枚舉頂層窗口
如果將枚舉進(jìn)程與枚舉桌面上的頂層窗口進(jìn)行比較,那么枚舉頂層窗口可能更容易一些。要枚舉頂層窗口,請(qǐng)使用 EnumWindows() 函數(shù)。不要使用 GetWindow() 創(chuàng)建自己的窗口列表,因?yàn)樗赡苁?nbsp;z 軸次序更改和丟失窗口的干擾。
EnumWindows() 將指向某個(gè)回調(diào)函數(shù)的指針以及用戶定義的 LPARAM 值作為其參數(shù)。它對(duì)桌面上的每個(gè)窗口(或頂層窗口)分別調(diào)用一次回調(diào)函數(shù)。然后,回調(diào)函數(shù)可以對(duì)此窗口句柄進(jìn)行某種處理,如將其添加到一個(gè)列表中。此方法可以保證不受窗口 z 軸次序更改等項(xiàng)的干擾。在獲取窗口句柄后,可以通過(guò)調(diào)用 GetWindowText() 來(lái)獲取其標(biāo)題。
回到頂端
枚舉進(jìn)程
在系統(tǒng)中創(chuàng)建進(jìn)程列表比枚舉窗口要稍微復(fù)雜一些。這主要是因?yàn)閳?zhí)行此操作的 API 函數(shù)因所使用的 Win32 操作系統(tǒng)而異。在 Windows 95、Windows 98、Windows Millennium Edition、Windows 2000 和 Windows XP 中,可以使用 ToolHelp32 API 庫(kù)中的函數(shù)。但是,在 Windows NT 中,必須使用 PSAPI API 庫(kù)中的函數(shù)(Platform SDK 中包含該庫(kù))。本文將討論這兩種技術(shù),另外還提供一個(gè)稱為 EnumProcs() 的示例包裝函數(shù),該函數(shù)可以在 Win32 操作系統(tǒng)中運(yùn)行。
回到頂端
使用 ToolHelp32 庫(kù)枚舉進(jìn)程
首先討論 ToolHelp32 方法。KERNEL32.dll 中的 ToolHelp32 函數(shù)是標(biāo)準(zhǔn)的 API 函數(shù)。注意,在 Windows NT 4.0 中不提供這些 API。
可以使用 ToolHelp32 提供的各種函數(shù),枚舉系統(tǒng)中的進(jìn)程和線程以及獲取內(nèi)存和模塊信息。但是,在枚舉進(jìn)程時(shí),僅需要使用以下三個(gè)函數(shù):CreateToolhelp32Snapshot()、Process32First() 和 Process32Next()。
使用 ToolHelp32 函數(shù)的第一步是創(chuàng)建系統(tǒng)信息的"快照"。可以使用 CreateToolhelp32Snapshot() 函數(shù)完成這一步。此函數(shù)允許選擇在快照中存儲(chǔ)的信息類型。如果您需要進(jìn)程信息,則一定要包括 TH32CS_SNAPPROCESS 標(biāo)志。CreateToolhelp32Snapshot() 函數(shù)返回一個(gè)句柄,在使用完該句柄后,必須將其傳遞到 CloseHandle()。
下一步,為了檢索快照中的進(jìn)程列表,可以調(diào)用一次 Process32First,然后重復(fù)調(diào)用多次 Process32Next。執(zhí)行此操作,直到其中的一個(gè)函數(shù)返回 FALSE 為止。這將逐個(gè)獲得快照進(jìn)程列表中的進(jìn)程。這兩個(gè)函數(shù)都將"快照"句柄和指向 PROCESSENTRY32 結(jié)構(gòu)的指針作為其參數(shù)。
在調(diào)用 Process32First 或 Process32Next 后,PROCESSENTRY32 結(jié)構(gòu)將包含系統(tǒng)中某個(gè)進(jìn)程的有用信息。進(jìn)程 ID 在該結(jié)構(gòu)的 th32ProcessID 成員中。可以將它傳遞到 OpenProcess() 以獲取該進(jìn)程的句柄。該進(jìn)程的可執(zhí)行文件和路徑存儲(chǔ)在結(jié)構(gòu)的 szExeFile 成員中。還可以在此結(jié)構(gòu)中找到其他有用的信息。
備注:切記,在調(diào)用 Process32First() 之前,將 PROCESSENTRY32 結(jié)構(gòu)的 dwSize 成員設(shè)置為 sizeof(PROCESSENTRY32)。
回到頂端
使用 PSAPI 庫(kù)枚舉進(jìn)程
在 Windows NT 中創(chuàng)建進(jìn)程列表的方法是使用 PSAPI.dll 中的 PSAPI 函數(shù)。此文件是隨 Platform SDK 分發(fā)的,可以從以下 Microsoft Web 站點(diǎn)下載該文件:
