遍历进程的4种方法

最新推荐文章于 2023-12-19 00:22:26 发布
转载 最新推荐文章于 2023-12-19 00:22:26 发布 · 2.1k 阅读 · 3

本文详细介绍了Windows系统中遍历进程的四种方法,包括使用ToolHelpService API、EnumProcesses、WTSOpenServer与WTSEnumerateProcess以及NtQuerySystemInformation函数。每种方法都附有代码示例,旨在帮助开发者更全面地理解进程管理。

http://blog.youkuaiyun.com/windless0530/article/details/5496879

原贴也是转帖,只不过此人没给原链接……

http://pegasus827.bokee.com/6213525.html

 

P.S. 在98系统上,估计只有第一种方法有效。

 

 

方法一

 

第一种方法是大家比较熟悉的通过ToolHelp Service提供的API函数来实现。这里用到了3个关键的函数:CreateToolhelp32Snapshot(),Process32First()和Process32Next()。下面给出了关于这三个函数的原形和参数说明;

 

[cpp]  view plain copy
  1. HANDLE WINAPI CreateToolhelp32Snapshot(   
  2.     DWORD dwFlags, //系统快照要查看的信息类型   
  3.     DWORD th32ProcessID      //值0表示当前进程   
  4. );   
  5. BOOL WINAPI Process32First(   
  6.     HANDLE hSnapshot,        //CreateToolhelp32Snapshot()创建的快照句柄   
  7.     LPPROCESSENTRY32 lppe  //指向进程入口结构   
  8. );   
  9. BOOL WINAPI Process32Next(   
  10.     HANDLE hSnapshot,        //这里参数同Process32First   
  11.     LPPROCESSENTRY32 lppe  //同上   
  12. );  
 

首先使用CreateToolhelp32Snapshot()创建系统快照句柄(hprocess是我们声明用来保存创建的快照句柄),

然后调用Process32First()获得系统快照中的第一个进程信息(Report是BOOL型作为判断系统快照中下一条进程记录):

[cpp]  view plain copy
  1. hProcess=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);   
  2. report=Process32First(hProcess,pinfo);   
 

接着用一个循环调用来遍历系统中所有运行的进程:

[cpp]  view plain copy
  1. while(report) {   
  2.     hModule=CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,pinfo->th32ProcessID);   
  3.     Module32First(hModule, minfo);    
  4.     GetShortPathName(minfo->szExePath,shortpath,256);   
  5.     printf("%s --- %s ",pinfo->szExeFile,shortpath);   
  6.     report=Process32Next(hProcess, pinfo);      
  7. }  
 

笔者曾通过对Pstools工具包里的Pslist.exe反编译,发现该工具用的就是这种方法。如果你查询MSDN,可以找到一个比这个功能更加完善的源程序。

 


方法二

 

(EnumProcesses、EnumProcessModules、GetModuleBaseName……本人略去……见本人另一贴“遍历进程、杀进程‘)

 

 

方法三


也许你会说前两种方法全世界都知道了,没什么大不了的!呵呵,那么笔者现在介绍的第三种方法,你就未必知道了。本方法利用了Windows NT/2000下终端服务API函数WTSOpenServer()和WTSEnumerateProcess()来实现,这两个函数都定义在Wtsapi32.dll里。具体的关于终端服务方面的知识,大家可以查询MSDN。 
首先,我们来显示申明这两个函数原形: 

[cpp]  view plain copy
  1. typedef HANDLE (_stdcall *WTSOPENSERVER)(  
  2.     LPTSTR pServerName //NetBios指定的终端服务名,如果我们查看本地终端所有进程信息我们可以通过在控制台命令行下用nbtstat –an来获取本机NetBios名。如图3所示。   
  3. );   
  

和前面一样,要先装载Wtsapi32.dll模块,获取关键函数地址,通过Argv[1]给终端服务名(这里我们赋本机NetBios名)赋一个值并打开这项服务:

[cpp]  view plain copy
  1. hWtsApi32 = LoadLibrary("wtsapi32.dll");   
  2. pWtsOpenServer = (WTSOPENSERVER)GetProcAddress(hWtsApi32, "WTSOpenServerA");   
  3. pWtsEnumerateProcesses = (WTSENUMERATEPROCESSES)GetProcAddress(hWtsApi32,"WTSEnumerateProcessesA");  
 

通过Argv[1]给终端服务名(这里我们赋本机NetBios名)赋一个值并打开这项服务,然后开始遍历终端服务器上的所有进程,这里我们是指本机的所有进程 

[cpp]  view plain copy
  1. if(!pWtsEnumerateProcesses(hWtsServer, 0, 1, &pWtspi, &dwCount)) {   
  2.     printf("enum processes error: %d ", GetLastError());   
  3.     return;   
  4. };   
  5.     
  6. for (int i = 0; i < dwCount; i++) {  
  7.     // ...  
  8. }  

 

怎么样,酷吧,跟前面两种方法效果一样!

