1、说明

枚举进程的常见几种方法

方法1:CreateToolhelp32Snapshot()、Process32First()和Process32Next()

方法2:EnumProcesses()、EnumProcessModules()、GetModuleBaseName()

方法3:Native Api的ZwQuerySystemInformation

方法4:wtsapi32.dll的WTSOpenServer()、WTSEnumerateProcess()

CreateToolhelp32Snapshot()、Process32First()和Process32Next()

#include "stdafx.h"

#include <Windows.h>

#include <stdio.h>

#include <TlHelp32.h>

int main()

{

	PROCESSENTRY32 pe32;

	pe32.dwSize = sizeof(PROCESSENTRY32);

	HANDLE hProcessSanp = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

	if (hProcessSanp == INVALID_HANDLE_VALUE)

	{

		printf("Error Get the Process SnapShot\n");

		return -1;

	}

	BOOL bMore = Process32First(hProcessSanp, &pe32);

	while (bMore)

	{

		printf("Process Name: %s\t\tProcess ID: %d\n", pe32.szExeFile, pe32.th32ProcessID);

		bMore = Process32Next(hProcessSanp, &pe32);

	}

	CloseHandle(hProcessSanp);

	getchar();

	return 0;

}

EnumProcesses()、EnumProcessModules()、GetModuleBaseName()

#include "stdafx.h"

#include <windows.h>

#include "psapi.h"

#pragma   comment   (lib, "psapi.lib ")

void MyEnumProcess()

{

	// Get the list of process identifiers.

	DWORD aProcesses[1024], cbNeeded, cProcesses;

	unsigned int i;

	if (!EnumProcesses(aProcesses, sizeof(aProcesses), &cbNeeded))       //枚举进程

		return;

	cProcesses = cbNeeded / sizeof(DWORD);             //计算进程个数

	for (i = 0; i < cProcesses; i++)

		if (aProcesses[i] != 0)

		{

			TCHAR szProcessName[MAX_PATH] = TEXT("<unknown>");

			HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, FALSE, aProcesses[i]);     //获得进程句柄

			if (NULL != hProcess)

			{

				HMODULE hMod;

				DWORD cbNeeded;

				if (EnumProcessModules(hProcess, &hMod, sizeof(hMod), &cbNeeded))        //枚举进程模块信息

				{

					GetModuleBaseName(hProcess, hMod, szProcessName, sizeof(szProcessName) / sizeof(TCHAR));       //取得主模块全名,每个进程第一模块则为进程主模块

				}

			}

			_tprintf(TEXT("%s  (PID: %u)\n"), szProcessName, aProcesses[i]);     //输出进程名及PID

			CloseHandle(hProcess);

		}

}

void main()

{

	MyEnumProcess();

	system("pause");

}

Native Api的ZwQuerySystemInformation

#include <ntddk.h>

#define SystemProcessesAndThreadsInformation 5

typedef struct _SYSTEM_PROCESSES

{

	ULONG NextEntryDelta;

	ULONG ThreadCount;

	ULONG Reserved[6];

	LARGE_INTEGER CreateTime;

	LARGE_INTEGER UserTime;

	LARGE_INTEGER KernelTime;

	UNICODE_STRING ProcessName;

	KPRIORITY BasePriority;

	ULONG ProcessId;

	ULONG InheritedFromProcessId;

	ULONG HandleCount;

	ULONG Reserved2[2];

	VM_COUNTERS VmCounters;

	IO_COUNTERS IoCounters;

} _SYSTEM_PROCESSES, *PSYSTEM_PROCESSES;

NTSTATUS EnumSystemProcess( );

NTSYSAPI

NTSTATUS

NTAPI ZwQuerySystemInformation(

IN ULONG SystemInformationClass,

IN OUT PVOID SystemInformation,

IN ULONG SystemInformationLength,

OUT PULONG ReturnLength

);

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath);

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath)

{

	UNREFERENCED_PARAMETER(DriverObject);

	UNREFERENCED_PARAMETER(RegistryPath);

	NTSTATUS status = STATUS_SUCCESS;

	status  = EnumSystemProcess( );

	return status;

}

NTSTATUS EnumSystemProcess( )

{

	NTSTATUS status = STATUS_UNSUCCESSFUL;

	*pRet = FALSE;