Microsoft Platform SDK
http://www.microsoft.com/msdownload/platformsdk/sdkupdate/
所需的 PSAPI.h 和 PSAPI.lib 文件也包含在 Platform SDK 中。
要使用 PSAPI 庫(kù)中的函數(shù),請(qǐng)將 PSAPI.lib 文件添加到您的項(xiàng)目中,并將 PSAPI.h 文件包含到任何調(diào)用 PSAPI API 的模塊中。切記,要將 PSAPI.dll 文件與使用它的任何可執(zhí)行文件一起分發(fā),因?yàn)闆](méi)有隨 Windows NT 4.0 分發(fā)該文件。可以從以下位置下載可重新分發(fā)的 PSAPI.dll 版本(如果沒(méi)有完整的 Platform SDK 的話):
Platform SDK 可重新分發(fā)的版本:用于 Windows NT 的 PSAPI
http://www.microsoft.com/downloads/release.asp?releaseid=30337
與 ToolHelp32 函數(shù)一樣,PSAPI 也包含很多其他的有用函數(shù)。但是,本文只討論與枚舉進(jìn)程有關(guān)的函數(shù):EnumProcesses()、EnumProcessModules()、GetModuleFileNameEx() 和 GetModuleBaseName()。
創(chuàng)建進(jìn)程列表的第一步是調(diào)用 EnumProcesses()。以下是其聲明:
BOOL EnumProcesses( DWORD *lpidProcess, DWORD cb, DWORD *cbNeeded );
需要給 EnumProcesses() 傳入三個(gè)參數(shù):指向 DWORD 數(shù)組的指針 (lpidProcess)、該數(shù)組的大小 (cb) 以及另一個(gè)指向 DWORD 的指針 (cbNeeded)(用于獲取返回?cái)?shù)據(jù)的長(zhǎng)度)。使用當(dāng)前所運(yùn)行進(jìn)程的進(jìn)程 ID 數(shù)組來(lái)填充 DWORD 數(shù)組。cbNeeded 參數(shù)返回所使用數(shù)組的大小。以下計(jì)算告訴您返回了多少個(gè)進(jìn)程 ID:nReturned = cbNeeded / sizeof(DWORD)。
備注:雖然本文將返回的 DWORD 命名為"cbNeeded",但實(shí)際上無(wú)法確定在數(shù)組中傳遞的進(jìn)程到底有多少。EnumProcesses() 在 cbNeeded 中返回的值絕不會(huì)大于在 cb 參數(shù)中傳遞的數(shù)組值。因此,要確保成功使用 EnumProcesses() 函數(shù),唯一的方法是分配一個(gè) DWORD 數(shù)組,如果返回時(shí) cbNeeded 等于 cb,則分配較大的數(shù)組并重試,直到 cbNeeded 小于 cb 時(shí)為止。
現(xiàn)在,數(shù)組包含系統(tǒng)中的每個(gè)進(jìn)程 ID。如果您的目標(biāo)是獲取進(jìn)程名,則必須先獲取句柄。要從進(jìn)程 ID 中獲取句柄,請(qǐng)使用 OpenProcess()。
在獲取句柄后,需要獲取進(jìn)程的第一個(gè)模塊。要獲取進(jìn)程的第一個(gè)模塊,請(qǐng)使用以下參數(shù)調(diào)用 EnumProcessModules() API:
EnumProcessModules( hProcess, &hModule, sizeof(hModule), &cbReturned );
這將把進(jìn)程第一個(gè)模塊的句柄放在 hModule 變量中。切記,進(jìn)程實(shí)際上并沒(méi)有名稱,但進(jìn)程中的第一個(gè)模塊是該進(jìn)程的可執(zhí)行文件。現(xiàn)在,可以將返回的模塊句柄 (hModule) 用于 GetModuleFileNameEx() 或 GetModuleBaseName() API,以獲取進(jìn)程可執(zhí)行文件的完整路徑名或簡(jiǎn)單模塊名。這兩個(gè)函數(shù)需要傳入進(jìn)程句柄、模塊句柄以及返回名稱的緩沖區(qū)指針,后面是緩沖區(qū)的大小。
通過(guò)對(duì) EnumProcesses() API 返回的每個(gè)進(jìn)程 ID 重復(fù)上述步驟,即可創(chuàng)建 Windows NT 中進(jìn)程的列表。
回到頂端
16 位進(jìn)程
