Windows API之CreateToolhelp32Snapshot

最新推荐文章于 2025-07-29 19:58:45 发布
最新推荐文章于 2025-07-29 19:58:45 发布
阅读量270 收藏 6
点赞数 3
CC 4.0 BY-SA版权
分类专栏: windows 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wangyun381974024/article/details/149746383

CreateToolhelp32Snapshot 是 Windows API 中的一个函数,用于创建系统进程、线程、模块或堆的快照(snapshot)。这个函数在进程和内存分析工具、调试器以及安全软件中非常常用。

核心功能

  • 创建系统快照:捕获特定时间点的系统状态(如正在运行的进程、加载的模块等)。
  • 用于进程枚举:获取当前系统中所有进程、线程或模块的信息。
  • 内存分析:检查进程加载的 DLL 和内存区域。

函数原型

HANDLE CreateToolhelp32Snapshot(
  DWORD dwFlags,  // 快照类型标志
  DWORD th32ProcessID  // 目标进程ID(根据标志可能不需要)
);

关键参数

  1. dwFlags(快照类型)

    • TH32CS_SNAPPROCESS:捕获所有进程的快照。
    • TH32CS_SNAPTHREAD:捕获所有线程的快照。
    • TH32CS_SNAPMODULE:捕获指定进程加载的所有模块(DLL)。
    • TH32CS_SNAPMODULE32:捕获 32 位模块(仅在 64 位系统上有区别)。
    • TH32CS_SNAPHEAPLIST:捕获指定进程的堆信息。
    • TH32CS_SNAPALL:组合上述所有标志。

  2. th32ProcessID(目标进程 ID)

    • 对于进程快照(TH32CS_SNAPPROCESS),此参数应为 0(表示所有进程)。
    • 对于模块或堆快照,需指定目标进程的 ID。

返回值

  • 成功:返回快照句柄(HANDLE)。
  • 失败:返回 INVALID_HANDLE_VALUE(需通过 GetLastError 获取错误码)。

使用流程

  1. 创建快照:调用 CreateToolhelp32Snapshot 获取系统状态。
  2. 遍历快照数据
    • 进程:使用 PROCESSENTRY32 结构和 Process32First/Process32Next 函数。
    • 模块:使用 MODULEENTRY32 结构和 Module32First/Module32Next 函数。
  3. 关闭句柄:使用完毕后调用 CloseHandle 释放资源。

示例:枚举所有进程

以下是一个使用 C# P/Invoke 调用此函数的示例:

using System;
using System.Diagnostics;
using System.Runtime.InteropServices;

class ProcessEnumerator
{
    // P/Invoke 声明
    [DllImport("kernel32.dll")]
    static extern IntPtr CreateToolhelp32Snapshot(uint dwFlags, uint th32ProcessID);

    [DllImport("kernel32.dll")]
    static extern bool Process32First(IntPtr hSnapshot, ref PROCESSENTRY32 lppe);

    [DllImport("kernel32.dll")]
    static extern bool Process32Next(IntPtr hSnapshot, ref PROCESSENTRY32 lppe);

    [DllImport("kernel32.dll")]
    [return: MarshalAs(MarshalType.Bool)]
    static extern bool CloseHandle(IntPtr hObject);

    // 进程信息结构
    [StructLayout(LayoutKind.Sequential)]
    public struct PROCESSENTRY32
    {
        public uint dwSize;
        public uint cntUsage;
        public uint th32ProcessID;
        public IntPtr th32DefaultHeapID;
        public uint th32ModuleID;
        public uint cntThreads;
        public uint th32ParentProcessID;
        public int pcPriClassBase;
        public uint dwFlags;
        [MarshalAs(MarshalType.ByValTStr, SizeConst = 260)]
        public string szExeFile;
    };

    const uint TH32CS_SNAPPROCESS = 0x00000002;

    static void Main()
    {
        // 创建进程快照
        IntPtr hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
        if (hProcessSnap == IntPtr.Zero)
        {
            Console.WriteLine("创建快照失败: " + Marshal.GetLastWin32Error());
            return;
        }

        // 遍历进程
        PROCESSENTRY32 processEntry = new PROCESSENTRY32();
        processEntry.dwSize = (uint)Marshal.SizeOf(typeof(PROCESSENTRY32));

        if (Process32First(hProcessSnap, ref processEntry))
        {
            do
            {
                Console.WriteLine($"PID: {processEntry.th32ProcessID}, 进程名: {processEntry.szExeFile}");
            } while (Process32Next(hProcessSnap, ref processEntry));
        }
        else
        {
            Console.WriteLine("获取首个进程失败: " + Marshal.GetLastWin32Error());
        }

