Windows下如何枚举所有进程

要编写一个类似于 Windows 任务管理器的软件，首先遇到的问题是如何实现枚举所有进程。暂且不考虑进入核心态去查隐藏进程一类的，下面提供几种方法。请注意每种方法的使用局限，比如使用这些 API 所需要的操作系统是什么(尤其是是否能在 Windows Mobile 下使用)。

　　本文参考用户态枚举进程的几种方法，原文对于每一种方法都给出了完整的代码，被我照抄下来。还有一篇：如何用 Win32 APIs 枚举应用程序窗口和进程。基于我现学现卖的本质，对我演绎的部分请抱着批判的眼光来看，另外代码也没有充分验证。

　　使用 ToolHelp API

　　ToolHelp API 的功能就是为了获取当前运行程序的信息，从而编写适合自己需要的工具(@MSDN)。它支持的平台比较广泛，可以在 Windows CE 下使用。在 Windows Mobile SDK 的 Samples 里面有一个 PViewCE 的样例程序，就是用这个来查看进程和线程信息的。

　　使用方法就是先用 CreateToolhelp32Snapshot 将当前系统的进程、线程、DLL、堆的信息保存到一个缓冲区，这就是一个系统快照。如果你只是对进程信息感兴趣，那么只要包含 TH32CS_SNAPPROCESS 标志即可。

　　然后调用一次 Process32First 函数，从快照中获取第一个进程，然后重复调用 Process32Next，直到函数返回 FALSE 为止。这样将遍历快照中进程列表。这两个函数都带两个参数，它们分别是快照句柄和一个 PROCESSENTRY32 结构。调用完 Process32First 或 Process32Next 之后，PROCESSENTRY32 中将包含系统中某个进程的关键信息。其中进程 ID 就存储在此结构的 th32ProcessID。此 ID 传给 OpenProcess API 可以获得该进程的句柄。对应的可执行文件名及其存放路径存放在 szExeFile 结构成员中。在该结构中还可以找到其它一些有用的信息。

　　需要注意的是：在调用 Process32First() 之前，要将 PROCESSENTRY32 结构的 dwSize 成员设置成 sizeof(PROCESSENTRY32)。 然后再用 Process32First、Process32Next 来枚举进程。使用结束后要调用 CloseHandle 来释放保存的系统快照。

　　以下为参考代码：

#include

　　#include

　　#include

　　void useToolHelp()

　　{

　　HANDLE procSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, );

　　if(procSnap == INVALID_HANDLE_VALUE)

　　{

　　printf("CreateToolhelp32Snapshot failed, %d ",GetLastError());

　　return;

　　}

　　//

　　PROCESSENTRY32 procEntry = {  };

　　procEntry.dwSize = sizeof(PROCESSENTRY32);

　　BOOL bRet = Process32First(procSnap,&procEntry);

　　while(bRet)

　　{

　　wprintf(L"PID: %d (%s) ", procEntry.th32ProcessID, procEntry.szExeFile);

　　bRet = Process32Next(procSnap, &procEntry);

　　}

　　CloseHandle(procSnap);

　　}

　　void main()

　　{

　　useToolHelp();

　　getchar();

　　}

使用 Processing Status API

　　在 Windows SDK 中可以找到 PSAPI，通过 PSAPI 可以获取进程列表和设备驱动列表。通过 EnumProcesses、EnumProcessModules、GetModuleFileNameEx 和 GetModuleBaseName 来实现。

　　首先使用 EnumProcesses 来枚举所有进程，它有三个参数：DWORD 类型的数组指针 lpidProcess;该数组的大小尺寸 cb;以及一个指向 DWORD 的指针 cbNeeded，它接收返回数据的长度。DWORD 数组用于保存当前运行的进程IDs。cbNeeded 返回数组所用的内存大小。下面算式可以得出返回了多少进程：nReturned = cbNeeded / sizeof(DWORD)。

　　注意：虽然文档将返回的 DWORD 命名为“cbNeeded”，实际上是没有办法知道到底要传多大的数组的。EnumProcesses 根本不会在 cbNeeded 中返回一个大于 cb 参数传递的数组值。所以，唯一确保 EnumProcesses 函数成功的方法是分配一个 DWORD 数组，并且，如果返回的 cbNeeded 等于 cb，分配一个较大的数组，并不停地尝试直到 cbNeeded 小于 cb 。

　　下面是参考代码：

#include

　　#include

　　#include

　　#include "psapi.h"

　　#pragma comment(lib,"psapi.lib")

　　void PrintProcessNameAndID(DWORD processID)

　　{

　　TCHAR szProcessName[MAX_PATH] = _T("");

　　HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS/* | PROCESS_QUERY_INFORMATION | PROCESS_VM_READ*/,FALSE,processID);

　　//Process name.

　　if(NULL!=hProcess)

　　{

　　HMODULE hMod;

