本文介绍了一种通过Hook系统函数CreateProcess和抓取进程快照的方式来监控目标进程的方法,包括代码实现和注意事项。
最近项目中需要监控目标进程并抓取其信息,定位对方进程一般有两种方式:1、Hook系统函数CreateProcess;2、抓取进程快照,采用轮询的方式获取目标进程;
此处采用第二种方式,代码如下(有简单注释):
TMyProcess = class
private
Fhandle: Cardinal;
Fprocessid: Cardinal;
Fpath :string;
public
property processid:Cardinal read Fprocessid write Fprocessid;
property handle:Cardinal read Fhandle write Fhandle;
property path:string read Fpath write Fpath;
end;function FindProcess(pname: string;var processInfo: TMyProcess): BOOL;
var
hnd : hwnd;//句柄
AhProcess :Cardinal;
fprocessentry32 : TProcessEntry32; //结构类型的变量
flag,included: Boolean; //返回一个布尔值(用来判断是否找到进程信息)
processid : dword; //储存找到的进程ID
name,szProcessName: string; //储存找到的进程名称 end;
i,index:Integer;
Info: TMyProcess ;
begin
Result := False;
try
Debug.debug('监控线程打开');
{此处增加一个事件 用来同步 遍历完进程后 如果需要在其他线程(如主进程中处理) 可用于同步 }
hnd := CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); //获得进程快照句柄
fprocessentry32.dwSize := sizeof(fprocessentry32); //给TProcessEntry32结构的第一个参数赋值(也可以理解为把这个结构的第一个参数初始化)
Flag := Process32First(hnd,fprocessentry32); //使用 Process32First函数取得第一个进程的信息
while Flag = true do //如果 Process32First函数执行成功也就是说找到进程列表里的第一个进程时开始循环
begin
Flag := Process32Next(hnd,FprocessEntry32); //取得第下一个进程信息
name := fprocessentry32.szExeFile; //取得一个进程的名称
//设置string对象的长度,否则会写错误
if name = pname then //如果进程名等于这个字符串
begin
//打开已经存在的线程,并返回线程句柄
AhProcess := OpenProcess(PROCESS_ALL_ACCESS, false, FprocessEntry32.th32ProcessID);
SetLength(szProcessName, MAX_PATH);
//获取进程IP对应的应用程序的路径
GetModuleFileNameEx(AhProcess,0,PAnsiChar(szProcessName),MAX_PATH);
if processList.Existed(FprocessEntry32.th32ProcessID) <0 then
begin
Info := TMyProcess.Create;
processInfo := Info;
processInfo.processid := FprocessEntry32.th32ProcessID;
processInfo.handle := AhProcess;
processInfo.state := stNew ;
processInfo.path := szProcessName ;
Result := True;
Exit;
end;
end;
CheckExitProcess;
ClearExitProcess;
end;
finally
<span style="color:#ff6666;">CloseHandle(hnd);</span>
end;
end;
祝好!
欢迎斧正,望您不吝赐教!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
