异常处理——异常函数之SetUnhandledExceptionFilter(子进程处理)(3)
1.解决思路和注意事项
1.1 Set顶层异常函数
1.2 建立函数
1.3 在函数里面createprocess子进程,参数传递pid给子进程,保存父进程错误信息结构体到两个二进制文件
1.4 子进程根据pid通过openprocess获得句柄,打开两个结构体保存的二进制文件,读入。minidumpwrite
2.创建子进程
//代码一
#include//代码二
#include3.函数分析
3.1 CreateProcess函数
//简介一:
BOOL CreateProcess
(
LPCTSTR lpApplicationName, //要运行的执行文件
LPTSTR lpCommandLine, //执行文件的命令行语句
LPSECURITY_ATTRIBUTES lpProcessAttributes, //决定是否返回的句柄可以被子进程继承,为NULL不能
LPSECURITY_ATTRIBUTES lpThreadAttributes, //决定是否返回的指向线程的句柄可以被子进程继承
BOOL bInheritHandles, //指示新进程是否从调用进程处继承了句柄
DWORD dwCreationFlags, //指定附加的、用来控制优先类和进程的创建的标志
LPVOID lpEnvironment, //指向一个新进程的环境块,如果此参数为空,新进程使用调用进程的环境
LPCTSTR lpCurrentDirectory, //指向一个以NULL结尾的字符串,这个字符串用来指定子进程的工作路径。这个字符串必须是一个包含驱动器名的绝对路径。如果这个参数为空,新进程将使用与调用进程相同的驱动器和目录。
LPSTARTUPINFO lpStartupInfo, //指向一个用于决定新进程的主窗体如何显示的STARTUPINFO结构体。
LPPROCESS_INFORMATION lpProcessInformation //指向一个用来接收新进程的识别信息的PROCESS_INFORMATION结构体。
);
//简介二:
BOOL CreateProcess
(
LPCTSTR lpApplicationName,
LPTSTR lpCommandLine,
LPSECURITY_ATTRIBUTES lpProcessAttributes。
LPSECURITY_ATTRIBUTES lpThreadAttributes,
BOOL bInheritHandles,
DWORD dwCreationFlags,
LPVOID lpEnvironment,
LPCTSTR lpCurrentDirectory,
LPSTARTUPINFO lpStartupInfo,
LPPROCESS_INFORMATION lpProcessInformation
);
2. 参数:
lpApplicationName: //如果指定的话即不使用默认值,那么该参数一定要是要完整路径
指向一个NULL结尾的、用来指定可执行模块的字符串。
这个字符串可以使可执行模块的绝对路径,也可以是相对路径,在后一种情况下,函数使用当前驱动器和目录建立可执行模块的路径。
这个参数可以被设为NULL,在这种情况下,可执行模块的名字必须处于 lpCommandLine 参数的最前面并由空格符与后面的字符分开。
这个被指定的模块可以是一个Win32应用程序。如果适当的子系统在当前计算机上可用的话,它也可以是其他类型的模块(如MS-DOS 或 OS/2)。
在Windows NT中,如果可执行模块是一个16位的应用程序,那么这个参数应该被设置为NULL,并且因该在lpCommandLine参数中指定可执行模块的名称。16位的应用程序是以DOS虚拟机或Win32上的Windows(WOW) 为进程的方式运行。
lpCommandLine:
指向一个NULL结尾的、用来指定要运行的命令行。
这个参数可以为空,那么函数将使用参数指定的字符串当作要运行的程序的命令行。
如果lpApplicationName和lpCommandLine参数都不为空,那么lpApplicationName参数指定将要被运行的模块,lpCommandLine参数指定将被运行的模块的命令行。新运行的进程可以使用GetCommandLine函数获得整个命令行。C语言程序可以使用argc和argv参数。
先看一个简单的例子:
#include3.2 OpenProcess函数
HANDLE OpenProcess(DWORD dwDesiredAccess,BOOL bInheritHandle,DWORD dwProcessId)
参数说明:
1、dwDesiredAccess:想拥有的该进程访问权限
PROCESS_ALL_ACCESS //所有能获得的权限
PROCESS_CREATE_PROCESS //需要创建一个进程
PROCESS_CREATE_THREAD //需要创建一个线程
PROCESS_DUP_HANDLE //重复使用DuplicateHandle句柄
PROCESS_QUERY_INFORMATION //获得进程信息的权限,如它的退出代码、优先级
PROCESS_QUERY_LIMITED_INFORMATION /*获得某些信息的权限,如果获得了PROCESS_QUERY_INFORMATION,也拥有PROCESS_QUERY_LIMITED_INFORMATION权限*/
PROCESS_SET_INFORMATION //设置某些信息的权限,如进程优先级
PROCESS_SET_QUOTA //设置内存限制的权限,使用SetProcessWorkingSetSize
PROCESS_SUSPEND_RESUME //暂停或恢复进程的权限
PROCESS_TERMINATE //终止一个进程的权限,使用TerminateProcess
PROCESS_VM_OPERATION //操作进程内存空间的权限(可用VirtualProtectEx和WriteProcessMemory)
PROCESS_VM_READ //读取进程内存空间的权限,可使用ReadProcessMemory
PROCESS_VM_WRITE //读取进程内存空间的权限,可使用WriteProcessMemory
SYNCHRONIZE //等待进程终止
2、bInheritHandle:表示所得到的进程句柄是否可以被继承
3、dwProcessId:被打开进程的PID
4、
返回值:
如果函数调用成功将返回一个进程句柄值,否则将返回NULL
注意:在使用完所获得的进程句柄后一定要调用CloseHandle(handle)来关闭进程的句柄。
在使用此函数时会发现不能成功获得有些系统进程的句柄,原因是没有权限。解决办法是在调用此函数前让我们的进程得到SeDebugPrivilege权限。