　　DWORD cbNeeded;

　　if(EnumProcessModules(hProcess,&hMod,sizeof(hMod)， &cbNeeded))

　　{

　　GetModuleBaseName(hProcess,hMod,szProcessName,sizeof(szProcessName)/sizeof(TCHAR));

　　}

　　}

　　wprintf(_T("PID: %d (%s) ")，processID,szProcessName);

　　CloseHandle(hProcess);

　　}

　　void main( )

　　{

　　DWORD aProcesses[], cbNeeded, cProcesses;

　　unsigned int i;

　　if(!EnumProcesses(aProcesses,sizeof(aProcesses)，&cbNeeded))

　　return;

　　cProcesses = cbNeeded/sizeof(DWORD);

　　for(i=;i

　　PrintProcessNameAndID(aProcesses[i]);

　　getchar();

　　}

　　注意到，此方法由于需要进行 OpenProcess 操作，所以需要一定的权限，当权限不够时，有些进程将不能被打开。下面给出提升权限的相关代码：

　　void RaisePrivilege()

　　{

　　HANDLE hToken;

　　TOKEN_PRIVILEGES tp;

　　tp.PrivilegeCount = ;

　　tp.Privileges[].Attributes = SE_PRIVILEGE_ENABLED;

　　if(OpenProcessToken(GetCurrentProcess()，TOKEN_ALL_ACCESS,&hToken))

　　{

　　if(LookupPrivilegeValue(NULL,SE_DEBUG_NAME,&tp.Privileges[].Luid))

　　{

　　AdjustTokenPrivileges(hToken,FALSE,&tp,NULL,NULL,);

　　}

　　}

　　if(hToken)

　　CloseHandle(hToken);

　　}

使用 Native API

　　在 使用Native API 探测本机系统信息 中我介绍了 Native API 中的 NtQuerySystemInformation(ZwQuerySystemInformation)。当设置查询的信息类型为 SystemProcessesAndThreadsInformation 时(第5号功能)，可以用来枚举所有进程和线程。

　　提醒：这个函数属于 Undocumented API，并且不建议使用，因为不同系统的结构和常量有所不同。下面列出 Windows XP 下可以用的相关结构和常量：

typedef DWORD (WINAPI *ZWQUERYSYSTEMINFORMATION)(DWORD, PVOID, DWORD, PDWORD);

　　typedef struct _SYSTEM_PROCESS_INFORMATION

　　{

　　DWORD NextEntryDelta;

　　DWORD ThreadCount;

　　DWORD Reserved1[];

　　FILETIME ftCreateTime;

　　FILETIME ftUserTime;

　　FILETIME ftKernelTime;

　　UNICODE_STRING ProcessName;

　　DWORD BasePriority;

　　DWORD ProcessId;

　　DWORD InheritedFromProcessId;

　　DWORD HandleCount;

　　DWORD Reserved2[];

　　DWORD VmCounters;

　　DWORD dCommitCharge;

　　PVOID ThreadInfos[];

　　}SYSTEM_PROCESS_INFORMATION, *PSYSTEM_PROCESS_INFORMATION;

　　#define SystemProcessesAndThreadsInformation 5

然后动态加载 ntdll.dll，获得函数的地址。便可以进行进程的枚举相关代码如下：

#include

　　#include

　　#include

　　typedef DWORD (WINAPI *ZWQUERYSYSTEMINFORMATION)(DWORD, PVOID, DWORD, PDWORD);

　　typedef struct _SYSTEM_PROCESS_INFORMATION

　　{

　　DWORD NextEntryDelta;

　　DWORD ThreadCount;

　　DWORD Reserved1[];

　　FILETIME ftCreateTime;

　　FILETIME ftUserTime;

　　FILETIME ftKernelTime;

　　UNICODE_STRING ProcessName;

　　DWORD BasePriority;

　　DWORD ProcessId;

　　DWORD InheritedFromProcessId;

　　DWORD HandleCount;

　　DWORD Reserved2[];

　　DWORD VmCounters;

　　DWORD dCommitCharge;

　　PVOID ThreadInfos[];

　　}SYSTEM_PROCESS_INFORMATION, *PSYSTEM_PROCESS_INFORMATION;

　　#define SystemProcessesAndThreadsInformation 5

　　void main()

　　{

　　HMODULE hNtDll = GetModuleHandle(L"ntdll.dll");

　　if(!hNtDll)

　　return;

　　ZWQUERYSYSTEMINFORMATION ZwQuerySystemInformation = (ZWQUERYSYSTEMINFORMATION)GetProcAddress(hNtDll,"ZwQuerySystemInformation");

　　ULONG cbBuffer = 0x10000;

　　LPVOID pBuffer = NULL;

　　pBuffer = malloc(cbBuffer);

　　if(pBuffer == NULL)

　　return;

　　ZwQuerySystemInformation(SystemProcessesAndThreadsInformation,pBuffer,cbBuffer,NULL);

