进程信息

最新推荐文章于 2023-07-30 00:18:57 发布

liwei8703

最新推荐文章于 2023-07-30 00:18:57 发布

阅读量1.4k

点赞数

文章标签： null module buffer delete access query

关于进程的枚举获取:

距我所知，枚举进程总共有4种方法，也包括四种不同的库，我采用用了前面的三种来获取进程的详细信息，当然是对自己关心的信息。
它们分别采用了：

包含库: psapi.lib WtsApi32.lib;
头文件: #include <TLHELP32.H>,#include <WtsApi32.h>,#include <psapi.h>;

还有一种方法是由ntdll.dll提供的函数来获取进程信息的，我没有采用，因为前面的三种方法一起能获取很多的进程信息了，对我来说已经够了。

另外为了方便我也写了一个进程管理的类，把相应的功能封装在一起。

主要的技术有：

1.权限的提升：

其中涉及到几个API函数，是在编写系统相关函数常用到的，看代码应该能理解了。

2.为了获得自己感兴趣的信息，定义了两个结构体，把他们分开也是为了方便管理，因为有的信息不可能是同一块获得的。

获得相关信息的代码如下：

void CMyProcess::ReadSystemProcessInfo()
{
HANDLE hProcessSnap=NULL,hProcess=NULL,hModule=NULL,hToken = NULL;
SHFILEINFO shfinfo;
PROCESSENTRY32 pe32;
MODULEENTRY32 me32;
pe32.dwSize=sizeof(PROCESSENTRY32);
me32.dwSize=sizeof (MODULEENTRY32);
PWTS_PROCESS_INFO processInfo;
DWORD dwCount;
hProcessSnap=CreateToolhelp32Snapshot (TH32CS_SNAPPROCESS,0);
WTSEnumerateProcesses (WTS_CURRENT_SERVER_HANDLE,0,1,&processInfo,&dwCount);
MY_PROCESS_INFO* pMyProcessInfo=new MY_PROCESS_INFO[dwCount];
if(::Process32First(hProcessSnap,&pe32))
{
do
{
//首先,获得进程的一些常用信息:进程名、进程ID、父进程ID、进程优先级、进程所使用的线程数
::memset (&pMyProcessInfo[m_nProcNum],NULL,sizeof(MY_PROCESS_INFO));//初始化动态分配的空间
pMyProcessInfo[m_nProcNum].lpProcessName=new char[sizeof (pe32.szExeFile)];
::strcpy(pMyProcessInfo [m_nProcNum].lpProcessName,pe32.szExeFile);
pMyProcessInfo [m_nProcNum].dwProcParentID=pe32.th32ParentProcessID;
if (pe32.th32ParentProcessID==0)
{
m_nProcNum++;//判断并去掉两个特殊的进程System和[System Process]
continue;    //只需要获得进程名以及父进程 ID为0就够了
}
pMyProcessInfo [m_nProcNum].dwProcessID=pe32.th32ProcessID;
pMyProcessInfo [m_nProcNum].dwThreads=pe32.cntThreads;
pMyProcessInfo [m_nProcNum].dwPriority=pe32.pcPriClassBase;
//获得进程窗口句柄,没有窗口则获得 NULL
pMyProcessInfo[m_nProcNum].hWnd=GetProcessMainWnd (pe32.th32ProcessID);
//获得进程命令行
pMyProcessInfo [m_nProcNum].lpCmdLine=new char[512];
::strcpy(pMyProcessInfo [m_nProcNum].lpCmdLine,"");
GetCmdLine (pe32.th32ProcessID,pMyProcessInfo [m_nProcNum].lpCmdLine,512);
// 获得完整的进程文件路径
hModule=::CreateToolhelp32Snapshot (TH32CS_SNAPMODULE,pe32.th32ProcessID);
Module32First(hModule, &me32);//创建模块快照,这个可获得完整的进程文件路径
pMyProcessInfo [m_nProcNum].lpProcessPath=new char[sizeof (me32.szExePath)];
TranslateFilename(pMyProcessInfo [m_nProcNum].lpProcessPath,me32.szExePath);
CloseHandle (hModule);
//获得内存以及时间信息,注意OpenProcess的权限问题
hProcess=::OpenProcess (PROCESS_QUERY_INFORMATION,FALSE,pe32.th32ProcessID);
::GetProcessMemor yInfo(hProcess,&pMyProcessInfo [m_nProcNum].procMemCounter,
sizeof(PROCESS_MEMORY_COUNTERS));// 获得进程内存使用信息
::GetProcessTimes(hProcess,&pMyProcessInfo [m_nProcNum].creationTime,
&pMyProcessInfo [m_nProcNum].exitTime,&pMyProcessInfo [m_nProcNum].kernelTime,
&pMyProcessInfo [m_nProcNum].userTime);//获得进程时间信息
CloseHandle(hProcess);
//获得进程文件的图标信息(图标句柄)
::SHGetFileInfo(pMyProcessInfo [m_nProcNum].lpProcessPath,0,&shfinfo,
sizeof (SHFILEINFO),SHGFI_ICON);
if(shfinfo.hIcon)
pMyProcessInfo [m_nProcNum].hIcon=shfinfo.hIcon;
else
pMyPr ocessInfo[m_nProcNum].hIcon=NULL;
//获得进程的SessionId、UserSid,特别是通过UserSid(SID)能获得创建进程的用户名
for(int i=0;i<dwCount;i++)
{
if(pMyProcessInfo[m_nProcNum].dwProcessID==processInfo [i].ProcessId)
{//采用"碰撞"取得对应
pMyProcessInfo [m_nProcNum].dwProcSessionID=processInfo[i].SessionId;//似乎总为0的
pMyProcessInfo[m_nProcNum].dwProcUserID=processInfo [i].pUserSid;
pMyProcessInfo [m_nProcNum].lpProcessCreator=GetUserNameFromUserSid(processInfo [i].pUserSid);
break;
}
}
m_nProcNum++;
}
while (Process32Next (hProcessSnap,&pe32));
}
CloseHandle(hProcessSnap);
m_pMyProcInfo=pMyProcessInfo;//将指针传给成员变量,二者指向同一内存块
}

