【API】遍历进程的几种方式

最新推荐文章于 2025-05-21 15:18:13 发布
转载 最新推荐文章于 2025-05-21 15:18:13 发布 · 471 阅读 · 3 ·
本内容遵循CC 4.0 BY-SA版权协议
原文链接:http://www.cnblogs.com/17bdw/p/9770602.html
本文详细介绍了四种常见的枚举进程的方法,包括使用CreateToolhelp32Snapshot()、Process32First()和Process32Next();EnumProcesses()、EnumProcessModules()、GetModuleBaseName();NativeApi的ZwQuerySystemInformation;以及wtsapi32.dll的WTSOpenServer()、WTSEnumerateProcess()。每种方法均附带了具体的代码示例,帮助读者深入理解并掌握进程枚举的技术细节。

1、说明

枚举进程的常见几种方法
方法1:CreateToolhelp32Snapshot()、Process32First()和Process32Next()
方法2:EnumProcesses()、EnumProcessModules()、GetModuleBaseName()
方法3:Native Api的ZwQuerySystemInformation
方法4:wtsapi32.dll的WTSOpenServer()、WTSEnumerateProcess()

CreateToolhelp32Snapshot()、Process32First()和Process32Next()

#include "stdafx.h"
#include <Windows.h>
#include <stdio.h>
#include <TlHelp32.h>

int main()
{
    PROCESSENTRY32 pe32;

    pe32.dwSize = sizeof(PROCESSENTRY32);
    HANDLE hProcessSanp = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    if (hProcessSanp == INVALID_HANDLE_VALUE)
    {
        printf("Error Get the Process SnapShot\n");
        return -1;
    }
    BOOL bMore = Process32First(hProcessSanp, &pe32);
    while (bMore)
    {
        printf("Process Name: %s\t\tProcess ID: %d\n", pe32.szExeFile, pe32.th32ProcessID);
        bMore = Process32Next(hProcessSanp, &pe32);
    }
    CloseHandle(hProcessSanp);
    getchar();
    return 0;
}

EnumProcesses()、EnumProcessModules()、GetModuleBaseName()

#include "stdafx.h"
#include <windows.h>
#include "psapi.h"
#pragma   comment   (lib, "psapi.lib ")


void MyEnumProcess()
{
    // Get the list of process identifiers.
    DWORD aProcesses[1024], cbNeeded, cProcesses;
    unsigned int i;

    if (!EnumProcesses(aProcesses, sizeof(aProcesses), &cbNeeded))       //枚举进程
        return;
    cProcesses = cbNeeded / sizeof(DWORD);             //计算进程个数
    for (i = 0; i < cProcesses; i++)
        if (aProcesses[i] != 0)
        {

            TCHAR szProcessName[MAX_PATH] = TEXT("<unknown>");
            HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, FALSE, aProcesses[i]);     //获得进程句柄

            if (NULL != hProcess)
            {
                HMODULE hMod;
                DWORD cbNeeded;

                if (EnumProcessModules(hProcess, &hMod, sizeof(hMod), &cbNeeded))        //枚举进程模块信息
                {
                    GetModuleBaseName(hProcess, hMod, szProcessName, sizeof(szProcessName) / sizeof(TCHAR));       //取得主模块全名,每个进程第一模块则为进程主模块
                }
            }
            _tprintf(TEXT("%s  (PID: %u)\n"), szProcessName, aProcesses[i]);     //输出进程名及PID
            CloseHandle(hProcess);
        }
}


void main()
{
    MyEnumProcess();
    system("pause");
}

Native Api的ZwQuerySystemInformation

#include <ntddk.h>

#define SystemProcessesAndThreadsInformation 5

typedef struct _SYSTEM_PROCESSES
{
    ULONG NextEntryDelta;
    ULONG ThreadCount;
    ULONG Reserved[6];
    LARGE_INTEGER CreateTime;
    LARGE_INTEGER UserTime;
    LARGE_INTEGER KernelTime;
    UNICODE_STRING ProcessName;
    KPRIORITY BasePriority;
    ULONG ProcessId;
    ULONG InheritedFromProcessId;
    ULONG HandleCount;
    ULONG Reserved2[2];
    VM_COUNTERS VmCounters;
    IO_COUNTERS IoCounters;
} _SYSTEM_PROCESSES, *PSYSTEM_PROCESSES;