在 Windows 95、Windows 98 和 Windows Millennium Edition 上,對(duì) ToolHelp32 而言,所有 16 位應(yīng)用程序是平等的。與 Win32 應(yīng)用程序一樣,16 位應(yīng)用程序也具有進(jìn)程 ID 等。但是,在 Windows NT、Windows 2000 或 Windows XP 中,則不是這樣。在這些操作系統(tǒng)上,16 位應(yīng)用程序運(yùn)行在 DOS 虛擬機(jī) (VDM) 中。
要在 Windows NT、Windows 2000 和 Windows XP 中枚舉 16 位應(yīng)用程序,必須使用名為 VDMEnumTaskWOWEx() 的函數(shù)。必須在源模塊中包含 VDMDBG.h,并且 VDMDBG.lib 文件必須與項(xiàng)目鏈接在一起。這兩個(gè)文件包含在 Platform SDK 中。
此函數(shù)的聲明如下:
INT WINAPI VDMEnumTaskWOWEx( DWORD dwProcessId, TASKENUMPROCEX fp,
LPARAM lparam );
其中,dwProcessId 是要枚舉其 16 位任務(wù)的 NTVDM 進(jìn)程的標(biāo)識(shí)符。fp 參數(shù)是指向回調(diào)枚舉函數(shù)的指針。lparam 參數(shù)是要傳遞給枚舉函數(shù)的用戶定義值。
枚舉函數(shù)應(yīng)當(dāng)定義如下:
BOOL WINAPI Enum16( DWORD dwThreadId, WORD hMod16, WORD hTask16, PSZ
pszModName, PSZ pszFileName, LPARAM lpUserDefined );
對(duì)于傳遞到 VDMEnumTaskWOWEx() 的 NTVDM 進(jìn)程中運(yùn)行的每個(gè) 16 位任務(wù),分別調(diào)用一次該函數(shù)。如果要繼續(xù)枚舉,則應(yīng)該返回 FALSE,如果要結(jié)束枚舉,則應(yīng)該返回 TRUE。注意,這與 EnumWindows() 正好相反。
回到頂端
示例代碼
下示例代碼將 PSAPI 和 ToolHelp32 函數(shù)封裝在名為 EnumProcs() 的函數(shù)中。此函數(shù)與 EnumWindows() 類似,因?yàn)樗步邮苤赶蚰硞€(gè)函數(shù)的指針并重復(fù)調(diào)用它(對(duì)系統(tǒng)中的每個(gè)進(jìn)程分別調(diào)用一次)。以下是該函數(shù)的聲明:
BOOL WINAPI EnumProcs( PROCENUMPROC lpProc, LPARAM lParam );
如果使用該函數(shù),則將回調(diào)函數(shù)聲明如下:
BOOL CALLBACK Proc( DWORD dw, WORD w16, LPCSTR lpstr, LPARAM lParam );
其中,dw 參數(shù)將包含 ID;"w16"是 16 位任務(wù)編號(hào)或 0(如果是 32 位進(jìn)程,則在 Windows 95 下始終為零);lpstr 參數(shù)將指向文件名;lParam 是傳遞給 EnumProcs() 的用戶定義的 lParam。
EnumProcs() 函數(shù)通過(guò)顯式鏈接使用 ToolHelp32 和 PSAPI 函數(shù),而不是通過(guò)更常用的隱式鏈接。通過(guò)使用這種技術(shù),可以使代碼在所有 Win32 操作系統(tǒng)中二進(jìn)制兼容。
//
// EnumProc.c
//
#include <windows.h>
#include <stdio.h>
#include <tlhelp32.h>
#include <vdmdbg.h>
typedef BOOL (CALLBACK *PROCENUMPROC)(DWORD, WORD, LPSTR, LPARAM);
typedef struct {
DWORD dwPID;
PROCENUMPROC lpProc;
DWORD lParam;
BOOL bEnd;
} EnumInfoStruct;
BOOL WINAPI EnumProcs(PROCENUMPROC lpProc, LPARAM lParam);
BOOL WINAPI Enum16(DWORD dwThreadId, WORD hMod16, WORD hTask16,
PSZ pszModName, PSZ pszFileName, LPARAM lpUserDefined);
//
// The EnumProcs function takes a pointer to a callback function
// that will be called once per process with the process filename
// and process ID.