        // 关闭快照句柄
        CloseHandle(hProcessSnap);
    }
}

注意事项

  1. 权限要求

    • 枚举某些系统进程或模块可能需要管理员权限。
    • 在 64 位系统上枚举 32 位进程的模块时,需使用特殊标志。

  2. 资源管理

    • 快照句柄使用完毕后必须调用 CloseHandle 释放,否则会导致资源泄漏。

  3. 性能影响

    • 创建大型快照(如包含所有模块)可能会消耗较多系统资源。

  4. 动态变化

    • 快照是创建时的瞬间状态,遍历过程中系统状态可能已发生变化。

常见应用场景

  • 任务管理器:显示当前运行的进程和资源使用情况。
  • 调试工具:分析进程加载的模块和内存布局。
  • 安全软件:检测恶意进程或 DLL 注入。
  • 进程监控:监控特定进程的启动和关闭。

通过 CreateToolhelp32Snapshot,开发者可以方便地获取系统运行时状态,实现进程管理、调试和安全检测等功能。

CreateToolhelp32Snapshot TH32CS_SNAPTHREAD
c++基础
03-24 1661
TlHelp32.h CreateToolhelp32Snapshot TH32CS_SNAPTHREAD THREADENTRY32 Thread32First Thread32Next CloseHandle
Windows查找进程winAPI-CreateToolhelp32Snapshot
super_bert的专栏
05-19 1307
//根据进程名获取进程ID DWORD GetPidByProcessName(TCHAR *pProcess) { HANDLE hSnapshot; PROCESSENTRY32 lppe; //创建系统快照 hSnapshot = ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, NULL); //#inc
WindowsAPI ——CreateToolhelp32Snapshot
qq_38933606的博客
08-23 1367
CreateToolhelp32Snapshot 获取指定文件大小,in byte。 函数原型 DWORD GetFileSize(__kernel_entry NTSTATUS NtQueryInformationProcess( HANDLE ProcessHandle, PROCESSINFOCLASS ProcessInformationClass, PVOID ProcessInformation, ULONG ProcessInformationLength, PULONG ReturnLe
Windows APICreateToolhelp32Snapshot
weixin_30767835的博客
09-07 147
CreateToolhelp32Snapshot: 参考: https://msdn.microsoft.com/en-us/library/ms682489%28VS.85%29.aspx HANDLE WINAPI CreateToolhelp32Snapshot( _In_ DWORD dwFlags, _In_ DWORD th32ProcessID );...
CreateToolhelp32Snapshot枚举进程
Luck-Dream的博客
11-07 939
CreateToolhelp32Snapshot枚举进程 要实现功能描述 :在进程中关闭某一应用程序。(常用于 :系统监控类软件) 处理思路分为两步:借助系统快照实现对系统当前进程的枚举和根据枚举结果对进程进行管理。 /************************************************************************ 进程的枚举
进程遍历-CreateToolhelp32Snapshot系统快照
hide_in_darkness的博客
06-07 794
​ th32ProcessID 为 0 遍历当前程序,不为0则创建指定进程的快照进行遍历。​ lppe 指向 PROCESSENTRY32 结构的指针,它包含进程信息。​ lppe 指向 PROCESSENTRY32 结构的指针,它包含进程信息。​ 描述采用快照时驻留在系统地址空间中的进程的列表中的条目。​ 获取指定进程以及这些进程使用的堆、模块和线程的快照。​ dwFlags 指出在快照中要包含的系统部分。​ 检索有关系统快照中遇到的第一个进程的信息。​ 检索有关系统快照中记录的下一个进程的信息。
CreateToolhelp32Snapshot
xrzh8989的专栏
01-06 2118
 ToolHelp32 库函数在 KERNEL32.dll 中,它们都是标准的 API 函数。但是 Windows NT 4.0 不提供这些函。 ToolHelp32 库中有各种各样的函数可以用来枚举系统中的进程、线程以及获取内存和模块信息。 其中枚举进程 只需用如下三个的函数:CreateToolhelp32Snapshot()、Process32First()和 Process32Ne
API】检查进程是否存在 - CreateToolhelp32Snapshot
weixin_30825581的博客
04-18 331
1 学习目标 今天静态逆向mydocument病毒时,看到病毒代码为了防止自身被调试会先检测杀毒软件和调试工具的进程是否存在。如果没有杀毒软件则释放真正的病毒文件,提前熟悉一下枚举进程的反汇编代码。 2 编程思路 2.1 代码原理 这是一段检测指定进程是否存在的代码,使用CreateToolhelp32Snapshot这个API获取进程信息。然后对比有没有杀毒软件的进程。 2.2 编写思...
