枚举系统进程的学习

转自: http://blog.csdn.net/fengbangyue/article/details/5274028

昨天在对Windows服务学习的时候突然想到编写一个在一段时间间隔后对系统进程进行列举，从而可以根据查看输出内容判断系统是否出现了异常，但以回忆自己以前对进程的学习都忘完了，只好又从新在网上搜查一番，看看各位的高招。然后为了不在犯同样的错误，把它记录下来吧。恩，只要CSDN一天还在，这些东西应该是会在的吧。

 

还真别说，在网上一搜的话，各位大侠的文章确实写得很好，本来我觉得他们的水平比我的是在高的太多，干脆直接转载算了，以免那些朋友在访问我的博客时看到我自己糟糕的文章大骂我一番，后来一想，既然是为了学习，我还是写写自己理解的东西吧，并把网址提供给各位，希望有幸被你们先搜索到我博客的时，可以在看不懂的情况下去看以看原帖。

四种方法实现VC枚举系统当前进程

（原帖）http://safe.zol.com.cn/2005/0427/167328.shtml

 

方法一：

使用ToolHelp Service提供的API函数来实现对进程的枚举，实现非常简单。

1、调用CreateToolhelp32Snapshot创建进程快照，返回快照句柄。

2、使用Process32First从意思就知道是对第一个进程进行操作，就是入口进程。

3、使用Process32Next逐个的读取进程，就像游标一样吧，多放在循环中。

哈哈，三个函数就搞定了。三个函数的实现可以这样比喻，调用CreateToolhelp32Snapshot给系统中的进程照了一张照片，上面就有系统中的进程了，一排一排的很多让我们眼花缭乱，为了我们不至于看错我们只有从照片的开始第一条记录，用手指一条一条的往下数最后一直看完。由此来看，CreateToolhelp32Snapshot返回的就是那一张纸了，我们把眼睛放在纸上看时，可以看纸上的任何一个地方，而此处我们的目的是要看第一条记录，因此要看第一条记录就相当于Process32First函数，看来第一条后，我冲动了想看第二条，看了第二条忍不住又要看第三条，这个就相当于调用了Process32Next函数，当然如果记录看完了，就没有看到了，把纸或照片还给别人吧，如果觉得照得不好看，就把它烧了吧，哈哈。

很明显在上面的过程中，我们在看照片的过程中，我们怎么知道我们看到是第一条记录，第二条呢，怎么知道上面的是头，下面的是脚呢。我们人是思考的动物，习惯成自然后，很多东西不需要特别去想，哈哈，可能是缓存的容量比较大，速度也比较快吧。但计算机就不一样了，它不行。它必须要把照片给明确的分解开了，指定照片上的这个地方必须放头，那个地方必须放脚，哈哈，头大的就惨了，计算机可能就会认为你的头是没有嘴或把你的身体都认为是头了，它真的懵了，哈哈。所以不要和计算机开玩笑。我们就来看看他是怎么对照片作规定的呢，请看下面的结构：

typedef struct tagPROCESSENTRY32 { 
  DWORD dwSize; //规定大小了吧，这里不同的是所有的器官都是一样大的 
  DWORD cntUsage; //进程被引用数，
  DWORD th32ProcessID; //进程ID 头从上到下序号应该排一把
  ULONG_PTR th32DefaultHeapID; //默认堆ID
  DWORD th32ModuleID; 
  DWORD cntThreads; 
  DWORD th32ParentProcessID; 
  LONG  pcPriClassBase; 
  DWORD dwFlags; //不使用
  TCHAR szExeFile[MAX_PATH]; //进程名称
} PROCESSENTRY32; 
typedef PROCESSENTRY32 *PPROCESSENTRY32;

恩，使用时在慢慢去体会成员的意思吧。

各个函数

HANDLE WINAPI CreateToolhelp32Snapshot(
  DWORD dwFlags, //系统快照要查看的信息类型
  DWORD th32ProcessID      //值0表示当前进程
);
BOOL WINAPI Process32First(
  HANDLE hSnapshot,        //CreateToolhelp32Snapshot()创建的快照句柄
  LPPROCESSENTRY32 lppe  //指向进程入口结构
);
BOOL WINAPI Process32Next(
  HANDLE hSnapshot,        //这里参数同Process32First
  LPPROCESSENTRY32 lppe  //同上
);