//
// lpProc -- Address of callback routine.
//
// lParam -- A user-defined LPARAM value to be passed to
// the callback routine.
//
// Callback function definition:
// BOOL CALLBACK Proc(DWORD dw, WORD w, LPCSTR lpstr, LPARAM lParam);
//
BOOL WINAPI EnumProcs(PROCENUMPROC lpProc, LPARAM lParam) {
OSVERSIONINFO osver;
HINSTANCE hInstLib = NULL;
HINSTANCE hInstLib2 = NULL;
HANDLE hSnapShot = NULL;
LPDWORD lpdwPIDs = NULL;
PROCESSENTRY32 procentry;
BOOL bFlag;
DWORD dwSize;
DWORD dwSize2;
DWORD dwIndex;
HMODULE hMod;
HANDLE hProcess;
char szFileName[MAX_PATH];
EnumInfoStruct sInfo;
// ToolHelp Function Pointers.
HANDLE (WINAPI *lpfCreateToolhelp32Snapshot)(DWORD, DWORD);
BOOL (WINAPI *lpfProcess32First)(HANDLE, LPPROCESSENTRY32);
BOOL (WINAPI *lpfProcess32Next)(HANDLE, LPPROCESSENTRY32);
// PSAPI Function Pointers.
BOOL (WINAPI *lpfEnumProcesses)(DWORD *, DWORD, DWORD *);
BOOL (WINAPI *lpfEnumProcessModules)(HANDLE, HMODULE *, DWORD,
LPDWORD);
DWORD (WINAPI *lpfGetModuleBaseName)(HANDLE, HMODULE, LPTSTR, DWORD);
// VDMDBG Function Pointers.
INT (WINAPI *lpfVDMEnumTaskWOWEx)(DWORD, TASKENUMPROCEX, LPARAM);
// Retrieve the OS version
osver.dwOSVersionInfoSize = sizeof(osver);
if (!GetVersionEx(&osver))
return FALSE;
// If Windows NT 4.0
if (osver.dwPlatformId == VER_PLATFORM_WIN32_NT
&& osver.dwMajorVersion == 4) {
__try {
// Get the procedure addresses explicitly.We do
// this so we don't have to worry about modules
// failing to load under OSes other than Windows NT 4.0
// because references to PSAPI.DLL can't be resolved.
hInstLib = LoadLibraryA("PSAPI.DLL");
if (hInstLib == NULL)
__leave;
hInstLib2 = LoadLibraryA("VDMDBG.DLL");
if (hInstLib2 == NULL)
__leave;
// Get procedure addresses.