C++ CreateToolhelp32Snapshot
weixin_34228387的博客
10-28 748
为什么80%的码农都做不了架构师?>>> ...
C++基于CreateToolhelp32Snapshot获取系统进程实例
09-04
`CreateToolhelp32Snapshot`是Windows API中的一个函数,用于创建一个系统状态的快照,其中包括进程、线程、模块等信息。在这个例子中,我们关注的是进程信息。该函数接受两个参数: - `dwFlags`:标志位,用于...
VB调用系统API函数---CreateToolhelp32Snapshot函数.pdf
09-30
`CreateToolhelp32Snapshot`函数是Windows API的一部分,它允许开发者获取系统中进程和线程的快照。该函数位于`kernel32.dll`库中,声明如下: ```vb Private Declare Function CreateToolhelp32Snapshot Lib ...
VB调用系统API函数---CreateToolhelp32Snapshot函数[参照].pdf
10-12
`CreateToolhelp32Snapshot`是Windows API中的一个函数,它允许开发者创建一个进程快照,以便于遍历和获取系统中所有运行的进程或线程的信息。这个函数定义在`kernel32`库中,其原型为: ```vb Private Declare ...
C++ : list的模拟
2402_87310323的博客
07-25 939
找到pos前的节点位置,这里保存一下pos迭代器中的节点指针指向的前一个节点的指针_prev即可找到pos前的节点位置prev ,用new去申请一个值为val的节点作为要插入的新节点newnode,同时由于插入了一个节点,那么_size也应该对应加1。erase——初始状态无论有数据节点还是没有数据节点,这里的头节点都存在,不能被删除,所以应该使用asseert断言一下pos不等于头节点 ,删除一个节点之后list对象中的有效节点个数_size应该对应减一 ,必须是引用传参的形式,否则会造成无穷递归 ,
JAVA中集合的遍历方式
2401_83377623的博客
07-29 598
Java 作为一门广泛应用的编程语言,在开发中对集合(Collection)的操作尤为频繁。遍历集合是日常编码中最常见的操作之一,而不同的集合类型和使用场景决定了应选择合适的遍历方式。本文将系统地介绍 Java 中常见的集合遍历方式,分析其适用场景、优缺点,并提供代码示例,帮助开发者更高效、安全地处理集合数据。本文系统梳理了 Java 中常见的集合遍历方式及其适用场景:增强 for 循环:语法简洁,适用于大多数只读遍历场景,推荐用于 List 和 Set。
fastdds配置文件详解
tomorrowCS的专栏
07-26 211
https://zhuanlan.zhihu.com/p/1921591083026061007
C++中的反向迭代器
LXdian_LX的博客
07-25 481
为啥反向迭代器的讲解要单独拎出来讲,没有在讲各个容器的时候顺手讲了呢?主要是因为c++中的反向迭代器和正向迭代器的实现不太一样。如果按照源码那样设计,代码就得写成这样:(变动的地方我都在旁边注释出来了。同理在vector容器中也是一样:也就是我说的使用容器适配器思想写一个“万能的”反向迭代器。来,我们按照我们刚刚的想法把代码写出来。来,我们按照刚刚的思想重新写一遍代码。test.cpp//测试代码。test.cpp//测试代码。test.cpp//这个没变。它思想不复杂,主要是巧。来,我们看重点部分哈。
《C++ list 完全指南:list的模拟实现》
铭哥不写bug的博客
07-27 980
本文介绍了C++ list 完全指南中0list的模拟实现,期待你的关注!
Spring AI(14)——文本分块优化
weixin_43886636的博客
07-26 413
根据源码的逻辑,分割文本时,可能出现如果分隔符的索引小于minChunkSizeChars,就不会对文本进行分割,于是,就会出现句子被断开的情况。根据CL100K_BASE编码,300长度的token转为本文内容后,文本内容的长度在220-250之间(根据本例的中文文档测试,实际存在误差),转换比例在70%到80%多,为了根据特定的字符进行分割,所以minChunkSize的值最好小于210。为此,对源码进行修改,增加分割符的列表,用户可以根据文档的中英文情况,自行设置分割符。
JSON在java中的使用
最新发布
m0_65384516的博客
07-29 206
本文介绍了JSON与Java对象之间的转换方法,包括JSONObject和JSONArray的使用。主要内容有:1) 将JavaBean转为JSON字符串(toJSONString);2) JSON字符串与JavaBean互相转换(parseObject);3) 处理JSON数组(parseArray)并转为List集合;4) 处理嵌套JSON对象并转为Map集合。通过示例代码演示了如何获取JSON中的特定字段值,以及使用TypeReference处理复杂类型的转换。这些方法实现了Java对象与JSON格式
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王柏龙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值