总之，不管怎样，现在我们可以把这张照片给分解下来，如果是罪犯的话，就告诉警察吧，等着领赏。

实现代码如下：

其实现将进程显示到列表框中。 

void CTerminateProcessDlg::OnGetProcess() 
{ 
 m_ListBox.ResetContent();
 CString m_output;
 HANDLE hProcessSnap=NULL;
 PROCESSENTRY32 pe32={0};//告诉要一张纸
 hProcessSnap=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);//去照一张照片吧
 if(hProcessSnap==(HANDLE)-1)//相机没电了
 {
  ::MessageBox(NULL,"查询进程失败！:(","错误提示",MB_OK);
 
 }
 pe32.dwSize=sizeof(PROCESSENTRY32);//把纸准备好了
 if(Process32First(hProcessSnap,&pe32))//照片洗到纸上 并看看头的信息
 {
  do
  {
   m_output.Format("%-20s     ID:%-5d",pe32.szExeFile,pe32.th32ProcessID);
   m_ListBox.AddString(m_output);
  }
  while(Process32Next(hProcessSnap,&pe32));//看完没，没完的话继续看看穿的是什么衣服、裤子、鞋子
 }
 else
 {
  ::MessageBox(NULL,"出现意外错误！","错误提示",MB_OK);
 }
 CloseHandle(hProcessSnap);

}

本代码来自CSDN博客，转载请标明出处：http://blog.csdn.net/kugou123/archive/2004/12/29/233525.aspx

到此，第一种方法就宣告完成了。

方法二：

第二中方法：

通过Psapi.dll提供的API函数实现，在MSDN上代码例子如下：

#include <windows.h>#include <stdio.h>#include "psapi.h"void PrintProcessNameAndID( DWORD processID ){    char szProcessName[MAX_PATH] = "unknown";    // Get a handle to the process.    HANDLE hProcess = OpenProcess( PROCESS_QUERY_INFORMATION |                                   PROCESS_VM_READ,                                   FALSE, processID );    // Get the process name.    if ( hProcess )    {        HMODULE hMod;        DWORD cbNeeded;        if ( EnumProcessModules( hProcess, &hMod, sizeof(hMod),              &cbNeeded) )        {            GetModuleBaseName( hProcess, hMod, szProcessName,                                sizeof(szProcessName) );        }    }    // Print the process name and identifier.    printf( "%s (Process ID: %u)/n", szProcessName, processID );    CloseHandle( hProcess );}void main( ){    // Get the list of process identifiers.    DWORD aProcesses[1024], cbNeeded, cProcesses;    unsigned int i;    if ( !EnumProcesses( aProcesses, sizeof(aProcesses), &cbNeeded ) )        return;    // Calculate how many process identifiers were returned.    cProcesses = cbNeeded / sizeof(DWORD);    // Print the name and process identifier for each process.    for ( i = 0; i < cProcesses; i++ )        PrintProcessNameAndID( aProcesses[i] );}