-------提升权限(不一定有效)
BOOL SetPrivilege()
{
HANDLE hToken;
TOKEN_PRIVILEGES NewState;
LUID luidPrivilegeLUID;
//获取进程令牌
if(!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToken)||!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &luidPrivilegeLUID))
{
printf("SetPrivilege Error\n");
return FALSE;
}
NewState.PrivilegeCount = 1;
NewState.Privileges[0].Luid = luidPrivilegeLUID;
NewState.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
//提示进程权限,注意该函数也可以改变线程的权限,如果hToken指向一个线程的令牌
if(!AdjustTokenPrivileges(hToken, FALSE, &NewState, NULL, NULL, NULL))
{
printf("AdjustTokenPrivilege Errro\n");
return FALSE;
}
return TRUE;
}
4.进程分析
3.1 进程的创建过程
1、系统创建进程内核对象(PCB进程控制块)。
2、系统为新进程创建虚拟地址空间,帮将可执行文件或任何必要的DLL文件的代码和数据加载到该进程的地址空间。
3、系统为新进程的主线程创建一个线程内核对象(TCB线程控制块)。
4、通过执行C/C++运行期启动代码,该主线程开始运行。
注:在Windows环境下,尽量用多线程而不是多进程。
5.其他与进程相关的API(选读)
1、创建进程
BOOL CreateProcess(
PCTSTR psApplicationName, //可执行文件的名字
PTSTR pszCommandLine, //命令行字符串
PSECURITY_ATTRIBUTES psaProcess, //进程对象的安全性
PSECURITY_ATTRIBUTES psaThread, //线程对象的安全性
BOOL bInheritHandles, //句柄可继承性
DWORD fdwCreate, //标识符(优先级)
PVOID pvEnvironment, //指向环境字符串
PCTSTR pszCurDir, //子进程当前目录
PSTARTUPINFO psiStartInfo,
PPROCESS_INFORMATION ppiProcInfo); //进程线程句柄及ID
2、打开进程
HANDLE OpenProcess(
DWORD dwDesiredAccess, //访问安全属性
BOOL bInheritHandle, //继承属性
DWORD hProcessId); //进程ID
注:获取hPronessId指定的进程的内核对象的句柄
3、终止进程
(1)、主线程的进入点函数返回
(2)、进程自己终止自己
VOID ExitProcess(
UINT fuExitCode); //退出代码
(3)、终止自身进程或其他进程
BOOL TerminateProcess(
HANDLE hProcess, //进程句柄
UINT fuExitCode); //退出代码
三、与进程相关的API
4、获取进程的可执行文件或DLL对应的句柄
HMODULE GetModuleHandle(
PCTSTR pszModule); //模块名称
注:当参数传NULL时获取的是进程的地址空间中可执行文件的基地址。
5、获取与指定窗口关联在一起的一个进程和线程标识符
HANDLE GetWindowThreadProcessId(
HWND hWnd, //窗口句柄
LPDWORD lpdwProcessId); //与该窗口相关的进程ID
6、获取进程的运行时间
Bool GetProcessTimes(
HANDLE hProcess, //进程句柄
PFILETIME pftCreationTime, //创建时间
PFILETIME pftExitTime, //退出时间
PFILETIME pftKernelTime, //内核时间
PFILETIME pftUserTime); //用户时间
注:返回的时间适用于某个进程中的所有线程(甚至已经终止运行的线程)。
7、获取当前进程的一个伪句柄
HANDLE GetCurrentProcess();
注:该函数获取当前进程的伪句柄,通常情况值为-1,只能标识当前进程内核对象,
可以复制,但不可继承。不必调用CloseHandle()函数来关闭这个句柄。
8、将进程的伪句柄转换为实句柄
HANDLE DuplicateHandle(
GetCurrentProcess(),
GetCurrentProcess(),
GetCurrentProcess(),
&hProcess,
0,
FALSE ,
DUPLICATE_SAME_ACCESS);
9、获取当前进程ID
DWORD GetCurrentProcessId();
10、获取进程优先级
DWORD GetPriorityClass(
HANDLE hProcess);
11、修改进程的优先级类
BOOL SetPriorityClass(
HANDLE hProcess, //进程句柄
DWORD fdwPriority); //相对进程优先级
注1:相对线程优先级
实时: REALTIME_PRIORITY_CLASS
高: HIGH_PRIORITY_CLASS
高于正常; ABOVE_NORMAL_PRIORITY_CLASS
正常: NORMAL_PRIORITY_CLASS
低于正常: BELOW_NORMAL_PRIORITY_CLASS
空闲: IDLE_PRIORITY_CLASS
注2:只要拥有进程的句柄和足够的权限,就能够修改系统中运行的任何进程的优
先级类。
12、获取进程句柄计数
BOOL GetProcessHandleCount(
HANDLE hProcess, //句柄
PDWORD pdwHandleCount); //句柄计数
13、获取环境块
DWORD GetEnvironmentVariable(
LPCTSTR lpName, //环境变量的名字
LPTSTR lpValue, //存放返回字符串的缓冲区
DWORD cchValue); //缓冲区的大小
注:返回值为返回字符串的长度,当缓存不足时返回所需字符串的长度
14、设置环境块
BOOL SetEnvironmentVariable(
LPCTSTR lpName, //环境变量的名字
LPCTSTR lpValue); //存放变量值字符串的缓冲区