Windows平台监控目标进程及需注意的问题

最近项目中需要监控目标进程并抓取其信息，定位对方进程一般有两种方式：1、Hook系统函数CreateProcess;2、抓取进程快照，采用轮询的方式获取目标进程；

此处采用第二种方式，代码如下（有简单注释）：

TMyProcess = class  private    Fhandle: Cardinal;    Fprocessid: Cardinal;    Fpath :string;  public    property processid:Cardinal  read Fprocessid write Fprocessid;    property handle:Cardinal  read Fhandle write Fhandle;    property path:string  read Fpath write Fpath;  end;

function FindProcess(pname: string;var processInfo: TMyProcess): BOOL;var   hnd : hwnd;//句柄   AhProcess :Cardinal;   fprocessentry32 : TProcessEntry32; //结构类型的变量   flag,included: Boolean;   //返回一个布尔值（用来判断是否找到进程信息）   processid : dword; //储存找到的进程ID   name,szProcessName: string; //储存找到的进程名称 end;   i,index:Integer;   Info: TMyProcess ;begin       Result := False;       try           Debug.debug('监控线程打开');           {此处增加一个事件 用来同步 遍历完进程后 如果需要在其他线程（如主进程中处理） 可用于同步 }           hnd := CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);   //获得进程快照句柄           fprocessentry32.dwSize := sizeof(fprocessentry32); //给TProcessEntry32结构的第一个参数赋值（也可以理解为把这个结构的第一个参数初始化）           Flag := Process32First(hnd,fprocessentry32); //使用 Process32First函数取得第一个进程的信息           while Flag = true do //如果 Process32First函数执行成功也就是说找到进程列表里的第一个进程时开始循环           begin             Flag := Process32Next(hnd,FprocessEntry32); //取得第下一个进程信息             name := fprocessentry32.szExeFile; //取得一个进程的名称             //设置string对象的长度，否则会写错误             if name = pname then //如果进程名等于这个字符串             begin                  //打开已经存在的线程，并返回线程句柄                 AhProcess := OpenProcess(PROCESS_ALL_ACCESS, false, FprocessEntry32.th32ProcessID);                 SetLength(szProcessName, MAX_PATH);                 //获取进程IP对应的应用程序的路径                 GetModuleFileNameEx(AhProcess,0,PAnsiChar(szProcessName),MAX_PATH);                 if processList.Existed(FprocessEntry32.th32ProcessID) <0 then                 begin                   Info := TMyProcess.Create;                   processInfo := Info;                   processInfo.processid := FprocessEntry32.th32ProcessID;                   processInfo.handle :=  AhProcess;                   processInfo.state := stNew ;                   processInfo.path :=  szProcessName ;                   Result := True;                   Exit;                 end;             end;             CheckExitProcess;             ClearExitProcess;           end;       finally           <span style="color:#ff6666;">CloseHandle(hnd);</span>       end;end;

以上代码使用过程中，内存很快被消耗完，净查阅MSDN文档后发现，使用CreateToolhelp32Snapshot创建进程快照后，需使用CloseHandle关闭其句柄，以释放内存。需要注意的是在WinNT中使用CloseHandle释放内存，而在WinCE（还有人用吗，哈哈）中要使用CloseToolhelp32Snapshot关闭快照释放内存。

祝好！

欢迎斧正，望您不吝赐教！