进程快照获取

进程快照主要存在于PROCESSENTRY32这个结构体中，下面是这个结构体的信息。

typedef struct tagPROCESSENTRY32 {DWORD dwSize; //结构体大小DWORD cntUsage; //0DWORD th32ProcessID; //进程ID：PIDULONG_PTR th32DefaultHeapID; //0DWORD th32ModuleID; //0DWORD cntThreads; //进程计数DWORD th32ParentProcessID; //父进程IDLONG pcPriClassBase; //线程优先权DWORD dwFlags; //0TCHAR szExeFile[MAX_PATH]; //进程的可执行文件名称} PROCESSENTRY32, *PPROCESSENTRY32;

用   HANDLE WINAPI CreateToolhelp32Snapshot(
DWORD dwFlags, //用来指定“快照”中需要返回的对象，可以是TH32CS_SNAPPROCESS等
DWORD th32ProcessID //进程ID，若是0，代表所有进程，即进程快照表
);来获取某个进程的快照句柄

用 　BOOL WINAPI Process32First(
HANDLE hSnapshot, //进程快照句柄
LPPROCESSENTRY32 //PROCESSENTRY32结构体指针
);来获取第一个进程快照
用 Process32Next来获取下一个进程，用法参数和上面Process32First一样
下面是一小段代码：

#include <windows.h>#include <Tlhelp32.h>#include <stdio.h>DWORD GetLastErrorBox(HWND hWnd, LPSTR lpTitle);int main(){//定义进程信息结构PROCESSENTRY32 pe32;pe32.dwSize = sizeof(PROCESSENTRY32);HANDLE hProcessShot;hProcessShot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);//获取进程列表，最后一个参数是0if (hProcessShot == INVALID_HANDLE_VALUE){GetLastErrorBox(NULL,"获取进程列表失败");return 0;}// 创建系统当前进程快照if (Process32First(hProcessShot,&pe32))//获取下一个进程快照{for (int i = 0;Process32Next(hProcessShot, &pe32);i++){printf("%d : %-20s ",i, pe32.szExeFile);TCHAR szStrTemp[50];wsprintf(szStrTemp,"PID : %d", pe32.th32ProcessID);printf("%-20s ", szStrTemp);wsprintf(szStrTemp,"cntThreads : %d",pe32.cntThreads);printf("%-20s \n",szStrTemp);}}//遍历进程快照CloseHandle(hProcessShot);return 0;}// 显示错误信息DWORD GetLastErrorBox(HWND hWnd, LPSTR lpTitle){LPVOID lpv;DWORD dwRv;if (GetLastError() == 0) return 0;dwRv = FormatMessage(FORMAT_MESSAGE_ALLOCATE_BUFFER |FORMAT_MESSAGE_FROM_SYSTEM,NULL,GetLastError(),MAKELANGID(LANG_ENGLISH, SUBLANG_ENGLISH_US),(LPSTR)&lpv,0,NULL);MessageBox(hWnd, (LPCSTR)lpv, lpTitle, MB_OK);if(dwRv)LocalFree(lpv);SetLastError(0);return dwRv;}