　　PSYSTEM_PROCESS_INFORMATION pInfo = (PSYSTEM_PROCESS_INFORMATION)pBuffer;

　　for(;;)

　　{

　　wprintf(L"PID: %d (%ls) ",pInfo->ProcessId,pInfo->ProcessName.Buffer);

　　if(pInfo->NextEntryDelta == )

　　break;

　　pInfo = (PSYSTEM_PROCESS_INFORMATION)(((PUCHAR)pInfo) + pInfo->NextEntryDelta);

　　}

　　free(pBuffer);

　　getchar();

　　}

对这个方法有问题的，可以参考我之前的那篇介绍 Native API 的文章。

　　同样使用 ZwQuerySystemInformation 函数，查询类型如果设置为 SystemHandleInformation(第16号功能)也可以达到目的。它能获取系统中所有句柄，再加上进程 ID 的判断就可以枚举所有进程了。

#include

　　#include

　　#include

　　#include

　　typedef NTSTATUS (WINAPI *ZWQUERYSYSTEMINFORMATION)(DWORD, PVOID, DWORD, PDWORD);

　　typedef struct _SYSTEM_HANDLE_INFORMATION

　　{

　　ULONG ProcessId;

　　UCHAR ObjectTypeNumber;

　　UCHAR Flags;

　　USHORT Handle;

　　PVOID Object;

　　ACCESS_MASK GrantedAccess;

　　}SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION;

　　typedef struct _SYSTEM_HANDLE_INFORMATION_EX

　　{

　　ULONG NumberOfHandles;

　　SYSTEM_HANDLE_INFORMATION Information[];

　　}SYSTEM_HANDLE_INFORMATION_EX, *PSYSTEM_HANDLE_INFORMATION_EX;

　　#define SystemHandleInformation 0x10 //

　　void main()

　　{

　　HMODULE hNtDll = LoadLibrary(L"ntdll.dll");

　　if(!hNtDll)

　　return;

　　ZWQUERYSYSTEMINFORMATION ZwQuerySystemInformation = (ZWQUERYSYSTEMINFORMATION)GetProcAddress(hNtDll,"ZwQuerySystemInformation");

　　ULONG cbBuffer = 0x4000;

　　LPVOID pBuffer = NULL;

　　NTSTATUS s;

　　do

　　{

　　pBuffer = malloc(cbBuffer);

　　if(pBuffer == NULL)

　　return;

　　memset(pBuffer,,cbBuffer);

　　s = ZwQuerySystemInformation(SystemHandleInformation,pBuffer,cbBuffer,NULL);

　　if(s == STATUS_INFO_LENGTH_MISMATCH)

　　{

　　free(pBuffer);

　　cbBuffer = cbBuffer * ;

　　}

　　}while(s == STATUS_INFO_LENGTH_MISMATCH);

　　PSYSTEM_HANDLE_INFORMATION_EX pInfo = (PSYSTEM_HANDLE_INFORMATION_EX)pBuffer;

　　ULONG OldPID = ;

　　for(DWORD i = ;iNumberOfHandles;i++)

　　{

　　if(OldPID != pInfo->Information[i].ProcessId)

　　{

　　OldPID = pInfo->Information[i].ProcessId;

　　wprintf(L"PID: %d ",OldPID);

　　}

　　}

　　free(pBuffer);

　　FreeLibrary(hNtDll);

　　getchar();

　　}

原文中提到，在进行进程“隐藏”工作的时候，此处的句柄是一件容易被忽略的地方，因此需要注意隐藏由程序打开的相关句柄。由于系统中句柄数量经常变换，所以没有什么必要修改其中的 NumberOfHandles 域，因为如果修改此处的值，则需要不停对句柄的变化进行维护，开销比较大。在用户态下的进程枚举已经变得不可靠，因为一个内核级的 Rootkit 很容易就能够更改这些函数的返回结果。所以进程的可靠枚举应在内核态中实现，可以通过编写驱动来实现。

　　有关16位程序

　　根据参考的第二篇文章：在 Windows 95，Windows 98 和 Windows ME 中，ToolHelp32 对待16位程序一视同仁，它们与 Win32 程序一样有自己的进程 IDs。但是在 Windows NT，Windows 2000 或 Windows XP 中情况并不是这样。在这些操作系统中，16位程序运行在所谓的 VDM 当中(也就是DOS机)。

　　为了在 Windows NT，Windows 2000 和 Windows XP 中枚举16位程序，必须使用一个名为 VDMEnumTaskWOWEx 的函数。它的声明包含在 Windows SDK 中的 VDMDBG.h 中，并且需要在项目中链接 VDMDBG.lib 文件。

　　微软的网上帮助里面有一篇介绍的文章：如何在 Windows NT、 Windows 2000 和 Windows XP 上使用 VDMDBG 函数。