要对当前系统所有已开启的进程进行枚举,就必须首先获得那些加载到内存的进程当前相关状态信息。在Windows操作系统下,这些进程的当前状态信息不能直接从进程本身获取,系统已为所有保存在系统内存中的进程、线程以及模块等的当前状态的信息制作了一个只读副本--系统快照,用户可以通过对系统快照的访问完成对进程当前状态的检测。在具体实现时,系统快照句柄的获取是通过Win32 API函数CreateToolhelp32Snapshot()来完成的,通过该函数不仅可以获取进程快照,而且对于堆、模块和线程的系统快照同样可以 获取。
使用这个函数前必须在头文件里包含tlhelp32.h头文件。
CreateToolhelp32Snapshot函数为指定的进程、进程使用的堆[HEAP]、模块[MODULE]、线程[THREAD])建立一个快照[snapshot]。
HANDLE WINAPI CreateToolhelp32Snapshot( DWORD dwFlags, DWORD th32ProcessID );
参数dwFlags:指定将要创建包含哪一类系统信息的快照句柄,这个参数能够使用下列数值(变量)中的一个:
TH32CS_INHERIT - 声明快照句柄是可继承的。
TH32CS_SNAPALL - 在快照中包含系统中所有的进程和线程。
TH32CS_SNAPHEAPLIST - 在快照中包含在th32ProcessID中指定的进程的所有的堆。
TH32CS_SNAPMODULE - 在快照中包含在th32ProcessID中指定的进程的所有的模块。
TH32CS_SNAPPROCESS - 在快照中包含系统中所有的进程。
TH32CS_SNAPTHREAD - 在快照中包含系统中所有的线程。
参数th32ProcessID:指定了进程的标识号,当设置为0时指定当前进程。该参数只有在设置了TH32CS_SNAPHEAPLIST或TH32CS_SNAPMOUDLE后才有效,在其他情况下该参数被忽略,所有的进程都会被快照。
返回值:调用成功,返回快照的句柄,调用失败,返回INVAID_HANDLE_VALUE。
备注:使用GetLastError函数查找该函数产生的错误状态码。
要删除快照,使用CloseHandle函数。 在得到快照句柄之后只能以只读的方式对其进行访问。至于对系统快照句柄的使用同普通对象句柄的使用并没有什么太大区别,在使用完之后也需要通过CloseHandle()函数将其销毁。
BOOL Process32First()函数
参数:HANDLE hSnapshot 传入的Snapshot句柄
参数:LPPROCESSENTRY32 lppe 指向PROCESSENTRY32结构的指针
作用:从Snapshot得到第一个进程记录信息
BOOL Process32Next()函数
参数:HANDLE hSnapshot 传入的Snapshot句柄
参数:LPPROCESSENTRY32 lppe 指向PROCESSENTRY32结构的指针
作用:从Snapshot得到下一个进程记录信息
BOOL Module32First()函数
参数:HANDLE hSnapshot传入的Snapshot句柄
参数:LPMODULEENTRY3 lpme 指向一个 MODULEENTRY32结构的指针
作用:从Snapshot得到第一个Module记录信息
BOOL Module32Next()函数
参数:HANDLE hSnapshot传入的Snapshot句柄
参数:LPMODULEENTRY3 lpme 指向一个 MODULEENTRY32结构的指针
作用:从Snapshot得到下一个Module记录信息
BOOL Thread32First()函数
参数:HANDLE hSnapshot传入的Snapshot句柄
参数:LPTHREADENTRY32 lpte指向一个 THREADENTRY32结构的指针
作用:从Snapshot得到第一个Thread记录信息
BOOL Thread32Next()函数
参数:HANDLE hSnapshot传入的Snapshot句柄
参数:LPTHREADENTRY32 lpte指向一个 THREADENTRY32结构的指针
作用:从Snapshot得到下一个Thread记录信息
HANDLE OpenProcess()函数
参数:DWORD dwDesiredAccess 权限描叙信息
这里我用到了PROCESS_ALL_ACCESS功能是具有所有权限
参数:BOOL bInheritHandle 确定该句柄是否可以被程继承
参数:dwPrcessID 进程ID号
作用:打开一个存在的进程对象
实例:
#include <tlhelp32.h> int main( ) { // 现在我们将利用函数CreateToolhelp32Snapshot()获得当前运行进程的快照 //这个函数返回包含正在运行进程的快照句柄。 //他的原形是: // HANDLE WINAPI CreateToolhelp32Snapshot(DWORD dwFlags, DWORD th32ProcessID); // 我们将dwFlags设为TH32CS_SNAPPROCESS,th32ProcessID置为0。 HANDLE hSnapShot=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); //现在我们获得了所有进程的信息。 //将从hSnapShot中抽取数据到一个PROCESSENTRY32结构中 //这个结构代表了一个进程,是ToolHelp32 API的一部分。 //抽取数据靠Process32First()和Process32Next()这两个函数。 //这里我们仅用Process32Next(),他的原形是: //BOOL WINAPI Process32Next(HANDLE hSnapshot,LPPROCESSENTRY32 lppe); //我们程序的代码中加入: PROCESSENTRY32* processInfo=new PROCESSENTRY32; // 必须设置PROCESSENTRY32的dwSize成员的值 ; processInfo->dwSize=sizeof(PROCESSENTRY32); int index=0; //这里我们将快照句柄和PROCESSENTRY32结构传给Process32Next()。 //执行之后,PROCESSENTRY32 结构将获得进程的信息。我们循环遍历,直到函数返回FALSE。 printf("****************开始列举进程****************\n"); while(Process32Next(hSnapShot,processInfo)!=FALSE) { index++; printf("****************** %d ******************\n",index); printf("PID Name Current Threads\n"); printf("%-15d%-25s%-4d\n",processInfo->th32ProcessID,processInfo->szExeFile,processInfo->cntThreads); } CloseHandle(hSnapShot); printf("****************进程列举结束****************\n"); int processID; HANDLE hProcess; printf("Enter Process ID to terminate that process:"); scanf("%d",&processID); // 现在我们用函数 TerminateProcess()终止进程: // 这里我们用PROCESS_ALL_ACCESS hProcess=OpenProcess(PROCESS_ALL_ACCESS,TRUE,processID); if(hProcess==NULL) { printf("Unable to get handle of process: "); printf("Error is: %d",GetLastError()); } TerminateProcess(hProcess,0); delete processInfo; return 0; }
原文:http://my.oschina.net/shou1156226/blog/522939