Windows 8.1新增的进程快照API简单探究


在Win8.1中，相比Win8新增了一组名为"进程快照"的API，是文档化的东西，它可以帮助我们在一个时间获取进程的某些信息，比如线程，句柄，CPU周期性能等数据，以便进行APP的性能分析和存储到文件等调试类帮助。

具体请看下面代码：

#include <Windows.h>
#include <ProcessSnapshot.h>

VOID WINAPI testThr(PVOID pv)
{
WaitForSingleObjectEx(GetCurrentThread(),INFINITE,FALSE); //线程永远挂起，不会退出
}

void main()
{
CHAR szBuffer[MAX_PATH] = {};
CreateThread(NULL,0,(LPTHREAD_START_ROUTINE)&testThr,NULL,0,NULL); //创建一个线程，现在当前进程有2个线程
HPSS hPssHandle = NULL;
if (PssCaptureSnapshot(GetCurrentProcess(),PSS_CAPTURE_THREADS|PSS_CAPTURE_THREAD_CONTEXT|PSS_CAPTURE_THREAD_CONTEXT_EXTENDED,0,&hPssHandle) == ERROR_SUCCESS)
{
CreateThread(NULL,0,(LPTHREAD_START_ROUTINE)&testThr,NULL,0,NULL); //再创建一个线程，现在当前进程有3个线程
PSS_THREAD_INFORMATION pssThread = {};
PssQuerySnapshot(hPssHandle,PSS_QUERY_THREAD_INFORMATION,&pssThread,sizeof(pssThread));
_itoa(pssThread.ThreadsCaptured,szBuffer,10);
MessageBoxA(NULL,szBuffer,NULL,0); //这个返回值为2，因为第二个CreateThread是在截取快照后才创建的
PSS_PROCESS_INFORMATION pssProcess = {};
PssQuerySnapshot(hPssHandle,PSS_QUERY_PROCESS_INFORMATION,&pssProcess,sizeof(pssProcess));
PssFreeSnapshot(GetCurrentProcess(),hPssHandle);
}
ExitProcess(0);
}

Pss*系列API由kernel32导出，按照常理，从Win7后微软开始MinWin策略，Pss*系列API应该会最终JMP到KernelBase.dll的同名API，可奇怪的是这次的Pss*系列API竟然完全在kernel32实现，KernelBase并没有导出这些API的真正实现，不知是否是赶工的原因，这个在Win8.1的Update 1后即可见分晓。

不过即便是在kernel32导出，最终实现还是调用了ntdll的几个PssNt*系列API，参数都差不多。

这组进程快照API的原理也很简单，基本上是在用户空间实现的，并没有生成新增的系统对象句柄，效率还是不错的。就是在kernel32!PssCaptureSnapshot->ntdll!PssNtCaptureSnapshot时，调用NtQueryInformationProcess取得这个时刻的进程相关的信息，然后申请内存保存起来，PssQuerySnapshot就是把保存的信息拿了出来罢了，PssFreeSnapshot后就是释放内存了。。

Pss系列API还有一组Walk的API，这里就不说了，大家自己看MSDN就好。