下面是在直接复制过来的说明，将得很清楚了：

第二种方法也很常见，通过MSDN就可以找到例子代码，它是通过Psapi.dll提供的API函数EnumProcesses和EnumProcessModules来实现。有一点要说明的是，Visual Studio提供的SDK包里没有提供相应的Psapi.h和与之相对应的导入库，笔者当时就很纳闷，MSDN里的例子居然编译不通，后来才发现，编译时根本找不到“psapi.h”。呵呵，还好，MSDN至少告诉我们他们都包含Psapi.dll里，用VC自带的Depend工具一查，果然。这样就好办了，我们可以自己找到这些函数入口地址。
小知识：C也好C++也好，一般的函数名本质上都是一个地址，在Win32的API里，它是指向函数所在Dll模块里函数实现的入口地址。
//说实话，我以前还真没有想到自己定义一个调用动态库的头文件，在这得到启发了by BY_FENG
下面是第二种方法的实现过程：首先，先把Psapi.dll里要用到函数都定义好，方便后面显示调用。//在psaipi.dll中的函数EnumProcesses用来枚举进程 typedef BOOL (_stdcall *ENUMPROCESSES)(  //注意这里要指明调用约定为-stdcall DWORD* pProcessIds,  //指向进程ID数组链   DWORD cb,    //ID数组的大小，用字节计数 DWORD* pBytesReturned);   //返回的字节//在psapi.dll中的函数EnumProcessModules用来枚举进程模块typedef BOOL (_stdcall *ENUMPROCESSMODULES)( HANDLE hProcess,   //进程句柄 HMODULE* lphModule, //指向模块句柄数组链 DWORD cb,    //模块句柄数组大小，字节计数 LPDWORD lpcbNeeded);   //存储所有模块句柄所需的字节数//在psapi.dll中的函数GetModuleFileNameEx获得进程模块名typedef DWORD (_stdcall *GETMODULEFILENAMEEX)( HANDLE hProcess,   //进程句柄 HMODULE hModule,   //进程句柄 LPTSTR lpFilename,   //存放模块全路径名 DWORD nSize    //lpFilename缓冲区大小，字符计算);
好，通过每个定义的函数前的注释你可以清楚看到这些原函数名，然后当然要加载包含这些函数模块Psapi.dll啦： hPsDll = LoadLibrary("PSAPI.DLL");接着，通过Dll入口，我们查找每个函数地址：pEnumProcesses  = (ENUMPROCESSES)GetProcAddress(hPsDll, "EnumProcesses");pEnumProcessModules  =(ENUMPROCESSMODULES)GetProcAddress(hPsDll, "EnumProcessModules");pGetModuleFileNameEx  =   (GETMODULEFILENAMEEX)GetProcAddress(hPsDll, "GetModuleFileNameExA");注意第三个函数名GetModuleFileNameExA，在Dll里有以A和W结尾区分函数，A指采用的是ANSI字符串方式，W则是UNICODE方式。于是，我们可以用下面的语句枚举进程：pEnumProcesses(processid, sizeof(processid), &needed); processcount=needed/sizeof(DWORD);  for (i=0;i<processcount;i++) {  //打开进程http://writeblog.csdn.net/PostEdit.aspx  hProcess=OpenProcess(PROCESS_QUERY_INFORMATION|PROCESS_VM_READ,false, processid[i]);  if (hProcess)  {   pEnumProcessModules(hProcess, &hModule, sizeof(hModule), &needed);   pGetModuleFileNameEx(hProcess, hModule, path, sizeof(path));   GetShortPathName(path,path,256);   itoa(processid[i],temp,10);   printf("%s --- %s/n",path,temp);  }  else   printf("Failed!!!/n"); } 当然，在Google上一搜索，可以找到不少提供的Psapi.h头文件和对应的Psapi.lib库，这样，你就可以更方便用这种方法了。

方法三：

也许你会说前两种方法全世界都知道了，没什么大不了的！呵呵，那么笔者现在介绍的第三种方法，你就未必知道了。本方法利用了Windows NT/2000下终端服务API函数WTSOpenServer()和WTSEnumerateProcess()来实现，这两个函数都定义在Wtsapi32.dll里。具体的关于终端服务方面的知识，大家可以查询MSDN。
首先，我们来显示申明这两个函数原形：
typedef HANDLE (_stdcall *WTSOPENSERVER)(
LPTSTR pServerName //NetBios指定的终端服务名，如果我们查看本地终端所有进程信息我们可以通过在控制台命令行下用nbtstat –an来获取本机NetBios名。如图3所示。
);  

 

typedef BOOL (_stdcall *WTSENUMERATEPROCESSES)(
  HANDLE hServer, //WTSOpenServer返回的句柄 
  DWORD Reserved,  //保留值， 0
  DWORD Version,   //指定枚举要求的版本， 必须为1
  PWTS_PROCESS_INFO* ppProcessInfo, //这个参数是关键，存放我们要的进程名和进程id
  DWORD* pCount   //用来存放ppProcessInfo里WTS_PROCESS_INFO结构的数量指针
);

