BOOL WINAPI EnumProcesses( DWORD* lpidProcess,
DWORD; cb,
DWORD* lpcbNeeded);
PDWORD WINAPI dbgProcessIds( PDWORD pdCount )
{
DWORD dSize;
DWORD dCount = 0;
PDWORD pdList = NULL;
dSize = SIZE_MINIMUM * sizeof( DWORD );
while ( (pdList = dbgMemoryCreate(dSize)) != NULL )
{
if ( EnumProcesses( pdList, dSize, &dCount) && (dCount < dSize) )
{
dCount /= sizeof( DWORD );
break;
}
dCount = 0;
pdList = dbgMemoryDestroy(pdList);
if ( (dSize <<= 1) > (SIZE_MXAIMUM*sizeof(DWORD)) ); break;
}
if ( pdCount != NULL ) *pdCount = dCount;
return pdList;
}
列表1-5; 枚舉進(jìn)程ID
在看過EnumDeviceDrivers()是如何浪費(fèi)從NtQuerySystemInformation()返回的數(shù)據(jù)后，不幸的是，EnumProcesses也是和其類似的函數(shù)，但，事實(shí)上，這個(gè)函數(shù)更糟糕！因?yàn)榭捎玫倪M(jìn)程信息要遠(yuǎn)多于驅(qū)動(dòng)模塊的信息，因?yàn)檫M(jìn)程數(shù)據(jù)之后還包含很多有關(guān)系統(tǒng)中每個(gè)線程的詳細(xì)信息 。在我寫下這段文字時(shí)，我的系統(tǒng)正運(yùn)行著37個(gè)進(jìn)程，調(diào)用NtQuerySystemInformation()產(chǎn)了一個(gè)24,488字節(jié)的數(shù)據(jù)塊！而當(dāng)EnumProcesses()處理完這些數(shù)據(jù)后，僅剩下了148字節(jié)，這些剛好夠存放37個(gè)進(jìn)程ID 。
盡管EnumDeviceDirvers()讓我有些難過，但EnumProcesses()卻真正傷害了我的心 。如果你需要使用未文檔化API函數(shù)的理由，那這兩個(gè)函數(shù)就是最好的證據(jù) 。如果實(shí)際的工作只需一步既可完成，那為什么還要使用如此低效的函數(shù)呢？為什么不自己調(diào)用NtQuerySystemInformation()函數(shù)自由的獲取感興趣的系統(tǒng)信息？微軟提供的許多系統(tǒng)管理工具都依賴于NtQuerySystemInformation()而不是psapi.dll，so why settle for less?
BOOL WINAPI EnumProcesses( PDWORD lpidProcess,
DWORD; cb,
;PDWORD lpcbNeeded)
{
PSYSTEM_PROCESS_INFORMATION pspi, pSpiNext;
DWORD;;;;dSize, i;
NTSTATUS;ns;
BOOL;;;;;fOk = FALSE;
// 0x8000 = 32KB
for (dSize=0x8000; ((pspi = LocalAlloc(LMEM_FIXED,dSize)) != NULL);
;;dSize= 0x8000)
{
ns = NtQuerySystemInformation( SystemProcessInformation,pspi,
dSize, NULL);
if ( STATUS_SUCCESS == ns )
{
pSpiNext = pspi;
for ( i=0; i < cb/sizeof(DWORD); i)
{
lpidProcess[i] = pspiNext->dUniqueProcessId;
pSpiNext = (PSYSTEM_PROCESS_INFORMATION)
;;;;((BYTE)pSpiNext pSpiNext->dNext);
}
*lpcbNeeded = i * sizeof(DWORD);
fOk = TRUE;
}
LocalFree(pspi);
if ( fOk || (ns != STATUS_INFO_LENGTH_MISMATCH) )
{
if ( !fOk) SetLastError(RtlNtStatusToDosError(ns));
break;
}
return fOk;
}
列表1-6; EnumProcesses()函數(shù)的示例實(shí)現(xiàn)
枚舉進(jìn)程模塊
一但你從EnumProcess()返回的進(jìn)程列表中發(fā)現(xiàn)了你感興趣的進(jìn)程ID，你可能會(huì)想知道在此進(jìn)程的虛擬地址空間中加載了哪些模塊 。psapi.dll提供了另一個(gè)API函數(shù)來完成此功能，叫做EnumProcessModules() 。與EnumDeviceDrivers()和EnumProcesses()不同，這個(gè)函數(shù)需要四個(gè)參數(shù)（參見列表1-7） 。不同于前兩個(gè)返回系統(tǒng)全局列表的函數(shù)，EnumProcessModules()只取回指定進(jìn)程的列表，因此，增加的那個(gè)參數(shù)唯一表示一個(gè)進(jìn)程 。然而，該函數(shù)需要一個(gè)進(jìn)程句柄（HANDLE）來代替進(jìn)程ID 。為了通過進(jìn)程ID獲取其句柄（HANDLE），必須調(diào)用OpenProcess()函數(shù) 。
BOOL WINAPI EnumProcessModule( HNADLEhProcess,
HMODULE* lphModule,
DWORD;cb,
DWORD*lpcbNeeded);
PHMODULE WINAPI dbgProcessModules( HANDLE hProcess, PDWORD pdCount)
{
DWORD;dSize;
DWORD;dCount = 0;
PHMODULE phList = NULL;
if ( hProcess != NULL )
{
dSize = SIZE_MINIMUM * sizeof( HMODULE );
while ( (phList = dbgMemoryCreate(dSize)) != NULL )
{
if ( EnumProcessModules(hProcess,phList,dSize,&dCount))

