Toolhelp API 简介
Toolhelp API 简介
Toolhelp APIs是Windows中一组能够方便得到系统中win32应用程序的当前运行状况的函数,这些函数设计目的是实现一些基于Win32子系统的工具,特别是调试器。通过使用Toolhelp API,我们可以实现象Windows附带的系统工具Dr watson一样的功能(当然真正实现它的所有功能不是光靠Toolhelp API一个函数库就可以的)。而且这些函数适用于win9x,winnt,win2k,所以不需要为在不同的windows版本中移植代码操心。
下面将介绍ToolHelp APIs中一些主要的函数和结构。主要有CreateToolhelp32Snapshot和Xxx32First,Xxx32Next系列函数,还有Toolhelp32ReadProcessMemory。所用语言为Object Pascal,对于使用C++的程序员可以参考SDK index中的tool help library [Win32].
以下是它们的定义和说明:
1. 创建快照函数CreateToolhelp32Snapshot
HANDLE WINAPI CreateToolhelp32Snapshot(
DWORD dwFlags, // 要得到进程的信息,赋为TH32CS_SNAPPROCESS
// 要得到线程的信息,赋为TH32CS_SNAPTHREAD
// 要得到指定进程的堆列表,赋为TH32CS_SNAPHEAPLIST
// 要得到指定进程的模块列表,赋为TH32CS_SNAPMODULE
DWORD th32ProcessID // 当我们把dwFlags赋为TH32CS_SNAPMODULE 或者
// TH32CS_SNAPHEAPLIST时,需要指定具体的进程ID,否则
// 将忽略此参数。把它赋为0表示当前进程(也就是自己)
);// 返回值THandle将在以后要枚举进程、线程等对象时使用
当我们得到快照的句柄后可以分别使用Xxx32First,Xxx32Next这些函数进行对象枚举。
它们的定义如下所示:
2. Xxx32First,Xxx32Next枚举函数与有关结构
l 进程有关的函数与结构
typedef struct tagPROCESSENTRY32 {
DWORD dwSize; // 指定结构的大小,
// 在调用Process32First前需要设置,否则将会失败
DWORD cntUsage; // 引用计数
DWORD th32ProcessID; // 进程号
DWORD th32DefaultHeapID; // 进程的堆号,只对Toolhelp函数有意义,并不是一个有效句柄
DWORD th32ModuleID; // 进程的模块号,只对Toolhelp函数有意义,并不是一个有效句柄
DWORD cntThreads; // 进程中包括的线程数
DWORD th32ParentProcessID; // 进程的母进程
LONG pcPriClassBase; // 进程的线程的基优先级,所有此进程创建的线程将基于此优先级
DWORD dwFlags; // 保留,没有使用
char szExeFile[MAX_PATH]; // 进程所对应的文件及路径
} PROCESSENTRY32;
typedef PROCESSENTRY32 * PPROCESSENTRY32;
typedef PROCESSENTRY32 * LPPROCESSENTRY32;
BOOL WINAPI Process32First(
hSnapshot: THandle; // 前面由CreateToolhelp32Snapshot创建的快照句柄
var lppe: TProcessEntry32 //函数输出进程信息
): BOOL; //调用成功将为True,否则为False
BOOL WINAPI Process32Next(hSnapshot: THandle; var lppe: TProcessEntry32): BOOL;
l 模块有关的函数和结构
typedef struct tagMODULEENTRY32 {
DWORD dwSize; // 指定结构的大小,
// 在调用Module32First前需要设置,否则将会失败
DWORD th32ModuleID; // 模块号
DWORD th32ProcessID; // 包含本模块的进程号
DWORD GlblcntUsage; // 本模块的全局引用计数
DWORD ProccntUsage; // 包含模块的进程上下文中的模块引用计数
BYTE * modBaseAddr; // 模块基地址
DWORD modBaseSize; // 模块大小(字节数)
HMODULE hModule; // 包含模块的进程上下文中的hModule句柄.注意:modBaseAddr 与 hModule 只在th32ProcessID的上下文才有效
char szModule[MAX_MODULE_NAME32 + 1]; //模块名
char szExePath[MAX_PATH]; //模块对应的文件名和路径
} MODULEENTRY32;
typedef MODULEENTRY32 * PMODULEENTRY32;
typedef MODULEENTRY32 * LPMODULEENTRY32;
BOOL WINAPI Module32First(hSnapshot: THandle; var lpme: TModuleEntry32): BOOL; //同进程说明
BOOL WINAPI Module32Next(hSnapshot: THandle; var lpme: TModuleEntry32): BOOL;
l 线程有关的函数和结构
typedef struct tagTHREADENTRY32{
DWORD dwSize; // 指定结构的大小,
// 在调用Thread32First前需要设置,否则将会失败
DWORD cntUsage; // 线程引用计数