其中大量使用了动态分配内存，主要是为了尽可能地有效利用内存，经过两天的测试，这个类没有任何内存泄露。

3.动态分配内存的释放：

其中内存是分别释放的，我也没办法，而且这里必须注意内存释放问题：
如果结构体本身是new出来的，但是里面的内容也含有new出来的数据、指针什么的，必须先将里面的释放完了再把结构体所占的内存释放掉！！

4.由于NT遗留下来的问题，进程的路径获得中会出现一些小问题：

5.通过进程ID获得进程窗口的句柄：

6.获得进程的命令行：

DWORD CMyProcess::GetCmdLine(DWORD dwPID,TCHAR* pCmdLine,DWORD dwBufLen)
{
//reading buffer for the commandline
#define BUFFER_LEN  512
HANDLE hProc = OpenProcess (PROCESS_VM_READ,FALSE,dwPID);
if(hProc == NULL)
{
return GetLastError();
}
DWORD dwRet = -1;
DWORD dwAddr = *(DWORD*) ((DWORD)GetCommandLine + 1);//第2个字节开始才是我们要读的地址
TCHAR tcBuf [BUFFER_LEN];
DWORD dwRead = 0;
//判断平台
DWORD dwVer = GetVersion();
try
{
if(dwVer < 0x80000000)         // Windows NT/2000/XP
{
if(ReadProcessMemory(hProc,(LPVOID) dwAddr,&dwAddr,4,&dwRead))
{
if (ReadProcessMemory(hProc,(LPVOID)dwAddr,tcBuf,BUFFER_LEN,&dwRead))
{
_tcsncpy (pCmdLine,tcBuf,dwBufLen);    //最好检查一下dwRead和dwBufLen的大小，使用较小的那个
dwRet = 0;
}
}
}
else                         // Windows 95/98/Me    and Win32s
{
while(true)                 //使用while是为了出错时方便跳出循环
{
if(! ReadProcessMemory(hProc,(LPVOID)dwAddr,&dwAddr,4,&dwRead)) break;
if(!ReadProcessMemory(hProc,(LPVOID) dwAddr,&dwAddr,4,&dwRead)) break;
if(!ReadProcessMemory(hProc,(LPVOID)(dwAddr + 0xC0),tcBuf,BUFFER_LEN,&dwRead)) break;
if(*tcBuf == 0)
{
if(!ReadProcessMemory(hProc, (LPVOID)(dwAddr + 0x40),&dwAddr,4,&dwRead)) break;
if(!ReadProcessMemory(hProc,(LPVOID)(dwAddr + 0x8),&dwAddr,4,&dwRead)) break;
if(! ReadProcessMemory(hProc,(LPVOID)dwAddr,tcBuf,BUFFER_LEN,&dwRead)) break;
}
_tcsncpy (pCmdLine,tcBuf,dwBufLen);    //最好检查一下dwRead和dwBufLen的大小，使用较小的那个
dwRet = 0;
break;
}
}
}
catch(...)
{
dwRet = ERROR_INVALID_ACCESS;    //exception
}
CloseHandle (hProc);
return dwRet;
}

7.获得进程所调用的模块信息：

PROCESS_MODULE_INFO* CMyProcess::GetProcessModuleInfo(DWORD dwProcessID)
{
//获得 进程所调用的模块信息，最主要的是调用的模块的文件路径,由于不同的权限所取得信息时会遇到
// 不同的问题,所以这里采用了一个判断比如采用PROCESS_QUERY_INFORMATION时OpenProcess打 开的进程
//句柄能获得很多进程的信息,但是部分的进程OpenProcess时会出现Access denied的情况, 所以此时就
//采用PROCESS_ALL_ACCESS的权限,我也是没办法才这样哎.
PROCESS_MODULE_INFO* pProcModuleInfo=new PROCESS_MODULE_INFO;
HANDLE hProcess;
HMODULE hMods[256];
DWORD dwNeeded,dwFileSize;
hProcess=OpenProcess(PROCESS_ALL_ACCESS,TRUE,dwProcessID);
if(!hProcess)
hProcess=OpenProcess (PROCESS_QUERY_INFORMATION,TRUE,dwProcessID);
if(EnumProcessModules (hProcess,hMods,sizeof(hMods),&dwNeeded))
{
pProcModuleInfo- >uProcModuleNum=dwNeeded/sizeof(HMODULE);
//下面这个只能在这里new,不能在for循环内部!!
pProcModuleInfo->lpModulePath=new LPSTR[(dwNeeded/sizeof (HMODULE))];//LPSTR也可以换成char*,它们的意思一样
for (int i=0;i< (dwNeeded/sizeof(HMODULE));i++)
{
char szModName [1024]; //局部变量
if (GetModuleFileNameEx(hProcess, hMods[i], szModName,
sizeof(szModName)/sizeof(TCHAR)))
{//由于数组可能比较大,因此这里所占用的内存比较大,释放内存时要特别注意!
pProcModuleInfo->lpModulePath[i]=new char[sizeof (szModName)];
TranslateFilename(pProcModuleInfo->lpModulePath [i],szModName);
}
}
}
else
pProcModuleInfo- >uProcModuleNum=0;
CloseHandle(hProcess);
return pProcModuleInfo;
}

8.获得创建进程的用户名：