	PSYSTEM_PROCESSES pProcessInfo = NULL;

	PSYSTEM_PROCESSES pTemp = NULL;//这个留作以后释放指针的时候用。

	ULONG ulNeededSize;

	ULONG ulNextOffset;

	if (NULL == pProcess)

	{

		return status;

	}

        //第一次使用肯定是缓冲区不够,不过本人在极少数的情况下第二次也会出现不够,所以用while循环

	status = ZwQuerySystemInformation(SystemProcessesAndThreadsInformation , pProcessInfo, 0, &ulNeededSize);

	while (STATUS_INFO_LENGTH_MISMATCH == status)

	{

		pProcessInfo = ExAllocatePoolWithTag(NonPagedPool, ulNeededSize, ‘1aes‘);

		pTemp = pProcessInfo;

		if (NULL == pProcessInfo)

		{

			KdPrint(("[allocatePoolWithTag] failed"));

			return status;

		}

		status = ZwQuerySystemInformation(SystemProcessesAndThreadsInformation , pProcessInfo, ulNeededSize, &ulNeededSize);

	}

	if (NT_SUCCESS(status))

	{

		KdPrint(("[ZwQuerySystemInformation]success bufferSize:%x", ulNeededSize));

	}

        else

        {

               KdPrint(("[error]:++++%d", status));

               return status;

        }

	do

	{

		KdPrint(("[imageName Buffer]:%08x", pProcessInfo->ProcessName.Buffer));

		if (MmIsAddressValid(pProcessInfo->ProcessName.Buffer) && NULL != pProcessInfo)

		{

			KdPrint(("[ProcessID]:%d , [imageName]:%ws", pProcessInfo->ProcessId, pProcessInfo->ProcessName.Buffer));

		}

		ulNextOffset = pProcessInfo->NextEntryDelta;

		pProcessInfo = (PSYSTEM_PROCESSES)((PUCHAR)pProcessInfo + pProcessInfo->NextEntryDelta);

	} while (ulNextOffset != 0);

	ExFreePoolWithTag(pTemp, ‘1aes‘);

	return status;

}

wtsapi32.dll的WTSOpenServer()、WTSEnumerateProcess()

// WTSOpenServer.cpp: 定义控制台应用程序的入口点。

//

#include "stdafx.h"

#include <windows.h>

#include <stdio.h>

#include <Wtsapi32.h>

#pragma  comment (lib,"Wtsapi32.lib")

int main()

{

	//WCHAR* szServerName = L"";   //win10 不需要

	WCHAR * szServerName = NULL;

	HANDLE WtsServerHandle = WTSOpenServer(szServerName);

	// 然后开始遍历终端服务器上的所有进程,这里我们是指本机的所有进程.

	PWTS_PROCESS_INFO pWtspi;

	DWORD dwCount;

	if (!WTSEnumerateProcesses(WtsServerHandle, 0, 1, &pWtspi, &dwCount))

	{

		int a = GetLastError();

		return 0;

	}

	for (DWORD i = 0; i < dwCount; i++)

	{

		printf("ProcessID: %d (%ls)\n", pWtspi[i].ProcessId,

			pWtspi[i].pProcessName);

	}

	getchar();

}

2、参考

利用服务枚举进程

https://www.cnblogs.com/kekoukele987/p/7503004.html

ZwQuerySystemInformation function

https://docs.microsoft.com/en-us/windows/desktop/SysInfo/zwquerysysteminformation

【API】遍历进程的几种方式的更多相关文章

  1. java遍历Map的几种方式

    1.遍历map的几种方式:private Hashtable<String, String> emails = new Hashtable<String, String>(); ...

  2. 遍历map的几种方式

    1,平时开发中对map的使用很多,然后发现了很多map可能存在的各种问题:如HashMap 需要放置 1024 个元素,由于没有设置容量初始大小,随着元素不断增加,容量 7 次被迫扩大,resize ...

  3. Day9 进程理论 开启进程的两种方式 多进程实现并发套接字 join方法 Process对象的其他属性或者方法 守护进程 操作系统介绍

    操作系统简介(转自林海峰老师博客介绍) #一 操作系统的作用: 1:隐藏丑陋复杂的硬件接口,提供良好的抽象接口 2:管理.调度进程,并且将多个进程对硬件的竞争变得有序 #二 多道技术: 1.产生背景: ...