lpfEnumProcesses = (BOOL (WINAPI *)(DWORD *, DWORD, DWORD*))
GetProcAddress(hInstLib, "EnumProcesses");
lpfEnumProcessModules = (BOOL (WINAPI *)(HANDLE, HMODULE *,
DWORD, LPDWORD)) GetProcAddress(hInstLib,
"EnumProcessModules");
lpfGetModuleBaseName = (DWORD (WINAPI *)(HANDLE, HMODULE,
LPTSTR, DWORD)) GetProcAddress(hInstLib,
"GetModuleBaseNameA");
lpfVDMEnumTaskWOWEx = (INT (WINAPI *)(DWORD, TASKENUMPROCEX,
LPARAM)) GetProcAddress(hInstLib2, "VDMEnumTaskWOWEx");
if (lpfEnumProcesses == NULL
|| lpfEnumProcessModules == NULL
|| lpfGetModuleBaseName == NULL
|| lpfVDMEnumTaskWOWEx == NULL)
__leave;
//
// Call the PSAPI function EnumProcesses to get all of the
// ProcID's currently in the system.
//
// NOTE:In the documentation, the third parameter of
// EnumProcesses is named cbNeeded, which implies that you
// can call the function once to find out how much space to
// allocate for a buffer and again to fill the buffer.
// This is not the case.The cbNeeded parameter returns
// the number of PIDs returned, so if your buffer size is
// zero cbNeeded returns zero.
//
// NOTE:The "HeapAlloc" loop here ensures that we
// actually allocate a buffer large enough for all the
// PIDs in the system.
//
dwSize2 = 256 * sizeof(DWORD);
do {
if (lpdwPIDs) {
HeapFree(GetProcessHeap(), 0, lpdwPIDs);
dwSize2 *= 2;
}
lpdwPIDs = (LPDWORD) HeapAlloc(GetProcessHeap(), 0,
dwSize2);
if (lpdwPIDs == NULL)
__leave;
if (!lpfEnumProcesses(lpdwPIDs, dwSize2, &dwSize))
__leave;
} while (dwSize == dwSize2);
// How many ProcID's did we get?
dwSize /= sizeof(DWORD);
// Loop through each ProcID.
for (dwIndex = 0; dwIndex < dwSize; dwIndex++) {
szFileName[0] = 0;
// Open the process (if we can
security does not
// permit every process in the system to be opened).
hProcess = OpenProcess(
PROCESS_QUERY_INFORMATION | PROCESS_VM_READ,
FALSE, lpdwPIDs[dwIndex]);
if (hProcess != NULL) {
// Here we call EnumProcessModules to get only the
// first module in the process.This will be the
// EXE module for which we will retrieve the name.
if (lpfEnumProcessModules(hProcess, &hMod,
sizeof(hMod), &dwSize2)) {
// Get the module name
if (!lpfGetModuleBaseName(hProcess, hMod,
szFileName, sizeof(szFileName)))
szFileName[0] = 0;
}
CloseHandle(hProcess);
}
// Regardless of OpenProcess success or failure, we
// still call the enum func with the ProcID.
if (!lpProc(lpdwPIDs[dwIndex], 0, szFileName, lParam))
break;
// Did we just bump into an NTVDM?
if (_stricmp(szFileName, "NTVDM.EXE") == 0) {
// Fill in some info for the 16-bit enum proc.
sInfo.dwPID = lpdwPIDs[dwIndex];
sInfo.lpProc = lpProc;
sInfo.lParam = (DWORD) lParam;
sInfo.bEnd = FALSE;
// Enum the 16-bit stuff.
lpfVDMEnumTaskWOWEx(lpdwPIDs[dwIndex],
(TASKENUMPROCEX) Enum16, (LPARAM) &sInfo);
// Did our main enum func say quit?
if (sInfo.bEnd)
break;
}
}
} __finally {
if (hInstLib)
FreeLibrary(hInstLib);
if (hInstLib2)
FreeLibrary(hInstLib2);
if (lpdwPIDs)
HeapFree(GetProcessHeap(), 0, lpdwPIDs);
}
// If any OS other than Windows NT 4.0.
