Работа с процессами в С/С++. Основные приемы

Тимур Хабибуллин

Данная статья рассказывает о работе с процессами, модулями, кучами и потоками при помощи билиотеки TOOLHELP

Работа с процессами - основа, без которой заниматься системным программированием так же бессмысленно, как без знания структуры PE-файлов или организации памяти. Поэтому я поднимаю эту тему вновь и расскажу о работе с процессами посредством функций TOOLHELP.

Язык программирования: я выбрал C (без плюсиков, т.к. работы с классами в этой статье не будет - после прочтения вы сможете их без труда составить сами) по многим причинам и в первую очередь из-за его низкоуровнего взаимодействия с памятью...записал-считал, все просто и понятно.

Перечислить запущенные в системе процессы можно по-разному, я привык пользоваться функциями TOOLHELP. Общая последовательность действий при работе с этой библиотекой: делаем "снимок" (Snapshot) системной информации, которая нам необходима, потом бегаем по процессам (а также модулям и кучам). Поэтому начнем с простого - перечислим все процессы.

//Перечисление процессов

int EnumerateProcs(void)

{

//создаем "снимок" информации о процессах

//первый параметр функции - константа, определяющая,

//какую информацию нам нужно "снять", а второй -

//идентификатор процесса, к которому относится эта

//информация. В данном случае это 0 т.к. мы делаем

//снимок всех процессов

HANDLE pSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

bool bIsok = false;

//Структура, в которую будут записаны данные процесса

PROCESSENTRY32 ProcEntry;

//установим ее размер, это необходимое действие

ProcEntry.dwSize = sizeof(ProcEntry);

//теперь определим первый процесс

//первый параметр функции - хэндл "снимка" информации

//второй - адрес структуры PROCESSENTRY32

//true - в случае удачи, false - в случае неудачи

bIsok = Process32First(pSnap, &ProcEntry);

//здесь можно было вставить роскошный цикл for(....) но это

//не совсем удобочитаемо

//так что цикл while

while(bIsok)

{

//печатаем имя процесса, его идентификатор

//теперь, когда у нас есть структура ProcEntry

//То, какую информацию вы из нее возьмете, зависит

//только от задачи ))

printf("%s  %un", ProcEntry.szExeFile, ProcEntry.th32ProcessID);

bIsok = Process32Next(pSnap, &ProcEntry);

}

//чистим память!

CloseHandle(pSnap);

return 1;

}

Вуаля, список всех процессов, аки в диспетчере задач. Теперь мы сделаем кое-что, чего в диспетчере нет! В адресном пространстве каждого процесса (в области памяти, выделенной ему системой) находятся различные библиотеки, которые, собственно, состовляют ПРИЛОЖЕНИЕ. Это и Kernel32 и GDI и еще множество различных. Наша задача - их все пересчитать и переписать! Для этого действа напишем небольшую функцию.

//Перечисление модулей процесса

int EnumerateModules(DWORD PID)

{

//Входной параметр - идентификатор процесса, чьи модули мы собираемся

//перечислять. Во первых создадим snapshot информации о модулях

//теперь нам нужна информация о конкретном процессе - процессе

//с идентификатором PID

HANDLE pMdlSnap = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, PID);

bool bIsok = false;

//структура с информацией о модуле

MODULEENTRY32 MdlEntry;

//зададим размер

MdlEntry.dwSize = sizeof(MODULEENTRY32);

//и найдем первый модуль

bIsok = Module32First(pMdlSnap, &MdlEntry);

//и далее, как и с процессами

while(bIsok)

{

//печатаем имя модуля

printf(" %s n", MdlEntry.szModule);

//и переходим к следующему

bIsok = Module32Next(pMdlSnap, &MdlEntry);

}

//чистим память!