和前面一样，要先装载Wtsapi32.dll模块，获取关键函数地址：

hWtsApi32 = LoadLibrary("wtsapi32.dll");
pWtsOpenServer 
  = (WTSOPENSERVER)GetProcAddress(hWtsApi32, "WTSOpenServerA");
pWtsEnumerateProcesses 
= (WTSENUMERATEPROCESSES)GetProcAddress(hWtsApi32,"WTSEnumerateProcessesA");

通过Argv[1]给终端服务名（这里我们赋本机NetBios名）赋一个值并打开这项服务：

char* szServerName = argv[1];
hWtsServer = pWtsOpenServer(szServerName);

然后开始遍历终端服务器上的所有进程，这里我们是指本机的所有进程
if(!pWtsEnumerateProcesses(hWtsServer,
       0,
       1,
       &pWtspi,
       &dwCount))
 {
  printf("enum processes error: %d/n", GetLastError());
  return;
 };
 
 for(int i=0; i<dwCount; i++)
 {
  printf("ps_Id: %d/t/tps_name: %s/n", pWtspi[i].ProcessId, pWtspi[i].pProcessName);
 }

怎么样，酷吧，跟前面两种方法效果一样！

代码如下：

#include "windows.h"
#include "stdio.h"
typedef struct _WTS_PROCESS_INFO {
    DWORD SessionId;
    DWORD ProcessId;
    LPTSTR pProcessName;
    PSID pUserSid;
} WTS_PROCESS_INFO, * PWTS_PROCESS_INFO;
typedef HANDLE (_stdcall *WTSOPENSERVER)(
    LPTSTR pServerName//NetBios指定的终端服务名，
    //如果我们查看本地终端所有进程信息
    //我们可以通过在控制台命令行下用nbtstat –an来获取本机NetBios名。
); 
typedef BOOL (_stdcall *WTSENUMERATEPROCESSES)(
      HANDLE hServer, //WTSOpenServer返回的句柄 
      DWORD Reserved,  //保留值， 0
      DWORD Version,   //指定枚举要求的版本， 必须为1
      PWTS_PROCESS_INFO* ppProcessInfo, //这个参数是关键，存放我们要的进程名和进程id
      DWORD* pCount   //用来存放ppProcessInfo里WTS_PROCESS_INFO结构的数量指针
      );

int main()
{
 HINSTANCE hWtsApi32 = LoadLibrary("wtsapi32.dll");
 WTSOPENSERVER pWtsOpenServer 
  = (WTSOPENSERVER)GetProcAddress(hWtsApi32, "WTSOpenServerA");
 WTSENUMERATEPROCESSES pWtsEnumerateProcesses 
  = (WTSENUMERATEPROCESSES)GetProcAddress(hWtsApi32,"WTSEnumerateProcessesA");

 char szServerName[] = "FBY";
 HANDLE hWtsServer = pWtsOpenServer(szServerName);
 PWTS_PROCESS_INFO pWtspi;
 DWORD  dwCount;
 if(!pWtsEnumerateProcesses(hWtsServer,
  0,
  1,
  &pWtspi,
  &dwCount))
 {
  printf("enum processes error: %d/n", GetLastError());
  return 0;
 };
 
 for(int i=0; i < dwCount; i++)
 {
  printf("ps_Id: %d/t/tps_name: %s/n", pWtspi[i].ProcessId, pWtspi[i].pProcessName);
 }

 return 0;
}

 