DWORD th32ThreadID; // 线程号
DWORD th32OwnerProcessID; // 拥有线程的进程号
LONG tpBasePri; // 在线程创建时的初始优先级
LONG tpDeltaPri; // 现在线程的优先级的相对于初始值的改变量
DWORD dwFlags; // 保留,没有使用
} THREADENTRY32;
typedef THREADENTRY32 * PTHREADENTRY32;
typedef THREADENTRY32 * LPTHREADENTRY32;
BOOL WINAPI Thread32First(hSnapshot: THandle; var lpte: TThreadEntry32): BOOL; stdcall;
BOOL WINAPI Thread32Next(hSnapshot: THandle; var lpte: TThreadENtry32): BOOL; stdcall;
l 堆有关的函数和结构
typedef struct tagHEAPENTRY32
{
DWORD dwSize; // 指定结构的大小,在调用Heap32First前需要设置,否则将会失败
HANDLE hHandle; // 堆的句柄
DWORD dwAddress; // 堆起始位置的线性地址
DWORD dwBlockSize; // 堆的大小(字节数)
DWORD dwFlags; // 标志,为以下值:LF32_FIXED 堆内存块的位置是固定的;LF32_FREE 堆内存块没有使用;LF32_MOVEABLE
//堆内存块的位置是可移动的
DWORD dwLockCount; // 堆的锁定计数,每次对堆的执行GlobalLock. 或者LocalLock都将使它增1
DWORD dwResvd; // 保留,没有使用
DWORD th32ProcessID; // 拥有本堆的进程号,这个ID是可以被其他WIN32 API使用的。
DWORD th32HeapID; // 堆号,只能在ToolHelp API中内部使用,
} HEAPENTRY32;
typedef HEAPENTRY32 * PHEAPENTRY32;
typedef HEAPENTRY32 * LPHEAPENTRY32;
BOOL WINAPI Heap32First(
LPHEAPENTRY32 lphe,
DWORD th32ProcessID,
DWORD th32HeapID
);
BOOL WINAPI Heap32Next(
LPHEAPENTRY32 lphe
);
3. 更为有用的Toolhelp API函数有Toolhelp32ReadProcessMemory,它可以读其他进程内存空间的内容。
BOOL WINAPI Toolhelp32ReadProcessMemory(
DWORD th32ProcessID, // 指定进程
LPCVOID lpBaseAddress, // 要读的进程内存空间的起始地址
LPVOID lpBuffer, // 将要读的内容的保存缓冲区
DWORD cbRead, // 要读的字节数
LPDWORD lpNumberOfBytesRead // 成功读取的字节数
); // 函数成功返回True,否则返回False
利用上面的函数,我们得出以下的程序端:
首先我们应该调用CreateToolhelp32Snapshot创建快照;然后调用Process32First,把创建的快照的句柄传递给hSnapshot参数,函数成功返回后我们将在lppe参数中得到第一个进程的信息;继续调用Process32Next,我们将得到后续的进程信息,直到Process32Next返回False为止。记住最后我们应该调用CloseHandle把快照的句柄安全的释放。 根据进程名找到进程ID,然后使用EnumWindows进行获取句柄。
EnumWindows函数功能:该函数枚举所有屏幕上的顶层窗口,办法是先将句柄传给每一个窗口,然后再传送给应用程序定义的回调函数。EnumThreadWindows函数继续到所有顶层窗口枚举完为止或回调函数返回FALSE为止函数原型:
BOOL EnumWindows(WNDENUMPROC lpEnumFunc,LPARAM lParam);
参数:
lpEnumFunc:指向一个应用程序定义的回调数指针,请参看EnumWindowsProc。
lPararm:指定一个传递给回调函数的应用程序定义值。
返回值:如果函数成功,返回值为非零;如果函数失败,返回值为零。若想获得更多错误信息,请调用GetLastError函数。
// 列出所有进程
void CProcess::SysListProcess()
{
// 初始化
HANDLE hProcessSnap = NULL;
PROCESSENTRY32 pe32 = {0};
// 获得句柄
hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if(hProcessSnap == (HANDLE)-1)
{
printf("\nCreateToolhelp32Snapshot()failed:%d",GetLastError());
return;
}
pe32.dwSize = sizeof(PROCESSENTRY32);
// 列举所有进程名称
if (Process32First(hProcessSnap, &pe32))
{
for (int i = 0; Process32Next(hProcessSnap, &pe32); i++)
{
// 将进程名加到列表中
m_list.InsertItem(i, pe32.szExeFile); // CListCtrl m_list;
}
}
else
{
printf("\nProcess32Firstt() failed:%d",GetLastError());
}
// 关闭句柄
CloseHandle (hProcessSnap);
}