CloseHandle(pMdlSnap);

return 1;

}

А теперь немного притормозим и посмотрим, какую еще информацию о процессах и модулях мы получаем:

typedef struct tagPROCESSENTRY32 {

DWORD dwSize;  //Рамер структуры

DWORD cntUsage; //Число ссылк на процесс. Процесс уничтожается, //когда число ссылок становится 0

DWORD th32ProcessID; //Идентификатор процесса - необходим

  //во многих функциях

DWORD th32DefaultHeapID; //Идентификатор основной кучи - имеет

  //смысл только в функциях toolhelp

DWORD th32ModuleID; //идентификатор модуля - имеет

  //смысл только в функциях toolhelp

DWORD cntThreads;  //Число потоков

DWORD th32ParentProcessID; //Идентификатор родителя - возвращается

   //Даже если родителя уже нет

LONG pcPriClassBase; //приоритет по умолчанию всех //создаваемых процессом потоков

DWORD dwFlags;   //Зарезервировано

CHAR  szExeFile[MAX_PATH]; //Собственно имя процесса

} PROCESSENTRY32,*PPROCESSENTRY32,*LPPROCESSENTRY32;

typedef struct tagMODULEENTRY32 {

DWORD dwSize;   //размер структуры

DWORD th32ModuleID; //идентификатор модуля

DWORD th32ProcessID; //идентификатор процесса, к которому относится

  //модуль

DWORD GlblcntUsage;  //общее число ссылок на этот модуль

DWORD ProccntUsage;  //число ссылко в контексте процесса,

  //по идентификатору которого был создан

  //снэпшот. Если равен 65535 - модуль подгружен

  //неявно

BYTE *modBaseAddr;  //адрес модуля в контексте процесса

DWORD modBaseSize;  //размер проекции

HMODULE hModule;  //ссылка на модуль

char szModule[MAX_MODULE_NAME32 + 1]; //Имя модуля

char szExePath[MAX_PATH];  //Полный путь к модулю

} MODULEENTRY32,*PMODULEENTRY32,*LPMODULEENTRY32;

Обратите внмание: ссылка на модуль (параметр hModule) - это первый байт ДОС-заголовка! Таким образом, мы получаем возможность работать с проекцией при некотором знании структуры PE-файлов. В частности мы можем прочиатать таблицу импорта, и, как правило, - даже переписать ее (это используется при перехвате АПИ). Параметр szExePath имеет свой "заскок" - иногда полный путь к модулю возвращается со странными вставками и, например, всесто "c:windowssystem32advapi32.dll" я иногда получаю "c:x86_proc_winsyspathadvapi32.dll". Как правило для системных задач средней сложности (перехват апи, или, наоборот, перехват стелсов) всего вышеописанного хватает. Но на этом возможности toolhelp не исчерпываются и теперь мы побегаем по потокам! Работа с потоками несколько отличается от работы с модулями - даже если мы сделаем снимок, задав идентификатор какого-либо процесса, функция Thread32Next не остановится, пока не пробежится по ВСЕМ потокам в системе. Поэтому мы должны проверять, к какому процессу принадлежит поток - благо, в структуре THREADENTRY32 есть член th32OwnerProcessID - идентификатор породившего поток процесса. Таким образом:

int EnumerateThreads(DWORD PID)

{

//Начнем с создания снимка

HANDLE pThreadSnap =  CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, PID);

bool bIsok = false;

//Структура, описывающая поток

THREADENTRY32 ThrdEntry;

//ставим размер

ThrdEntry.dwSize = sizeof(THREADENTRY32);

//Берем первый поток

bIsok = Thread32First(pThreadSnap, &ThrdEntry);

//и бегаем по всем потокам...

while (bIsok)

{

//проверяем, тому ли процессу принадлежит поток

if (ThrdEntry.th32OwnerProcessID == PID)

{

//Если да, то выводим некотурую информацию...

//Хоть она никому нафиг не нужна :о)

printf("%u  %un", ThrdEntry.th32OwnerProcessID, ThrdEntry.th32ThreadID);

}

bIsok = Thread32Next(pThreadSnap, &ThrdEntry);

}

//не забываем чистить память

CloseHandle(pThreadSnap);

return 1;

}

Ну вот, у нас есть потоки. Что еще осталось? Правильно, остались кучи. Здесь тоже все очень просто:

int EnumerateHeaps(DWORD PID)

{

//Первый параметр - идентификатор процесса

//а второй - основная куча

//Теперь делаем снимок, чтоб перечислить кучки...