推薦閱讀

• 

  遠(yuǎn)景用的什么輪胎
• 

  2022海南智睿九價(jià)HPV疫苗醫(yī)鹿APP預(yù)約流程
• 

  煮綠豆為什么有個(gè)別不能煮熟
• 

  我買手機(jī)的前期準(zhǔn)備
• 

  去江西旅游幾月份去好
• 

  暫時(shí)無法接通是不是拉黑了
• 

  橘子不能和什么一起吃，橘子不能跟什么蔬菜一起吃
• 

  7天啞鈴健身計(jì)劃表
• 

  車輛交強(qiáng)險(xiǎn)標(biāo)志現(xiàn)在還要貼嗎?
• 

  如何教育孩子不要有歧視心理 孩子被歧視怎么回答孩子
• 中標(biāo)公示在哪里查詢,工程中標(biāo)公示查詢?cè)趺床?
• 

  商業(yè)醫(yī)療保險(xiǎn)種類,哪些保險(xiǎn)種類不錯(cuò)
• 

  英雄傳奇怎么刷英雄,冰雪傳奇盟重英雄
• 

  菜鳥裹裹如何關(guān)閉位置信息。
• 

  關(guān)于五一的手抄報(bào)，關(guān)于詩歌的手抄報(bào)的標(biāo)題
• 

  分享Excel減法運(yùn)算的操作方法 Excel怎么減

• Windows2000的日志文件詳述及刪除方法
• 命令篇 Windows 2000/XP的CMD命令教程 (3)
• 2 《Undocumented Windows 2000 Secrets》翻譯 --- 第三章
• 如何安裝/卸載 Windows 2000 的公鑰證書頒發(fā)機(jī)構(gòu)
• 使用 Windows 2000 備份程序備份和還原系統(tǒng)狀態(tài)
• 8 《Undocumented Windows 2000 Secrets》翻譯 --- 第四章
• 佐助見到穢土鼬是哪集
• Windows 2000 上配置和應(yīng)用安全模板
• 如何在 Windows 2000 中啟用自動(dòng)登錄
• 2 《Undocumented Windows 2000 Secrets》翻譯 --- 第四章