NTSTATUS EnumSystemProcess( );


NTSYSAPI
NTSTATUS
NTAPI ZwQuerySystemInformation(
IN ULONG SystemInformationClass,
IN OUT PVOID SystemInformation,
IN ULONG SystemInformationLength,
OUT PULONG ReturnLength
);

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath);

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath)
{
    UNREFERENCED_PARAMETER(DriverObject);
    UNREFERENCED_PARAMETER(RegistryPath);
    NTSTATUS status = STATUS_SUCCESS;
    status  = EnumSystemProcess( );
    return status;
}

NTSTATUS EnumSystemProcess( )
{
    NTSTATUS status = STATUS_UNSUCCESSFUL;
    *pRet = FALSE;

    PSYSTEM_PROCESSES pProcessInfo = NULL;
    PSYSTEM_PROCESSES pTemp = NULL;//这个留作以后释放指针的时候用。
    ULONG ulNeededSize;
    ULONG ulNextOffset;

    if (NULL == pProcess)
    {
        return status;
    }
        //第一次使用肯定是缓冲区不够,不过本人在极少数的情况下第二次也会出现不够,所以用while循环
    status = ZwQuerySystemInformation(SystemProcessesAndThreadsInformation , pProcessInfo, 0, &ulNeededSize);
    while (STATUS_INFO_LENGTH_MISMATCH == status)
    {
        pProcessInfo = ExAllocatePoolWithTag(NonPagedPool, ulNeededSize, ‘1aes‘);
        pTemp = pProcessInfo;
        if (NULL == pProcessInfo)
        {
            KdPrint(("[allocatePoolWithTag] failed"));
            return status;
        }
        status = ZwQuerySystemInformation(SystemProcessesAndThreadsInformation , pProcessInfo, ulNeededSize, &ulNeededSize);
    }
    if (NT_SUCCESS(status))
    {
        KdPrint(("[ZwQuerySystemInformation]success bufferSize:%x", ulNeededSize));
    }
        else
        {
               KdPrint(("[error]:++++%d", status));
               return status;
        }

    do
    {
        KdPrint(("[imageName Buffer]:%08x", pProcessInfo->ProcessName.Buffer));
        
        if (MmIsAddressValid(pProcessInfo->ProcessName.Buffer) && NULL != pProcessInfo)
        {
            KdPrint(("[ProcessID]:%d , [imageName]:%ws", pProcessInfo->ProcessId, pProcessInfo->ProcessName.Buffer));
        }
        
        ulNextOffset = pProcessInfo->NextEntryDelta;
        pProcessInfo = (PSYSTEM_PROCESSES)((PUCHAR)pProcessInfo + pProcessInfo->NextEntryDelta);

    } while (ulNextOffset != 0);

    ExFreePoolWithTag(pTemp, ‘1aes‘);

    return status;
}

wtsapi32.dll的WTSOpenServer()、WTSEnumerateProcess()

// WTSOpenServer.cpp: 定义控制台应用程序的入口点。
//
#include "stdafx.h"
#include <windows.h>
#include <stdio.h>
#include <Wtsapi32.h>

#pragma  comment (lib,"Wtsapi32.lib")


int main()
{
    //WCHAR* szServerName = L"";   //win10 不需要
    WCHAR * szServerName = NULL;
    HANDLE WtsServerHandle = WTSOpenServer(szServerName);

    // 然后开始遍历终端服务器上的所有进程,这里我们是指本机的所有进程.

    PWTS_PROCESS_INFO pWtspi;
    DWORD dwCount;

    if (!WTSEnumerateProcesses(WtsServerHandle, 0, 1, &pWtspi, &dwCount))
    {
        int a = GetLastError();
        return 0;
    }


    for (DWORD i = 0; i < dwCount; i++)
    {
        printf("ProcessID: %d (%ls)\n", pWtspi[i].ProcessId,
            pWtspi[i].pProcessName);
    }

    getchar();
}

2、参考

利用服务枚举进程
https://www.cnblogs.com/kekoukele987/p/7503004.html
ZwQuerySystemInformation function
https://docs.microsoft.com/en-us/windows/desktop/SysInfo/zwquerysysteminformation