 


方法四

 

最后笔者介绍一种最少人用的方法,本方法是从“幻影旅团”论坛上看到的。后面给出的源代码也是从他们那拷贝过来的。呵呵,这种方法也提供给我们一种很好的思路。

这第四种方法利用了Native Api的NtQuerySystemInformation函数来实现。同样没有该函数的导入库,也要自己定义原形。整个实现不难,可是有点烦,因为在该函数参数结构上,笔者通查MSDN查了很久才找到这些相关的结构,下面我们来看看这个方法的实现吧。 
先是自定义函数原形:

[cpp]  view plain copy
  1. typedef NTSTATUS (__stdcall *PZWQUERYSYSTEMINFORMATION)    
  2.                  (IN SYSTEM_INFORMATION_CLASS SystemInformationClass,     
  3.                   IN OUT PVOID SystemInformation,     
  4.                   IN ULONG SystemInformationLength,     
  5.                   OUT PULONG ReturnLength);   

然后,还是和前面一样,要找到ZwQuerySystemInformation在Ntdll.dll模块里的入口地址,获得指向进程信息数组链的第一条进程信息: 

[cpp]  view plain copy
  1. hModule = GetModuleHandle((LPCTSTR)"ntdll.dll");   
  2. pZwQuerySystemInformation =(PZWQUERYSYSTEMINFORMATION)   
  3. GetProcAddress(hModule, (LPCTSTR)"ZwQuerySystemInformation");   
  4. pSystemProcessInformation = (SYSTEM_PROCESS_INFORMATION *)pvProcessList;  
 

和方法一方法二一样,在获得第一条进程信息后,开始循环遍历,列出其余的进程: 

[cpp]  view plain copy
  1. while (TRUE)    
  2.     {    
  3.         if (pSystemProcessInformation->NextEntryDelta == 0) //如果是最后一条,则终止循环。   
  4.             break;                                      
  5.         pSystemProcessInformation=(SYSTEM_PROCESS_INFORMATION*)((PCHAR)pSystemProcessInformation+ pSystemProcessInformation->NextEntryDelta);    
  6.         pProcessName = (char *)malloc(pSystemProcessInformation->ProcessName.Length + 2);    
  7. }  
 

特别注意的是,这里SYSTEM_PROCESS_INFORMATION结构里进程名的类型为UNICODE_STRING, 而UNICODE_STRING里的成员Buffer定义的是Unicode类型。 

[cpp]  view plain copy
  1. typedef struct _SYSTEM_PROCESS_INFORMATION     
  2. {     
  3.     DWORD NextEntryDelta;     
  4.     DWORD dThreadCount;     
  5.     DWORD dReserved01;     
  6.     DWORD dReserved02;     
  7.     DWORD dReserved03;     
  8.     DWORD dReserved04;     
  9.     DWORD dReserved05;     
  10.     DWORD dReserved06;     
  11.     FILETIME ftCreateTime; /* relative to 01-01-1601 */     
  12.     FILETIME ftUserTime; /* 100 nsec units */     
  13.     FILETIME ftKernelTime; /* 100 nsec units */     
  14.     UNICODE_STRING ProcessName;      //这就是进程名   
  15.     DWORD BasePriority;     
  16.     DWORD dUniqueProcessId;            //进程ID   
  17.     DWORD dParentProcessID;     
  18.     DWORD dHandleCount;     
  19.     DWORD dReserved07;     
  20.     DWORD dReserved08;     
  21.     DWORD VmCounters;     
  22.     DWORD dCommitCharge;     
  23.     PVOID ThreadInfos[1];    
  24. } SYSTEM_PROCESS_INFORMATION, *PSYSTEM_PROCESS_INFORMATION;  
  25. typedef struct _UNICODE_STRING {    
  26.   USHORT Length;    
  27.   USHORT MaximumLength;    
  28.   PWSTR  Buffer;                 //注意,这里为Unicode类型   
  29. } UNICODE_STRING, *PUNICODE_STRING;  
 

所以,最后我们要调用WideCharToMultiByte()来还原成ANSI字符串以便输出: 

[cpp]  view plain copy
  1. WideCharToMultiByte(CP_ACP,     
  2.                       0,    
  3.                     pSystemProcessInformation->ProcessName.Buffer,    
  4.                     pSystemProcessInformation->ProcessName.Length + 1,    
  5.                     pProcessName,    
  6.                     pSystemProcessInformation->ProcessName.Length + 1,    
  7.                     NULL,    
  8.                     NULL);   
 

