文章目录
- 前言
- 进程的遍历
- CreateToolhelp32Snapshot
- Process32First
- Process32Next
- 进程遍历
- 总结
前言
- 各位师傅好,我是qmx_07,今天给大家讲解进程遍历的相关知识点
进程的遍历
- 快照:使用vmware虚拟机的时候,经常需要配置环境服务,拍照保存,以防以后 环境崩溃,又需要重新配置
- 思路:进程遍历 通过快照的方式,把当前系统的进程信息创建一份快照,浏览相关信息.
CreateToolhelp32Snapshot
- 介绍:用于创建系统快照,包含 进程、线程、模块相关信息,需要引用<tlhelp32.h>
HANDLE CreateToolhelp32Snapshot([in] DWORD dwFlags,//保存快照的类型[in] DWORD th32ProcessID//创建快照的进程ID
);
- dwFlags 取值:
TH32CS_SNAPPROCESS:创建包含当前运行进程的快照。
TH32CS_SNAPTHREAD:创建包含当前运行线程的快照。
TH32CS_SNAPMODULE:创建包含当前加载模块的快照。
TH32CS_SNAPMODULE32:创建包含当前加载模块的快照,返回32位模块结构。
TH32CS_SNAPALL:创建包含当前运行进程、线程和模块的快照。
- th32ProcessID:创建快照的进程ID,0表示当前进程
通常用于获取系统中运行的进程和模块的信息,例如获取进程列表、查找特定进程、遍历模块信息等。通过遍历系统快照,可以获得进程、线程和模块的详细信息,进而进行相应的操作和分析
Process32First
介绍:通过CreateToolhelp32Snapshot函数创建的进程快照中获取第一个进程的信息
BOOL Process32First([in] HANDLE hSnapshot,//快照句柄[in, out] LPPROCESSENTRY32 lppe//指向PROCESSENTRY32的指针,用于接收进程的相关信息
);
PROCESSENTRY32结构定义如下:
typedef struct tagPROCESSENTRY32 {DWORD dwSize;DWORD cntUsage;DWORD th32ProcessID;//进程IDULONG_PTR th32DefaultHeapID;DWORD th32ModuleID;//模块IDDWORD cntThreads;//线程数DWORD th32ParentProcessID;//父进程IDLONG pcPriClassBase;//进程优先级DWORD dwFlags;CHAR szExeFile[MAX_PATH];//进程名称
} PROCESSENTRY32;
结构包含了进程的各种信息,包括进程ID、父进程ID、线程数量、进程优先级等
Process32First函数通常与Process32Next函数一起使用,用于遍历进程快照中的所有进程
Process32Next
- 介绍:通过CreateToolhelp32Snapshot函数创建的进程快照中获取下一个进程的信息
BOOL Process32Next([in] HANDLE hSnapshot,/快照句柄[out] LPPROCESSENTRY32 lppe//指向LPPROCESSENTRY32的指针
);
注意:使用Process32Next函数之前,必须先调用一次Process32First函数来获取第一个进程的信息
进程遍历
#include <iostream>
#include <Windows.h>
#include <tlhelp32.h>
#include <stdio.h>using namespace::std;int main()
{HANDLE hProcessSnap = NULL;//创建,获取进程的信息hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);if (hProcessSnap == INVALID_HANDLE_VALUE)return (FALSE);//结构体PROCESSENTRY32 pe32 = { 0 };//填写结构体中的第一个成员pe32.dwSize = sizeof(PROCESSENTRY32);if (Process32First(hProcessSnap, &pe32)){//First成功之后,进入循环 //循环的时候调一下next,通过xxx拿一下进程的信息do{printf("pid:%d\t name:%s\r\n", pe32.th32ProcessID, pe32.szExeFile);} while (Process32Next(hProcessSnap, &pe32));}CloseHandle(hProcessSnap);
}
- 这边拿到的进程ID 基本与任务管理器一致,但是HACKER Process能拿到更多,包含内核的进程
总结
- 介绍了快照的基本概念,CreateToolhelp32Snapshot创建快照,LPPROCESSENTRY32结构,以及ProcessFirst,ProcessNext遍历进程