转载于:https://www.cnblogs.com/17bdw/p/9770602.html

API,非MFC制作的进程遍历程序
02-21
用纯VC,非MFC所做的一个遍历进程的程序,程序很小, 有一些注释,方便大家学习
遍历进程的4种方法
windless0530的专栏
04-17 1万+
原贴也是转帖,只不过此人没给原链接……http://pegasus827.bokee.com/6213525.html P.S. 在98系统上,估计只有第一种方法有效。  方法一 第一种方法是大家比较熟悉的通过ToolHelp Service提供的API函数来实现。这里用到了3个关键的函数:CreateToolhelp32Snapshot(),Process32Fi
进程(WINAPI),遍历并查找树状的进程信息,实现控制系统进程
SteveRocket's-Blog
08-23 1447
#include //检索系统所有进程 void showall() { PROCESSENTRY32 pe32 = {0}; pe32.dwSize = sizeof(pe32); //查找进程 HANDLE hpprocess = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);//CreateToolhelp32Snapshot创建快
win32 api遍历文件,进程
云守护的专栏
03-14 2256
// cmd_mfc.cpp : 定义控制台应用程序的入口点。 #include "stdafx.h" #include #include #include #include using namespace std; //win api 遍历文件目录 void nr_enum_path(char *cpath){ list dir_list; string cdir,subdir;
遍历进程
cshcmqcsh的专栏
05-30 450
_eprocess成员ActiveProcessLinks _list_entry 类型,指向前、后eprocess.ActiveProcessLinks成员,而非eprocess开头。通过它,可以遍历系统所有进程
C++进程遍历几种方法
【微软MVP】zhaotianff的专栏
07-25 1540
在应用层下,进程遍历有多种方式,这里介绍几种常用的方式进程快照、NtQuerySystemInformation、EnumProcesses函数、WMI等。这个函数的声明和Process32First一样,使用方法也一样,这是在第一个进程的基础上,继续向下遍历。FALSE,如果不存在任何进程或者快照不包含进程信息,则GetLastError函数会返回ERROR_NO_MORE_FILES错误值。(TlHelp32.h)函数,获取进程信息为指定的进程进程使用的堆、模块、线程建立一个快照。
Qt中嵌入web网页的几种实现方式
热门推荐
c++
05-07 1万+
1、背景 Web网页的界面交互相比较Qt客户端而言有着比较大的优势:更加的多样化和更高的使用便捷性使得我们即使在客户端中也可以考虑将web网页嵌入到客户端的界面当中。如此便能将web的优势和客户端进行结合。更加丰富客户端的界面及功能,以下将介绍几种常见的Qt客户端中嵌入web网页的实现方案和实现步骤。 2、实现方案设计 1、基于Qt自带控件实现 1.1简介 在Qt中,提供了一个用于访问网页的控件(不同的Qt版本对应不同的控件模块),集成了浏览器的webkit内核和google的引擎,不严谨的说,这个控件其实
linux内存模块遍历实现,【手游开发篇】IOS系统下进程模块的遍历
weixin_42360783的博客
05-06 697
一、背景如前面《Android系统下进程模块的遍历》所述,模块遍历是一种很常见的需求,不同的是实现方式。Android的底层是linux操作系统,可以通过proc虚拟文件系统获取进程的状态等信息;而IOS的底层是Darwin系统,并没有提供proc虚拟文件系统的功能。那么,该怎样获取进程加载模块的信息呢?这里有两种方法。下面分别介绍。二、进程模块遍历的实现方式1. 从内存中的dyld模块内容中获取...
结束进程几种方法
天道酬勤
05-13 2177
一、最简单(实则是调用dos外部命令)如:::system("taskkill /f /im qq.exe");二、也很简单,对只对有窗口的进程有效如:HWND hwnd=FindWindow(NULL,"QQ2011");assert(hwnd);SendMessage(hwnd,WM_ENDSESSION,0,0);实则是模拟windows关机,关于详细介绍请查看:http://blog.csdn.net/qq752923276/archive/2011/05/03/6386388.aspx三、没得说了
杀死进程几种方式
weixin_30478757的博客
03-25 335
(一)杀死自己进程的方法 1, 使用List存放activity与service等,在退出时遍历这个list并调用activit.finish()和service.stopSelf(); 2, android.os.Process.killProcess(Process.myPid()); 3、System.exit(int code) 例子:System....
