windows编程之进程枚举的三种方式

在windows中，获取进程枚举有3中方式，首先是进程快照，这种方式用的较少，它涉及到了几个API，来看一下。

第一个是CreateToolhelp32Snapshot，用于获取进程相关信息的快照，声明如下：

HANDLE WINAPI CreateToolhelp32Snapshot(
DWORD dwFlags,       //指定快照中包含的系统内容
DWORD th32ProcessID  //进程ID，为0时表示获取所有进程
);

第二个是Process32First，用于获取第一个进程的信息，声明如下：

BOOL WINAPI Process32First(
HANDLE hSnapshot,        //该参为上一个函数的返回值
LPPROCESSENTRY32 lppe    //PROCESSENTRY32结构体，用于保存进程快照信息
);

第三个是PROCESSENTRY32结构体，保存快照信息，声明如下：

typedef struct tagPROCESSENTRY32 {
DWORD dwSize; 		//结构体大小
DWORD cntUsage; 		//进程的引用计数，现在已经不用，为0
DWORD th32ProcessID; 		//进程的PID
ULONG_PTR th32DefaultHeapID;  //进程默认堆ID，现已不用，为0
DWORD th32ModuleID; 		//进程模块ID，现已不用，为0
DWORD cntThreads; 		//进程的线程计数
DWORD th32ParentProcessID; 	//父进程的ID
LONG  pcPriClassBase; 	//线程的优先级
DWORD dwFlags; 		//现已不用，为0
TCHAR szExeFile[MAX_PATH];    //进程的可执行文件名
} PROCESSENTRY32;
typedef PROCESSENTRY32 *PPROCESSENTRY32;

第四个是Process32Next，获取下一个进程的信息，一般与第二个函数一起使用，声明如下：

BOOL WINAPI Process32Next(
HANDLE hSnapshot,  		//该参数为第一个参数的返回值
LPPROCESSENTRY32 lppe  	//PROCESSENTRY32结构体，用于保存进程快照信息
);

再介绍一个关于打开一个进程的函数，OpenProcess，声明如下：

HANDLE OpenProcess(
DWORD dwDesiredAccess,  // 期望的访问权限
BOOL bInheritHandle,    // 是否继承父进程的句柄
DWORD dwProcessId       // 进程的PID
);

下面是进程快照的测试代码：

#include <windows.h>
#include <tlhelp32.h>
#include <iostream>

#include <stdio.h>

int main()
{
HANDLE hProcessSnap;
HANDLE hProcess;
PROCESSENTRY32 pe32;
// 先去给系统的进程链表拍个照片
hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
pe32.dwSize = sizeof(PROCESSENTRY32);
// 获取第一个进程
if (!Process32First(hProcessSnap,&pe32))
{
CloseHandle(hProcessSnap);
return -1;
}
do
{
printf("Process name:%s PID [ %d ]\n", pe32.szExeFile, pe32.th32ProcessID);
//若找到计算器进程
if (lstrcmp(pe32.szExeFile, "calc.exe") == 0)
{
//打开计算器进程，返回计算器的句柄
hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pe32.th32ProcessID);
//杀掉计算器
TerminateProcess(hProcess, 0);
}
} while (Process32Next(hProcessSnap,&pe32));

return 0;
}

第二种进程枚举的方法是调用EnumProcesses，这种方法用的最多，先介绍几个API。

第一个是EnumProcesses，用于枚举进程，其声明如下：

BOOL EnumProcesses(
DWORD *lpidProcess,  // 进程PID的数组
DWORD cb,            // PID数组的大小
DWORD *cbNeeded      // 数组返回的字节数
);

第二个是GetProcessImageFileName，获取指定进程的可执行文件名，其声明如下：

DWORD WINAPI GetProcessImageFileName(
HANDLE hProcess,		//进程句柄
LPTSTR lpImageFileName,	//接收可执行文件名（全路径）的缓冲区
DWORD  nSize			//缓冲区的大小
);

一下是第二种方式的测试代码：

#include <stdio.h>
#include <windows.h>
#include <Psapi.h>
#pragma comment(lib,"Psapi.lib")

int main()
{
DWORD dwProcessID[1000];
// 接收总共保存了多少字节到数组
DWORD dwCBNeed;
//枚举进程
EnumProcesses(dwProcessID, sizeof(dwProcessID), &dwCBNeed);
// 换算成进程的个数
DWORD dwProcessCnt = dwCBNeed / sizeof(DWORD);
//循环遍历进程，查找计算器进程
for (DWORD i = 0; i < dwProcessCnt; i++)
{
// 打开所有进程
HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessID[i]);
//缓冲区
char path[MAX_PATH];
//缓冲区清0
ZeroMemory(path, MAX_PATH);
// 获取进程的执行文件名称
GetProcessImageFileNameA(hProcess, path, MAX_PATH);
printf("Process ID [ %d ] - [ %s ]\n",dwProcessID[i],path);
//path = c:\\Windows\systemew\calc.exe
if (strstr(path,"calc.exe")!=0)
{
printf("已经找到计算器,正在结束...\n");
//结束计算器进程
TerminateProcess(hProcess, 0);
}
}
return 0;
}

下面简单的介绍一下，枚举进程的第三种方式，调用NtQuerySystemInformation这个API，这个函数比较特别，因为它是ntdll.dll动态链接库里边的一个导出函数，但是以前微软并没有在MSDN上公布出来（现在好像已经公布了），但是已经有大神把它给分析出来了，现在来看一下它的声明：

NTSTATUS WINAPI NtQuerySystemInformation(
SYSTEM_INFORMATION_CLASS SystemInformationClass,	//一个系统信息类的枚举值
PVOID                    SystemInformation,		//一个缓冲区，用于接收信息
ULONG                    SystemInformationLength,	//缓冲区的大小
PULONG                   ReturnLength			//系统返回的需要长度，一般为0
);

其实呢，我们操作系统的任务管理器也是调用了这个API，来列举进程的，这个API可以说是我们在应用层里调用的最底层的API了，这个API还会在内核层调用一个和它相同名字的API。因此，

因为微软没有打算给我们用，所有要用到这个就比较麻烦一点，这里就不写了，如果需要的话，可以去google或者百度一下，网上都是有的，若没有找到，可以支我一声，我会及时发给你的。