4 进程控制

4.1 获得系统进程

使用toolhelp模块可以实现获取系统中当前运行当中的进程列表。

思路如下,使用CreateToolhelp32Snapshot函数给当前系统内执行的进程拍快照(Snapshot),也就是获得了进程列表,这个列表记录着进程的ID、进程对应的可执行文件的名称和创建该进程的进程ID等数据。然后使用Process32First函数和Process32Next函数遍历快照中记录的列表。

#include <windows.h>

#include <TlHelp32.h> // for snapshot

#include <stdio.h>

int main(int argc, char* argv[])

{

    PROCESSENTRY32 pe32;

    int iProcessCount;

    // initial its size

    pe32.dwSize = sizeof(pe32);

    iProcessCount = 0;

    // create snapshot for all processes

    HANDLE hProcessSnap = ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

    if (hProcessSnap == INVALID_HANDLE_VALUE)

    {

        printf("CreateToolhelp32Snapshot failure!\n");

        exit(1);

    }

    // traversal snapshot

    BOOL bMore = ::Process32First(hProcessSnap, &pe32);

    while (bMore)

    {

        printf("%-20.20s%6u%4u%6u%6u%6u%3ld\n", pe32.szExeFile,

            pe32.th32ProcessID, pe32.cntUsage, pe32.th32DefaultHeapID,

            pe32.th32ModuleID, pe32.th32ParentProcessID, pe32.pcPriClassBase);

        bMore = ::Process32Next(hProcessSnap, &pe32);

        iProcessCount ++;

    }

    // clear snapshot

    ::CloseHandle(hProcessSnap);

    printf("Processes count: %d\n\n", iProcessCount);

    getchar();

    return 0;

}

结果很容易理解。

CreateToolhelp32Snapshot用于获取系统内指定进程的快照,也可以获取这些进程使用的堆、模块、线程的快照。如:

HANDLE WINAPI CreateToolhelp32Snapshot(

    DWORD dwFlags,      // 指定快照内容

    DWORD th32ProcessID // 指定进程ID

);

dwFlags参数可以是如下值:

  • TH32CS_SNAPHEAPLIST枚举`th32ProcessID参数指定进程中的堆。
  • TH32CS_SNAPMODULE枚举`th32ProcessID参数指定进程中的模块。
  • TH32CS_SNAPPROCESS,此时`th32ProcessID参数被忽略。
  • TH32CS_SNAPTHREAD,此时`th32ProcessID参数被忽略。
  • TH32CS_SNAPALL,相当于以上4个值的并集。

根据获取快照的不同,使用下面几组函数来获取快照信息:

  • Heap32ListFirst Heap32ListNext
  • Module32First Module32Next
  • Process32First Process32Next
  • Thread32First Thread32Next
  • Heap32First Heap32Next

以上函数的第二个参数是指向如下之一结构的指针:

  • HEAPLIST32
  • HEAPENTRY32
  • MODULEENTRY32
  • THREADENTRY32
  • PROCESSENTRY32
typedef struct tagHEAPLIST32 {

    DWORD dwSize;

    DWORD th32ProcessID;

    DWORD th32HeapID;

    DWORD dwFlags;

} HEAPLIST32; 

typedef struct tagHEAPENTRY32

{

    DWORD dwSize;

    HANDLE hHandle;

    DWORD dwAddress;

    DWORD dwBlockSize;

    DWORD dwFlags;

    DWORD dwLockCount;

    DWORD dwResvd;

    DWORD th32ProcessID;

    DWORD th32HeapID;

} HEAPENTRY32;

typedef struct tagMODULEENTRY32 {

    DWORD dwSize;

    DWORD th32ModuleID;

    DWORD th32ProcessID;

    DWORD GlblcntUsage;

    DWORD ProccntUsage;

    BYTE *modBaseAddr;

    DWORD modBaseSize;

    HMODULE hModule;

    TCHAR szModule[MAX_MODULE_NAME32 + 1];

    TCHAR szExePath[MAX_PATH];

    DWORD dwFlags

} MODULEENTRY32;

typedef struct tagTHREADENTRY32{

    DWORD dwSize;

    DWORD cntUsage;

    DWORD th32ThreadID;

    DWORD th32OwnerProcessID;

    LONG tpBasePri;

    LONG tpDeltaPri;

    DWORD dwFlags;

    DWORD th32AccessKey;

    DWORD th32CurrentProcessID;

} THREADENTRY32; 

typedef struct tagPROCESSENTRY32 {

    DWORD dwSize;

    DWORD cntUsage;

    DWORD th32ProcessID;

    DWORD th32DefaultHeapID;

    DWORD th32ModuleID;

    DWORD cntThreads;

    DWORD th32ParentProcessID;

    LONG pcPriClassBase;