java8 循环jsonarray_JSONArray 遍历方式
weixin_39783426的博客
02-25 7832
第一种(java8):遍历JSONArray 拼接字符串public static void main(String[] args) {JSONArray jSONArray = new JSONArray();JSONObject jb = new JSONObject();jb.put("id", 1);jb.put("name", "s");jSONArray.add(jb);JSONObj...
易语言实现枚举隐藏进程的深度解析
最新发布
weixin_34520664的博客
05-21 909
易语言是一种简体中文编程语言,它的设计旨在让中文用户能够更容易地编写程序。它的中文关键字和语法结构为编程新手提供了更为直观的编程方式,同时也吸引了不少对英文编程语言有障碍的开发者。易语言的出现降低了编程的门槛,使得中文编程不再是天方夜谭。自从2000年推出以来,易语言经历了多次更新和改进,其强大的功能和兼容性使其在小型软件开发中尤为流行。它支持多种编程范式,如过程式、面向对象和事件驱动编程,为开发者提供了丰富的开发选择。尽管易语言主要面向中文用户,但它也支持通过外挂字库的方式使用其他语言的字符。
API Hook的几种实现
小李肥猪's Home
03-22 1704
API Hook的几种实现 所谓的API Hook,就是利用某种技术将API的调用转为我们自己定义的函数的调用。这种技术在实际项目里面的应用也是很广泛的。最近,我在做关于我们项目的自动化测试的时候,就遇到了这种情况。在写测试代码之前,我们对测试代码有一些要求。1. 不能因为测试代码而修改原代码。2. 原有的模块是以dll格式输出的,在做测试的时候,要测的类和函数也只能使用dll的导出
c++在Windows下枚举所有进程
fgm474ak
01-17 547
c++在Windows下枚举所有进程 2010年11月11日   Windows下如何枚举所有进程   [b]Windows下如何枚举所有进程   [/b]要编写一个类似于 Windows任务管理器的软件,首先遇到的问题是如何实现枚举所有进程。暂且不考虑进入核心态去查隐藏进程一类的,下面提供几种方法。请注意每种方法的使用局限,比如使用这些 API 所需要的操作系统是什么(尤其是是否能...
进程隐藏与进程保护(SSDT Hook 实现)(二 视频加密软件推荐
xuplus的专栏
06-30 2516
文章目录:                   1. 引子 – Demo 实现效果: 2. 进程隐藏与进程保护概念: 3. SSDT Hook 框架搭建: 4. Ring0 实现进程隐藏: 5. Ring0 实现进程保护: 6. 隐藏进程列表和保护进程列表的维护: 7. 小结:                  1. 引子 – Demo
Windows枚举所有进程
B_H_L的专栏
06-05 1029
要编写一个类似于 Windows 任务管理器的软件,首先遇到的问题是如何实现枚举所有进程。暂且不考虑进入核心态去查隐藏进程一类的,下面提供几种方法。请注意每种方法的使用局限,比如使用这些 API 所需要的操作系统是什么(尤其是是否能在 Windows Mobile 下使用)。    本文参考用户态枚举进程几种方法,原文对于每一种方法都给出了完整的代码,被我照抄下来。还有一篇:如何用 Win
Android安全退出应用程序的几种方式ying用
u011247942的博客
07-15 629
第一种方法:首先获取当前进程的id,然后杀死该进程。  建议使用这种方式 android.os.Process.killProcess(android.os.Process.myPid()) 第二种方法:终止当前正在运行的Java虚拟机,导致程序终止 System.exit(0); 或者 Runtime.getRuntime().exit(0);
Android之安全退出应用程序的几种方式
码莎拉蒂
12-02 4754
当我们做项目的时候,当用户在几秒的时间之内按回车键的时候,需要退出程序,但是退出我们要确保安全退出,防止还有程序还在后台运行,下面介绍几种安全的退出程的几种方式(综合了其它博客的然后加上自己使用的看到的总结) number1: 首先获取当前进程的id,然后杀死该进程。 建议使用这种方式 android.os.Process.killProcess(andro
Windows API 获得进程可执行文件路径的几种方法
weixin_30750335的博客
03-06 452
Windows 2000 --- GetModuleFileNameEx() Windows XP x32 --- GetProcessImageFileName() Windows XP x64 --- GetProcessImageFileName() Windows Server2003 --- GetProcessImageFileName() Windows Vista ---...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值