yazi1297
关注
Windows进程遍历
weixin_42071117的博客
10-12 913
// 进程遍历:获取计算机系统上运行的所有进程的信息,包括用户进程和系统进程。 // 进程遍历的方式有很多: // 1.通过进程快照。 // 2.使用ZwQuerySystemInformation函数。 // 3.使用EnumProcess函数。 // 4.通过PowerShell获取。 // 5.通过WMI方式获取。 // CreateToolhelp32Snapshot函数: // 功能:获取进程信息为指定的进程进程使用的堆、模块、线程,为其建立一个快照。 // 原型
遍历所有进程
01-26
遍历所有系统进程,并保存到文件中。编译环境为Dev C++
进程遍历
cw312644167的博客
06-14 659
进程遍历可以通过微软提供的Tool Help库来实现 里面的几个主要函数有HANDLE WINAPI CreateToolhelp32Snapshot( _In_ DWORD dwFlags, _In_ DWORD th32ProcessID//0代表当前进程, ); // 该函数用来获取当前进程的快照,通过flags来决定获取的内容,它的返回值将用于之后函数使用BOOL WINAPI
遍历 进程
weixin_34365417的博客
08-26 125
BOOL Crar2Dlg::FindProcess(CString ProcessName) { HANDLE handle=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); BOOL ret = FALSE; PROCESSENTRY32* info=new PROCESSENTRY32;//声明进程信息变量 ...
两种进程遍历方式
你连心爱的女人的大便都不敢吃, 还敢说爱她
09-10 548
病毒样本MD5: 642A393A5C65D202180DF5AF06F29C5A #include &amp;amp;amp;amp;lt;windows.h&amp;amp;amp;amp;gt; #include &amp;amp;amp;amp;lt;stdio.h&amp;amp;amp;amp;gt; //通过HKEY_PERFORMANCE_DATA遍历进程. ----- 从nimda病毒中发现的这种方式. //https://docs.microsof
Windows内核驱动EPROCESS遍历进程模块
12-14
"EPROCESS遍历进程模块"这个主题涉及到的是如何在内核驱动中获取并遍历当前系统中所有进程的加载模块信息。EPROCESS结构体在Windows内核中代表一个进程,而模块则是进程执行时加载的动态链接库(DLL)或其他可执行...
C#遍历系统进程方法
01-21
本文实例讲述了C#遍历系统进程方法。分享给大家供大家参考。具体实现方法如下: 建立一个listBox将进程名称遍历进去 this.listBox1.Items.Clear(); Process[] MyProcesses=Process.GetProcesses(); foreach...
C++调用WMI遍历进程
06-15
C++调用WMI来遍历进程,是一种常见的系统监控和管理技术。本篇文章将深入探讨如何使用C++通过WMI实现这一功能。 首先,我们需要理解WMI的基本概念。WMI是基于Microsoft的分布式管理任务组(DMTF)的Common ...
易语言遍历进程模块
08-21
易语言遍历进程模块源码系统结构:GetDword,GetWord,GetEaxDword,遍历模块,WideCharToMultiByte,LocalAlloc,LocalFree, ======窗口程序集1 || ||------GetDword || ||------GetWord || ||------GetEaxDword || ||----...
遍历进程
cshcmqcsh的专栏
05-30 412
_eprocess成员ActiveProcessLinks _list_entry 类型,指向前、后eprocess.ActiveProcessLinks成员,而非eprocess开头。通过它,可以遍历系统所有进程
遍历进程和结束进程的几种常见方法
04-02
遍历进程和结束进程的几种常见方法,可以获取进程文件名ListProcess
windows下遍历进程并输出进程名,PID,进程路径
08-22
该代码为windows下遍历进程并输出进程名,PID,进程路径,由C++编写,运行成功
驱动遍历进程方法
qq_41071646的博客
10-27 1549
/*#include &lt;ntddk.h&gt; #define DEVICE_OBJECT_NAME L"\\Device\\BufferedIODeviceObjectName" #define DEVICE_LINK_NAME L"\\DosDevices\\BufferedIODevcieLinkName" void dirver(IN PDRIVER_OBJECT pDri...
遍历进程、线程、DLL模块、窗口列表
Sven的忘却日记
03-19 2204
遍历进程 // 初始化Process列表 void InitProcessList() { // 创建进程快照 HANDLE hProcessSnap = 0; hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); if (hProcessSnap == INVALID_HANDLE_V...
windows进程堆内存列表遍历
最新发布
gaojunhuiwww的专栏
12-19 1419
正如官网所说,HeapWalk性能远高于快照中的Heap32Next接口,实际测试第二种方式也非常拉跨。使用HeapWalk函数行走堆的大小大致是线性的,而使用Heap32Next函数遍走堆的大小大致为二次。即使对于具有 10,000 个分配的适度堆,HeapWalk的运行速度也比Heap32Next快 10,000 倍,同时提供更详细的信息。随着堆大小的增加,性能差异变得更加明显。遍历堆列表 - Win32 apps | Microsoft Learnt=N7T8t=N7T8t=N7T8t=N7T8。
特殊方法遍历进程代码详解
综上所述,进程遍历是操作系统编程中的一个重要部分,而“另类遍历进程代码”则是在特定需求下衍生的一种高级技术,它要求开发者具备更高的技能和对系统深层次的理解。这些技术的使用必须在确保合法合规的前提下谨慎...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值