} else if (osver.dwPlatformId == VER_PLATFORM_WIN32_WINDOWS
|| (osver.dwPlatformId == VER_PLATFORM_WIN32_NT
&& osver.dwMajorVersion > 4)) {
__try {
hInstLib = LoadLibraryA("Kernel32.DLL");
if (hInstLib == NULL)
__leave;
// If NT-based OS, load VDMDBG.DLL.
if (osver.dwPlatformId == VER_PLATFORM_WIN32_NT) {
hInstLib2 = LoadLibraryA("VDMDBG.DLL");
if (hInstLib2 == NULL)
__leave;
}
// Get procedure addresses.We are linking to
// these functions explicitly, because a module using
// this code would fail to load under Windows NT,
// which does not have the Toolhelp32
// functions in KERNEL32.DLL.
lpfCreateToolhelp32Snapshot =
(HANDLE (WINAPI *)(DWORD,DWORD))
GetProcAddress(hInstLib, "CreateToolhelp32Snapshot");
lpfProcess32First =
(BOOL (WINAPI *)(HANDLE,LPPROCESSENTRY32))
GetProcAddress(hInstLib, "Process32First");
lpfProcess32Next =
(BOOL (WINAPI *)(HANDLE,LPPROCESSENTRY32))
GetProcAddress(hInstLib, "Process32Next");
if (lpfProcess32Next == NULL
|| lpfProcess32First == NULL
|| lpfCreateToolhelp32Snapshot == NULL)
__leave;
if (osver.dwPlatformId == VER_PLATFORM_WIN32_NT) {
lpfVDMEnumTaskWOWEx = (INT (WINAPI *)(DWORD, TASKENUMPROCEX,
LPARAM)) GetProcAddress(hInstLib2, "VDMEnumTaskWOWEx");
if (lpfVDMEnumTaskWOWEx == NULL)
__leave;
}
// Get a handle to a Toolhelp snapshot of all processes.
hSnapShot = lpfCreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if (hSnapShot == INVALID_HANDLE_VALUE) {
FreeLibrary(hInstLib);
return FALSE;
}
// Get the first process' information.
procentry.dwSize = sizeof(PROCESSENTRY32);
bFlag = lpfProcess32First(hSnapShot, &procentry);
// While there are processes, keep looping.
while (bFlag) {
// Call the enum func with the filename and ProcID.
if (lpProc(procentry.th32ProcessID, 0,
procentry.szExeFile, lParam)) {
// Did we just bump into an NTVDM?
if (_stricmp(procentry.szExeFile, "NTVDM.EXE") == 0) {
// Fill in some info for the 16-bit enum proc.
sInfo.dwPID = procentry.th32ProcessID;
sInfo.lpProc = lpProc;
sInfo.lParam = (DWORD) lParam;
sInfo.bEnd = FALSE;
// Enum the 16-bit stuff.
lpfVDMEnumTaskWOWEx(procentry.th32ProcessID,
(TASKENUMPROCEX) Enum16, (LPARAM) &sInfo);
// Did our main enum func say quit?
if (sInfo.bEnd)
break;
}
procentry.dwSize = sizeof(PROCESSENTRY32);
bFlag = lpfProcess32Next(hSnapShot, &procentry);
} else
bFlag = FALSE;
}
} __finally {
if (hInstLib)
FreeLibrary(hInstLib);
if (hInstLib2)
FreeLibrary(hInstLib2);
}
} else
return FALSE;
// Free the library.
FreeLibrary(hInstLib);
return TRUE;
}
BOOL WINAPI Enum16(DWORD dwThreadId, WORD hMod16, WORD hTask16,
PSZ pszModName, PSZ pszFileName, LPARAM lpUserDefined) {
BOOL bRet;
EnumInfoStruct *psInfo = (EnumInfoStruct *)lpUserDefined;
bRet = psInfo->lpProc(psInfo->dwPID, hTask16, pszFileName,
psInfo->lParam);
if (!bRet)
psInfo->bEnd = TRUE;
return !bRet;
}
BOOL CALLBACK MyProcessEnumerator(DWORD dwPID, WORD wTask,
LPCSTR szProcess, LPARAM lParam) {
if (wTask == 0)
printf("%5u %s\n", dwPID, szProcess);
else
printf(" %5u %s\n", wTask, szProcess);
return TRUE;
}
void main() {
EnumProcs((PROCENUMPROC) MyProcessEnumerator, 0);
}
posted on 2010-04-27 12:47
小果子 閱讀(535)
評(píng)論(0) 編輯 收藏 引用 所屬分類:
Windows