的博客
02-27 162
引子 由于这阵子必须得做几个小东西才行,估计着呢,是要做个 Windows 的任务管理器出来才行, 但是在功能上呢,又必须得比 Windows 任务管理器强大一点, 说实在的,在 Windows 7 里面的 Windows 任务管理器在功能上已经很强大了, 而我这里说的强大一点呢,并不是说要在功能上比 Windows 7 的任务管理器还有多一些, 而是在仿照 Windows 任务管理器的...
进程及相关API
浩海拾贝
01-23 2319
本文内容来主要来自于unix环境高级编程。 一、main函数 C语言总是从main函数开始执行(java,c++也是从main开始执行)。 main的原型为: int main(int argc, char *argv[]);其中argc是参数个数,argv指向参数的各个指针所组成的数组。ANSI C和POSIX都要求argv[argc]指向NULL。 内核在调用main之前会调用一
Win32进程相关的API
qq_18059143的博客
02-15 674
文章目录 获取所有进程进程ID和EXE文件名 方式1:通过进程快照CreateToolhelp32Snapshot(),获取所有进程的ID和进程EXE名(不是路径) 方式2:通过枚举进程EnumProcesses(),只能获取所有进程的ID 打开进程句柄(通过进程ID) 打开模块句柄/基址(根据进程句柄、模块名) 获取模块的文件全路径(根据进程句柄、模块句柄) 获取模块的文...
使用Win32 API遍历应用程序窗口与进程
"本文介绍了如何使用Win32 API来枚举应用程序窗口和进程,包括枚举桌面顶层窗口和枚举进程的详细步骤。" 在Windows编程中,有时我们需要获取系统中运行的所有应用程序窗口和进程的信息。这通常涉及到使用操作系统...
Win32 API枚举应用程序窗口和进程.doc
10-22
总的来说,通过正确地使用Win32 API,开发者可以在自己的程序中实现类似Windows任务管理器的功能,即列举并显示系统中运行的所有应用程序窗口和进程。无论是使用ToolHelp32库还是PSAPI库,都可以有效地获取和展示...
ToolHelp PDA结束进程工具
09-20
ToolHelp API是一组函数,允许开发者枚举、查询和监视系统中的进程和线程信息,这对于创建类似"ToolHelp PDA"的进程管理工具非常有用。 5. **安全性**:在PDA上结束进程需要谨慎操作,因为不正确的进程管理可能导致...
ToolHelpAPI的方法列举系统进程
08-02
枚举系统当前进程的程序,将pid和进程名打印到屏幕和文件
进程API整理
07-22
为方便学习Windows进程API
win32帮助文档
09-09
其实快要过时了,没事看看也好!系统到这地步其实都是大同小异的,能够参考参考的!
Win32help.zip
03-02
Information in this online help system is subject to change without notice and does not represent a commitment on the part of Microsoft Corporation. The software and/or files described in this online help system are furnished under a license agreement or nondisclosure agreement. The software and/or files may be used or copied only in accordance with the terms of the agreement. The purchaser may make one copy of the software for backup purposes. No part of this online help system may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording, or information and retrieval systems, for any purpose other than the purchaser's personal use, without the written permission of Microsoft Corporation.
进程API
aaouvi0202的博客
05-30 124
1.process.exit() 按照linux的规范,一般成功用0表示,而非0则表示失败。那么process.exit也遵循这个规范 process.exit(0)表示成功完成,回调函数中,err将为null; process.exit(非0)表示执行失败,回调函数中,err不为null,err.code就是我们传给exit的数字。 //work.js module.e...
进程相关API
weixin_47803347的博客
03-02 621
1、fork函数 pid_t fork(void) 返回值: 若成功调用一次则返回两个值,子进程返回0,父进程返回子进程ID;否则,出错返回-1 调用fork函数后,子进程是父进程的一个副本,它将获得父进程数据空间、堆、栈等资源的副本;由于在复制时复制了父进程的堆栈段,所以两个进程都停留在fork函数中,等待返回。调用fork函数后,数据、堆栈共有两份,但是代码段两个进程共享。当父子进程有一个想要修改数据或堆栈时,两个进程真正分裂。 但是由于fork后常常跟着exec,所以现在的很多实现并不执行一个父进
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值