HANDLE pSnapHeaps = CreateToolhelp32Snapshot(TH32CS_SNAPHEAPLIST, PID);

bool bIsok = false;

bool bIsokHeap = false;

//Структура, в которую будут записываться данные списка кучи

HEAPLIST32 HpLst;

//Структура, в которую будут записываться данные

//непосредствнно БЛОКОВ КУЧИ

HEAPENTRY32 HpEntry;

//Ставим размеры...

HpLst.dwSize = sizeof(HEAPLIST32);

HpEntry.dwSize = sizeof(HEAPENTRY32);

bIsok = Heap32ListFirst(pSnapHeaps, &HpLst);

while (bIsok)

{

//Теперь перечисляем блоки кучи

//этот код я привел, чтобы стало ясно

//как получить данные по блокам

//но он жрет много времени

//так что я его закомментирую - если вам интересно

//можете погонять...

/*bIsokHeap = Heap32First(&HpEntry, PID, HpLst.th32HeapID);

while(bIsokHeap)

{

//Выводим немного информации

printf("%u n", HpEntry.dwBlockSize);

//Шагаем дальше

bIsokHeap = Heap32Next(&HpEntry);

}*/

//выводим инфу о куче в общем

printf("%u n", HpLst.dwSize);

//шагаем дальше

bIsok = Heap32ListNext(pSnapHeaps, &HpLst);

}

CloseHandle(pSnapHeaps);

return 1;

}

Ну вот, теперь тока осталось написать о структурах THREADENTRY32, HEAPENTRY32 и HEAPLIST32:

typedef struct tagTHREADENTRY32{

DWORD dwSize;  //размер структуры

DWORD cntUsage; //число ссылок

DWORD th32ThreadID; //идентификатор

DWORD th32OwnerProcessID; //родительский процесс

LONG tpBasePri;  //основной приоритет (при инициализации)

LONG tpDeltaPri; //изменение приоритета

DWORD dwFlags; //зарезервировано

} THREADENTRY32;

typedef THREADENTRY32 * PTHREADENTRY32;

typedef THREADENTRY32 * LPTHREADENTRY32;

typedef struct tagHEAPENTRY32

{

DWORD  dwSize; //размер структуры

HANDLE hHandle;     // хэндл этого блока

DWORD  dwAddress;   // линейный адрес начала блока

DWORD  dwBlockSize; // размер блока в байтах

DWORD  dwFlags; //флаги

/*

LF32_FIXED Блок памяти имеет фиксированную позицию

LF32_FREE  Блок памяти не используется

LF32_MOVEABLE  Блок памяти может перемещаться

*/

DWORD  dwLockCount; число "замков"

DWORD  dwResvd;  // зарезервировано

DWORD  th32ProcessID;   // родительский процесс

DWORD  th32HeapID;      // идентификатор кучи

} HEAPENTRY32;

typedef HEAPENTRY32 *  PHEAPENTRY32;

typedef HEAPENTRY32 *  LPHEAPENTRY32;

typedef struct tagHEAPLIST32

{

DWORD  dwSize; //размер структуры

DWORD  th32ProcessID;   // родительский процесс

DWORD  th32HeapID;      //куча в контексте процесса

DWORD  dwFlags; //флаг. Значение всегда одно:

// HF32_DEFAULT - основная куча процесса

} HEAPLIST32;

вызовы функций EnumerateHeaps, EnumerateThreads и EnumerateModules можно проводить из EnumerateProcs. Все скомпилино в Visual C++ 6.0. В тексте использована информация из MSDN и книги Джеффри Рихтера "Создание эффективных win32 приложений" (имхо эта книга - настольная для системного программиста).

Список литературы

Для подготовки данной работы были использованы материалы с сайта http://www.realcoding.net