    DWORD dwFlags;

    TCHAR szExeFile[MAX_PATH];

    DWORD th32MemoryBase;

    DWORD th32AccessKey;

} PROCESSENTRY32;

4.2 终止当前进程

终止一个进程有如下4种方式:

  1. 主线程的入口函数返回。
  2. 进程中一个线程调用了ExitProcess函数。
  3. 此进程中的所有线程都结束了。
  4. 其他进程中的一个线程调用了TerminateProcess函数。

最常用的方式是让主线程的入口函数返回。当入口函数返回时,启动函数会调用C/C++运行期退出函数exit,并将用户的返回值传递给它。exit函数会销毁所有的全局的或者静态的C++对象,然后调用系统函数ExitProcess使操作系统终止应用程序。ExitProcess是一个API函数,它会结束当前应用程序的执行,并设置它的退出代码。

VOID ExitProcess(

    UINT uExitCode   // 所有线程的退出代码

);

在程序的任何地方都可以调用ExitProcess,强制当前程序的执行立即结束。这对操作系统来说,是正常的。但对C/C++应用程序应该避免直接调用这个函数。因为这会使C/C++运行期库得不到通知,而没有机会去调用全局的或者静态的C++对象的析构函数。

4.3 终止其他进程

ExitProcess函数只能用来结束当前进程,不能用于结束其他进程。如果要终止其他进程,可以使用TerminateProcess函数。

BOOL TerminateProcess(

    HANDLE hProcess, // 目标进程句柄

    UINT uExitCode   // 目标进程的退出代码

);

前面介绍过,使用CreateProcess函数创建新的进程,会得到新进程的句柄。对于不是自己创建的进程,可以使用OpenProcess函数来取得这进程的访问权限,函数如下:

HANDLE OpenProcess(

    DWORD dwDesiredAccess,  // 访问权限

    BOOL bInheritHandle,    // 返回的句柄是否可被继承

    DWORD dwProcessId       // 要打开的进程的ID

);

参数dwDesiredAccess指定的对进程的访问权限,可以是如下值:

说明
PROCESS_ALL_ACCESS 所有可进行的权限
PROCESS_CREATE_PROCESS 创建一个进程
PROCESS_CREATE_THREAD 创建一个线程
PROCESS_DUP_HANDLE 做为DuplicateHandle参数
PROCESS_QUERY_INFORMATION 查看进程信息的权限,如优先级类等
PROCESS_QUERY_LIMITED_INFORMATION 需要返回特定信息
PROCESS_SET_INFORMATION 设置进程的优先级
PROCESS_SET_QUOTA 设置内存限制
PROCESS_SUSPEND_RESUME 睡眠和唤醒
PROCESS_TERMINATE 关闭进程
PROCESS_VM_OPERATION 修改进程的地址空间
PROCESS_VM_READ 读进程内存
PROCESS_VM_WRITE 写进程内存
SYNCHRONIZE 等待进程结束

在进程结束后,调用GetExitCodeProcess函数可以取得其退出代码,如果调用时,目标进程还没有结束,此函数会返回STILL_ACTIVE,表示进程还在运行。通过该函数可以检测进程是否结束了。

BOOL GetExitCodeProcess(

    HANDLE hProcess,     // 目标进程句柄

    LPDWORD lpExitCode   // 目标进程的退出句柄

);

如果进程已经结束,其退出代码是通过下面几种方式设置的:

  1. ExitProcess或者TerminateProcess函数中指定。
  2. main或者WinMain的返回值。
  3. 由于未处理的异常导致的结束,返回相应的异常值。

一旦进程终止,就会如下事件发生:

  1. 所有被这个进程创建的或撕开的对象句柄就会关闭。
  2. 此进程内的所有线程将终止执行。
  3. 进程内核对象变成受信状态,所有等待在此对象上的线程开始运行,即WaitForSingleObject函数返回。
  4. 系统将进程对象中退出代码值由STILL_ACTIVE设置为指定的退出代码。

Windows程序设计(1)——Win32运行原理(三)的更多相关文章

  1. Windows程序设计(1)——Win32运行原理(一)

    CPU保护模式与Windows系统 1 Windows多任务 2 虚拟内存 3 处理器的特权级别 内核对象 1 内核对象有什么用 2 对象句柄 3 使用计数 1 CPU保护模式与Windows系统 8 ...

  2. Windows程序设计(1)——Win32运行原理(二)

    创建进程 1 进程和线程 2 应用程序的启动过程 3 CreateProcess函数 4 实例 3 创建进程 3.1 进程和线程 进程通常被定义为一个存在运行的程序的实例.进程是一个正在运行的程序,它 ...

