Статья

Статья Работа с процессами в СС. Основные приемы

Работа добавлена на сайт bukvasha.net: 2015-10-29

Поможем написать учебную работу

Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.

Предоплата всего

от 25%

Подписываем

договор

Выберите тип работы:

Скидка 25% при заказе до 26.12.2024



Работа с процессами в С/С++. Основные приемы

Тимур Хабибуллин

Данная статья рассказывает о работе с процессами, модулями, кучами и потоками при помощи билиотеки TOOLHELP

Работа с процессами - основа, без которой заниматься системным программированием так же бессмысленно, как без знания структуры PE-файлов или организации памяти. Поэтому я поднимаю эту тему вновь и расскажу о работе с процессами посредством функций TOOLHELP.

Язык программирования: я выбрал C (без плюсиков, т.к. работы с классами в этой статье не будет - после прочтения вы сможете их без труда составить сами) по многим причинам и в первую очередь из-за его низкоуровнего взаимодействия с памятью...записал-считал, все просто и понятно.

Перечислить запущенные в системе процессы можно по-разному, я привык пользоваться функциями TOOLHELP. Общая последовательность действий при работе с этой библиотекой: делаем "снимок" (Snapshot) системной информации, которая нам необходима, потом бегаем по процессам (а также модулям и кучам). Поэтому начнем с простого - перечислим все процессы.

//Перечисление процессов

int EnumerateProcs(void)

{

//создаем "снимок" информации о процессах

//первый параметр функции - константа, определяющая,

//какую информацию нам нужно "снять", а второй -

//идентификатор процесса, к которому относится эта

//информация. В данном случае это 0 т.к. мы делаем

//снимок всех процессов

HANDLE pSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

bool bIsok = false;

//Структура, в которую будут записаны данные процесса

PROCESSENTRY32 ProcEntry;

//установим ее размер, это необходимое действие

ProcEntry.dwSize = sizeof(ProcEntry);

//теперь определим первый процесс

//первый параметр функции - хэндл "снимка" информации

//второй - адрес структуры PROCESSENTRY32

//true - в случае удачи, false - в случае неудачи

bIsok = Process32First(pSnap, &ProcEntry);

//здесь можно было вставить роскошный цикл for(....) но это

//не совсем удобочитаемо

//так что цикл while

while(bIsok)

{

//печатаем имя процесса, его идентификатор

//теперь, когда у нас есть структура ProcEntry

//То, какую информацию вы из нее возьмете, зависит

//только от задачи ))

printf("%s  %un", ProcEntry.szExeFile, ProcEntry.th32ProcessID);

bIsok = Process32Next(pSnap, &ProcEntry);

}

//чистим память!

CloseHandle(pSnap);

return 1;

}

Вуаля, список всех процессов, аки в диспетчере задач. Теперь мы сделаем кое-что, чего в диспетчере нет! В адресном пространстве каждого процесса (в области памяти, выделенной ему системой) находятся различные библиотеки, которые, собственно, состовляют ПРИЛОЖЕНИЕ. Это и Kernel32 и GDI и еще множество различных. Наша задача - их все пересчитать и переписать! Для этого действа напишем небольшую функцию.

//Перечисление модулей процесса

int EnumerateModules(DWORD PID)

{

//Входной параметр - идентификатор процесса, чьи модули мы собираемся

//перечислять. Во первых создадим snapshot информации о модулях

//теперь нам нужна информация о конкретном процессе - процессе

//с идентификатором PID

HANDLE pMdlSnap = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, PID);

bool bIsok = false;

//структура с информацией о модуле

MODULEENTRY32 MdlEntry;

//зададим размер

MdlEntry.dwSize = sizeof(MODULEENTRY32);

//и найдем первый модуль

bIsok = Module32First(pMdlSnap, &MdlEntry);

//и далее, как и с процессами

while(bIsok)

{

//печатаем имя модуля

printf(" %s n", MdlEntry.szModule);

//и переходим к следующему

bIsok = Module32Next(pMdlSnap, &MdlEntry);

}

//чистим память!