方法四我还没有实践过，先把它抄下来吧，怕以后找不到了：

方法四

 最后笔者介绍一种最少人用的方法，本方法是从“幻影旅团”论坛上看到的。后面给出的源代码也是从他们那拷贝过来的。呵呵，这种方法也提供给我们一种很好的思路。

 这第四种方法利用了Native Api的NtQuerySystemInformation函数来实现。同样没有该函数的导入库，也要自己定义原形。整个实现不难，可是有点烦，因为在该函数参数结构上，笔者通查MSDN查了很久才找到这些相关的结构，下面我们来看看这个方法的实现吧。
先是自定义函数原形：

typedef NTSTATUS (__stdcall *PZWQUERYSYSTEMINFORMATION) 
                 (IN SYSTEM_INFORMATION_CLASS SystemInformationClass,  
                  IN OUT PVOID SystemInformation,  
                  IN ULONG SystemInformationLength,  
                  OUT PULONG ReturnLength);
然后，还是和前面一样，要找到ZwQuerySystemInformation在Ntdll.dll模块里的入口地址：

hModule = GetModuleHandle((LPCTSTR)"ntdll.dll");
pZwQuerySystemInformation =(PZWQUERYSYSTEMINFORMATION)
GetProcAddress(hModule, (LPCTSTR)"ZwQuerySystemInformation");
获得指向进程信息数组链的第一条进程信息：
pSystemProcessInformation = (SYSTEM_PROCESS_INFORMATION *)pvProcessList;

和方法一方法二一样，在获得第一条进程信息后，开始循环遍历，列出其余的进程：
while (TRUE) 
    { 
        if (pSystemProcessInformation->NextEntryDelta == 0) //如果是最后一条，则终止循环。
            break;                                   

        pSystemProcessInformation=(SYSTEM_PROCESS_INFORMATION*)((PCHAR)pSystemProcessInformation+ pSystemProcessInformation->NextEntryDelta); 
        pProcessName = (char *)malloc(pSystemProcessInformation->ProcessName.Length + 2); 
}

特别注意的是，这里SYSTEM_PROCESS_INFORMATION结构里进程名的类型为UNICODE_STRING, 而UNICODE_STRING里的成员Buffer定义的是Unicode类型。
typedef struct _SYSTEM_PROCESS_INFORMATION  
{  
    DWORD NextEntryDelta;  
    DWORD dThreadCount;  
    DWORD dReserved01;  
    DWORD dReserved02;  
    DWORD dReserved03;  
    DWORD dReserved04;  
    DWORD dReserved05;  
    DWORD dReserved06;  
    FILETIME ftCreateTime; /* relative to 01-01-1601 */  
    FILETIME ftUserTime; /* 100 nsec units */  
    FILETIME ftKernelTime; /* 100 nsec units */  
    UNICODE_STRING ProcessName;      //这就是进程名
    DWORD BasePriority;  
    DWORD dUniqueProcessId;            //进程ID
    DWORD dParentProcessID;  
    DWORD dHandleCount;  
    DWORD dReserved07;  
    DWORD dReserved08;  
    DWORD VmCounters;  
    DWORD dCommitCharge;  
    PVOID ThreadInfos[1]; 
} SYSTEM_PROCESS_INFORMATION, *PSYSTEM_PROCESS_INFORMATION;

typedef struct _UNICODE_STRING { 
  USHORT Length; 
  USHORT MaximumLength; 
  PWSTR  Buffer;                 //注意，这里为Unicode类型
} UNICODE_STRING, *PUNICODE_STRING;

所以，最后我们要调用WideCharToMultiByte（）来还原成ANSI字符串以便输出：
WideCharToMultiByte(CP_ACP,  
                      0, 
                    pSystemProcessInformation->ProcessName.Buffer, 
                    pSystemProcessInformation->ProcessName.Length + 1, 
                    pProcessName, 
                    pSystemProcessInformation->ProcessName.Length + 1, 
                    NULL, 
                    NULL);
具体每个参数大家可以参照MSDN，很简单的。以上四种方法的完整源代码见光盘。

 从这里看出，查看系统当前活动进程的实现也不过如此，况且，笔者还没有给出第五种方法（可以通过WMI的COM接口函数CoCreateInstance()，ConnectServer()，ExecQuery()等函数来实现，留给读者自己练习），呵呵，好玩吧？居然有那么多种方法。

    写这篇文章的目的是想告诉大家，有时候通过自己动手，会发现以前认为很NB的东西原来也是很简单的，只要擅于总结，常动手，我们自己也可以自己打造一些方便好用的小工具来，你说呢？！