  4. java 遍历Map的四种方式

      java 遍历Map的四种方式 CreationTime--2018年7月16日16点15分 Author:Marydon 一.迭代key&value 第一种方式:迭代entrySet 1 ...

  5. ps | grep app 命令不显示grep app本身进程的几种方式

    ps | grep app 命令不显示grep app本身进程的几种方式 使用ps命令查询进程,常常我们不想打印出"ps | grep app"这个当前进程,比如如下: [root ...

  6. java8 遍历数组的几种方式

    java8 遍历数组的几种方式 2017年04月05日 09:15:46 阅读数:4640 风格色 2017-02-11 18:41 有如下一个String数组 String[] array = {& ...

  7. delphi杀进程的两种方式

    delphi杀进程的两种方式 uint unit Tlhelp32; 第一种:比较简单,根据标题,找到窗口,再找到进程,杀死进程 procedure KillProgram(WindowTitle : ...

  8. MVC web api 返回JSON的几种方式,Newtonsoft.Json序列化日期时间去T的几种方式。

    原文链接:https://www.muhanxue.com/essays/2015/01/8623699.html MVC web api 返回JSON的几种方式 1.在WebApiConfig的Re ...

  9. 遍历map的6种方式

    1,平时开发中对map的使用很多,然后发现了很多map可能存在的各种问题:如HashMap 需要放置 1024 个元素,由于没有设置容量初始大小,随着元素不断增加,容量 7 次被迫扩大,resize ...

随机推荐

  1. 20135337朱荟潼 Linux第五周学习总结——扒开系统调用的三层皮(下)

    朱荟潼 + 原创作品转载请注明出处 + <Linux内核分析>MOOC课http://mooc.study.163.com/course/USTC 1000029000 一.学习内容 (一 ...

  2. Practice1小学四则运算

    本次实验是做一个自动生成小学四则运算的小程序,对于我来说是检验基础的一次实验,要运用Visual C++来编写完成,“自动生成”第一印象是要用到Random()函数,“加减乘除”则应该用到switch ...

  3. Feature List

    我组最终决定所做的软件工程项目是Bing词典(UWP)的背单词模块,下面是初步定下的Feature List. 按用户场景变化顺序列举(假设是新用户): 1.用户可通过点击“背单词”标识或按钮进入背单 ...

  4. Zero-shot learning(零样本学习)

    一.介绍 在传统的分类模型中,为了解决多分类问题(例如三个类别:猫.狗和猪),就需要提供大量的猫.狗和猪的图片用以模型训练,然后给定一张新的图片,就能判定属于猫.狗或猪的其中哪一类.但是对于之前训练图 ...

  5. 微信小程序初窥-环境搭建

    关于微信小程序的背景知识,在此不做阐述,可以自行搜索了解.本文将介绍微信小程序的账号的注册,IDE的下载,创建一个实例小程序. 1.注册小程序 前去链接:https://mp.weixin.qq.co ...

  6. CUDA ---- 线程配置

    前言 线程的组织形式对程序的性能影响是至关重要的,本篇博文主要以下面一种情况来介绍线程组织形式: 2D grid 2D block 线程索引 矩阵在memory中是row-major线性存储的: 在k ...

  7. Jenkins+Jmeter+Ant自动化集成环境搭建

    1.搭建环境,安装以下工具 JDK:jdk1.7.0_79 Ant:apache-ant-1.9.7 Jmeter: apache-jmeter-3.0 Jenkins: jenkins-1.651. ...

  8. libev学习之ev_run

    好吧,神马都init好了,loop毕竟是个环呐,在哪跑起来呢,ok,他是ev_run的工作: int ev_run (EV_P_ int flags) { #if EV_FEATURE_API ++l ...

  9. 【刷题】LOJ 6227 「网络流 24 题」最长k可重线段集问题

    题目描述 给定平面 \(\text{xoy}\) 上 \(n\) 个开线段组成的集合 \(\text{I}\) ,和一个正整数 \(k\) ,试设计一个算法. 从开线段集合 \(\text{I}\) ...

  10. sql知识收集

    在SQL Server里面有top关键字可以很方便的取出前N条记录,但是Oracle里面却没有top的使用,类似实现取出前N条记录的简单方法如下: 方法1:利用ROW_NUMBER函数 取出前5条记录 ...