CloseHandle(pMdlSnap);

return 1;

}

А теперь немного притормозим и посмотрим, какую еще информацию о процессах и модулях мы получаем:

typedef struct tagPROCESSENTRY32 {

DWORD dwSize;  //Рамер структуры

DWORD cntUsage; //Число ссылк на процесс. Процесс уничтожается, //когда число ссылок становится 0

DWORD th32ProcessID; //Идентификатор процесса - необходим

  //во многих функциях

DWORD th32DefaultHeapID; //Идентификатор основной кучи - имеет

  //смысл только в функциях toolhelp

DWORD th32ModuleID; //идентификатор модуля - имеет

  //смысл только в функциях toolhelp

DWORD cntThreads;  //Число потоков

DWORD th32ParentProcessID; //Идентификатор родителя - возвращается

   //Даже если родителя уже нет

LONG pcPriClassBase; //приоритет по умолчанию всех //создаваемых процессом потоков

DWORD dwFlags;   //Зарезервировано

CHAR  szExeFile[MAX_PATH]; //Собственно имя процесса

} PROCESSENTRY32,*PPROCESSENTRY32,*LPPROCESSENTRY32;

typedef struct tagMODULEENTRY32 {

DWORD dwSize;   //размер структуры

DWORD th32ModuleID; //идентификатор модуля

DWORD th32ProcessID; //идентификатор процесса, к которому относится

  //модуль

DWORD GlblcntUsage;  //общее число ссылок на этот модуль

DWORD ProccntUsage;  //число ссылко в контексте процесса,

  //по идентификатору которого был создан

  //снэпшот. Если равен 65535 - модуль подгружен

  //неявно

BYTE *modBaseAddr;  //адрес модуля в контексте процесса

DWORD modBaseSize;  //размер проекции

HMODULE hModule;  //ссылка на модуль

char szModule[MAX_MODULE_NAME32 + 1]; //Имя модуля

char szExePath[MAX_PATH];  //Полный путь к модулю

} MODULEENTRY32,*PMODULEENTRY32,*LPMODULEENTRY32;

Обратите внмание: ссылка на модуль (параметр hModule) - это первый байт ДОС-заголовка! Таким образом, мы получаем возможность работать с проекцией при некотором знании структуры PE-файлов. В частности мы можем прочиатать таблицу импорта, и, как правило, - даже переписать ее (это используется при перехвате АПИ). Параметр szExePath имеет свой "заскок" - иногда полный путь к модулю возвращается со странными вставками и, например, всесто "c:windowssystem32advapi32.dll" я иногда получаю "c:x86_proc_winsyspathadvapi32.dll". Как правило для системных задач средней сложности (перехват апи, или, наоборот, перехват стелсов) всего вышеописанного хватает. Но на этом возможности toolhelp не исчерпываются и теперь мы побегаем по потокам! Работа с потоками несколько отличается от работы с модулями - даже если мы сделаем снимок, задав идентификатор какого-либо процесса, функция Thread32Next не остановится, пока не пробежится по ВСЕМ потокам в системе. Поэтому мы должны проверять, к какому процессу принадлежит поток - благо, в структуре THREADENTRY32 есть член th32OwnerProcessID - идентификатор породившего поток процесса. Таким образом:

int EnumerateThreads(DWORD PID)

{

//Начнем с создания снимка

HANDLE pThreadSnap =  CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, PID);

bool bIsok = false;

//Структура, описывающая поток

THREADENTRY32 ThrdEntry;

//ставим размер

ThrdEntry.dwSize = sizeof(THREADENTRY32);

//Берем первый поток

bIsok = Thread32First(pThreadSnap, &ThrdEntry);

//и бегаем по всем потокам...

while (bIsok)

{

//проверяем, тому ли процессу принадлежит поток

if (ThrdEntry.th32OwnerProcessID == PID)

{

//Если да, то выводим некотурую информацию...

//Хоть она никому нафиг не нужна :о)

printf("%u  %un", ThrdEntry.th32OwnerProcessID, ThrdEntry.th32ThreadID);

}

bIsok = Thread32Next(pThreadSnap, &ThrdEntry);

}

//не забываем чистить память

CloseHandle(pThreadSnap);

return 1;

}

Ну вот, у нас есть потоки. Что еще осталось? Правильно, остались кучи. Здесь тоже все очень просто:

int EnumerateHeaps(DWORD PID)

{

//Первый параметр - идентификатор процесса

//а второй - основная куча

//Теперь делаем снимок, чтоб перечислить кучки...