  3. 第二章--Win32程序运行原理 (部分概念及代码讲解)

    学习<Windows程序设计>记录 概念贴士: 1. 每个进程都有赋予它自己的私有地址空间.当进程内的线程运行时,该线程仅仅能够访问属于它的进程的内存,而属于其他进程的内存被屏蔽了起来,不 ...

  4. C++学习笔记1(Windows程序运行原理及程序编写流程)

    窗口产生过程,句柄原理,消息队列,回调函数,窗口关闭与应用程序退出的工作关系,使用VC++的若干小技巧,stdcall与Lessonecl调用规范的比较,初学者常犯错误及注意事项.以下是应用程序与操作 ...

  5. 初级游戏外挂编程详解 windows运行原理+游戏辅助编程 游戏外挂编程

    详解游戏辅助编程 [目录] 1-什么是Windows API 2-Windows进程 3-Windows 的内存的运行原理 4-windows 中句柄的概念 5-Windows的变量类型 6-辅助实现 ...

  6. 【原创】分布式之数据库和缓存双写一致性方案解析(三) 前端面试送命题(二)-callback,promise,generator,async-await JS的进阶技巧 前端面试送命题(一)-JS三座大山 Nodejs的运行原理-科普篇 优化设计提高sql类数据库的性能 简单理解token机制

    [原创]分布式之数据库和缓存双写一致性方案解析(三)   正文 博主本来觉得,<分布式之数据库和缓存双写一致性方案解析>,一文已经十分清晰.然而这一两天,有人在微信上私聊我,觉得应该要采用 ...

  7. RocketMQ详解(三)启动运行原理

    专题目录 RocketMQ详解(一)原理概览 RocketMQ详解(二)安装使用详解 RocketMQ详解(三)启动运行原理 RocketMQ详解(四)核心设计原理 RocketMQ详解(五)总结提高 ...

  8. Windows 程序设计

    一.Win32 API /******************************************************************** created: 2014/04/1 ...

  9. Windows程序设计(0)——编程之前

    Windows程序设计之前 1 做什么 2 解决什么问题 3 有哪些资源 在开始真正的编程之前,需要了解要做的事情是什么,要解决的解决的问题是什么,有哪些资源可以使用. 1 Windows程序设计之前 ...

随机推荐

  1. Ural 1774 Barber of the Army of Mages 最大流

    题目链接:http://acm.timus.ru/problem.aspx?space=1&num=1774 1774. Barber of the Army of Mages Time li ...

  2. Uoj #350. 新年的XOR

    前缀异或和是可以讨论的,非常naive,然后这就是个水题了23333 #include<bits/stdc++.h> #define ll long long using namespac ...

  3. 品质与合身 无须昂贵 | Tailorwoods在线男装定制

    品质与合身 无须昂贵 | Tailorwoods在线男装定制 北京市朝阳区姚家园北一路八月照相馆2F

  4. Cocos2d-X中Menu的综合运用

    今天将曾经写的代码和项目集成到了一个菜单中,能够通过菜单切换到曾经做的项目 程序的project文件夹 主要代码分析: LessonMenu.h中实现创建菜单,遍历菜单通过菜单切换到各个项目 #ifn ...

  5. U盘启动时提示starting cmain,3种终极解决方案

    U盘启动时提示“starting cmain”一般是这样子的: <ignore_js_op> 这种情况,一般是制作好了PE启动U盘之后,启动不了才会这样,一般正常情况的话,这一句英文是一闪 ...

  6. DICOM医学图像处理:Orthanc Plugin SDK实现WADO服务

    背景: Orthanc是博主发现的一个很完美的DICOM和HTTP服务端开源软件,前几篇分别介绍了Orthanc的基本使用.Orthanc从0.8.0版本之后给出了Plugin SDK,通过该SDK可 ...

  7. 第五讲_图像识别之图像检测Image Detection

    第五讲_图像识别之图像检测Image Detection 目录 物体检测 ILSVRC竞赛200类(每个图片多个标签):输出类别+Bounding Box(x,y,w,h) PASCAL VOC 20 ...

  8. [C++设计模式] proxy 代理模式

    代理模式:为其它对象提供一种代理以控制对这个对象的訪问. Proxy: 保存一个引用使得代理能够訪问实体.若RealSubject和Subject的接口同样,Proxy会引用Subject,就相当于在 ...

  9. 从TCP协议的原理来谈谈rst复位攻击

    在谈RST攻击前,必须先了解TCP:如何通过三次握手建立TCP连接.四次握手如何把全双工的连接关闭掉.滑动窗体是怎么数据传输的.TCP的flag标志位里RST在哪些情况下出现.以下我会画一些尽量简化的 ...

  10. java性能监控工具jconsole-windows

    jconsole Starts a graphical console that lets you monitor and manage Java applications. Synopsis jco ...