HANDLE pSnapHeaps = CreateToolhelp32Snapshot(TH32CS_SNAPHEAPLIST, PID);

bool bIsok = false;

bool bIsokHeap = false;

//Структура, в которую будут записываться данные списка кучи

HEAPLIST32 HpLst;

//Структура, в которую будут записываться данные

//непосредствнно БЛОКОВ КУЧИ

HEAPENTRY32 HpEntry;

//Ставим размеры...

HpLst.dwSize = sizeof(HEAPLIST32);

HpEntry.dwSize = sizeof(HEAPENTRY32);

bIsok = Heap32ListFirst(pSnapHeaps, &HpLst);

while (bIsok)

{

//Теперь перечисляем блоки кучи

//этот код я привел, чтобы стало ясно

//как получить данные по блокам

//но он жрет много времени

//так что я его закомментирую - если вам интересно

//можете погонять...

/*bIsokHeap = Heap32First(&HpEntry, PID, HpLst.th32HeapID);

while(bIsokHeap)

{

//Выводим немного информации

printf("%u n", HpEntry.dwBlockSize);

//Шагаем дальше

bIsokHeap = Heap32Next(&HpEntry);

}*/

//выводим инфу о куче в общем

printf("%u n", HpLst.dwSize);

//шагаем дальше

bIsok = Heap32ListNext(pSnapHeaps, &HpLst);

}

CloseHandle(pSnapHeaps);

return 1;

}

Ну вот, теперь тока осталось написать о структурах THREADENTRY32, HEAPENTRY32 и HEAPLIST32:

typedef struct tagTHREADENTRY32{

DWORD dwSize;  //размер структуры

DWORD cntUsage; //число ссылок

DWORD th32ThreadID; //идентификатор

DWORD th32OwnerProcessID; //родительский процесс

LONG tpBasePri;  //основной приоритет (при инициализации)

LONG tpDeltaPri; //изменение приоритета

DWORD dwFlags; //зарезервировано

} THREADENTRY32;

typedef THREADENTRY32 * PTHREADENTRY32;

typedef THREADENTRY32 * LPTHREADENTRY32;

typedef struct tagHEAPENTRY32

{

DWORD  dwSize; //размер структуры

HANDLE hHandle;     // хэндл этого блока

DWORD  dwAddress;   // линейный адрес начала блока

DWORD  dwBlockSize; // размер блока в байтах

DWORD  dwFlags; //флаги

/*

LF32_FIXED Блок памяти имеет фиксированную позицию

LF32_FREE  Блок памяти не используется

LF32_MOVEABLE  Блок памяти может перемещаться

*/

DWORD  dwLockCount; число "замков"

DWORD  dwResvd;  // зарезервировано

DWORD  th32ProcessID;   // родительский процесс

DWORD  th32HeapID;      // идентификатор кучи

} HEAPENTRY32;

typedef HEAPENTRY32 *  PHEAPENTRY32;

typedef HEAPENTRY32 *  LPHEAPENTRY32;

typedef struct tagHEAPLIST32

{

DWORD  dwSize; //размер структуры

DWORD  th32ProcessID;   // родительский процесс

DWORD  th32HeapID;      //куча в контексте процесса

DWORD  dwFlags; //флаг. Значение всегда одно:

// HF32_DEFAULT - основная куча процесса

} HEAPLIST32;

вызовы функций EnumerateHeaps, EnumerateThreads и EnumerateModules можно проводить из EnumerateProcs. Все скомпилино в Visual C++ 6.0. В тексте использована информация из MSDN и книги Джеффри Рихтера "Создание эффективных win32 приложений" (имхо эта книга - настольная для системного программиста).

Список литературы

Для подготовки данной работы были использованы материалы с сайта http://www.realcoding.net



1. Лабораторная работа Программы Оценки инвестиционной привлекательности проекта
2. Биография Иван Ворёнок
3. Реферат на тему Бюджетна політика як важлива сфера діяльності держави
4. Статья на тему К вопросу о генезисе романа ВВ Набокова Лолита
5. Реферат на тему Comparison Poem Essay Research Paper The poems
6. Контрольная работа Управление динамической системой
7. Контрольная работа на тему Сутність міжнародного маркетингу
8. Реферат на тему History Of Hewlett Packard Essay Research Paper
9. Контрольная работа Вымогательство и мошенничество
10. Сочинение на тему Островский а. н. - Можно ли кулигина считать положительным героем