FindWindow
FindWindow函数返回与指定字符创相匹配的窗口类名或窗口名的最顶层窗口的窗口句柄。这个函数不会查找子窗口。
函数原型:
HWND FindWindow(LPCTSTR lpClassName,LPCTSTR lpWindowName );
参数表:
lpClassName:
指向一个以null结尾的、用来指定类名的字符串或一个可以确定类名字符串的原子。如果这个参数是一个原子,那么它必须是一个在调用此函数前已经通过
GlobalAddAtom函数创建好的全局原子。这个原子(一个16bit的值),必须被放置在lpClassName的低位字节中,lpClassName的高位字节置零。
lpWindowName:
指向一个以null结尾的、用来指定窗口名(即窗口标题)的字符串。如果此参数为NULL,则匹配所有窗口名。
返回值:
如果函数执行成功,则返回值是拥有指定窗口类名或窗口名的窗口的句柄。如果函数执行失败,则返回值为 NULL 。可以通过调用GetLastError函数获得更加详细的错误信息。
GetWindowThreadProcessId
GetWindowThreadProcessId 函数:该函数用于获取创建指定窗口的线程标识和创建窗口的进程标识符,后一项是可选的。
函数原型
DWORD GetWindowThreadProcessId(HWND hWnd, LPDWORD lpdwProcessId);
参数
hWnd: 窗口的句柄。
lpdwProcessId
接收进程标识的 32 位整型变量的指针(pid)。如果这个参数不为 NULL ,GetWindowThreadProcessId 函数将进程标识拷贝到指针对应的 32 位变量中,否则不拷贝。
返回值: 返回值为创建窗口的线程标识。
得到进程id 之后,可以使用 OpenProcess函数来获得进程句柄
OpenProcess
OpenProcess函数用来获得进程句柄
函数原型
HANDLE OpenProcess(DWORD dwDesiredAccess, BOOL bInheritHandle, DWORD dwProcessId);
参数
dwDesiredAccess参数: 对打开的进程的访问权限,可以是下列值的组合:
process_all_access-----------等于下面所有权限的组合
process_create_thread-------允许创建远程线程
process_dup_handle---------允许进程句柄被复制
process_query_information--允许使用getexitcodeprocess函数查询和getprorityclass 查询进程信息
process_set_information-----允许使用setpriorityclass函数设置进程的优先级
process_terminate-----------允许结束进程
process_vm_operation-------允许使用writeprocessmemory函数或者virtualprotectex来修改进程的地址空间
process_vm_read------------允许对读取进程地址空间
process_vm_write------------允许使用写入进程地址空间
bInheritHandl参数: 指定返回的进程句柄是否可以被当前进程的子进程继承
dwProcessId 参数: 指定目标进程的进程id
//还有一种方法是使用CreateToolhelp32Snapshot 函数(快照)函数来获得进程句柄,上面的方法进程必须要有窗口,而快照函数不需要进程拥有窗口.
下面是读写进程数据的两个api函数:
ReadProcessMemory
BOOL ReadProcessMemory(HANDLE hProcess, LPCVOID lpBaseAddress, LPVOID lpBuffer, SIZE_T nSize, SIZE_T* lpNumberOfBytesRead);
handle hprocess, // 进程句柄
lpcvoid lpbaseaddress, // 要读取的目标进程起始内存
lpvoid lpbuffer, // 本地进程用来存放读取内容的数据缓冲区
size_t nsize, // 要从目标进程读取得数据长度
size_t * lpnumberofbytesread // 要读出的到本地的数量,为null则忽略这个参数
WriteProcessMemory
BOOL WriteProcessMemory(HANDLE hProcess, LPVOID lpBaseAddress, LPCVOID lpBuffer, SIZE_T nSize, SIZE_T* lpNumberOfBytesWritten);
handle hprocess, // 进程句柄
lpvoid lpbaseaddress, // base of memory area
lpvoid lpbuffer, // data buffer
size_t nsize, // count of bytes to write
size_t * lpnumberofbyteswritten // count of bytes written
要注入远程线程,必须要在目标进程中开辟一段空间,来存放远程线程代码。
VirtualAllocEx
LPVOID VirtualAllocEx(HANDLE hProcess, LPVOID lpAddress, SIZE_T dwSize, DWORD flAllocationType, DWORD flProtect);
handle hprocess, // 要开辟内存的进程
lpvoid lpaddress, // 从进程那个地址开始分配,为null,则系统决定
size_t dwsize, // 要分配的空间大小
dword flallocationtype, // 分配的类型,一般用 mem_commit即可
dword flprotect // 这段内存访问的权限,page_execute_readwrite,远程线程所处空间必须可读可执行
CreateProcess
说明:
WIN32API函数CreateProcess用来创建一个新的进程和它的主线程,这个新进程运行指定的可执行文件。
函数原型:
BOOL CreateProcess
(
LPCTSTR lpApplicationName,
LPTSTR lpCommandLine,
LPSECURITY_ATTRIBUTES lpProcessAttributes,
LPSECURITY_ATTRIBUTES lpThreadAttributes,
BOOL bInheritHandles,
DWORD dwCreationFlags,
LPVOID lpEnvironment,
LPCTSTR lpCurrentDirectory,
LPSTARTUPINFO lpStartupInfo,
LPPROCESS_INFORMATION lpProcessInformation
);
参数:
lpApplicationName:指向一个NULL结尾的、用来指定可执行模块的字符串。
这个字符串可以使可执行模块的绝对路径,也可以是相对路径,在后一种情况下,函数使用当前驱动器和目录建立可执行模块的路径。
这个参数可以被设为NULL,在这种情况下,可执行模块的名字必须处于 lpCommandLine 参数的最前面并由空格符与后面的字符分开。
这个被指定的模块可以是一个Win32应用程序。如果适当的子系统在当前计算机上可用的话,它也可以是其他类型的模块(如MS-DOS 或 OS/2)。
在Windows NT中,如果可执行模块是一个16位的应用程序,那么这个参数应该被设置为NULL并且因该在lpCommandLine参数中指定可执行模块的名称。16位的应用程序是以DOS虚拟机或Win32上的Windows(WOW) 为进程的方式运行。
lpCommandLine:指向一个NULL结尾的、用来指定要运行的命令行。
这个参数可以为空,那么函数将使用参数指定的字符串当作要运行的程序的命令行。
如果lpApplicationName和lpCommandLine参数都不为空,那么lpApplicationName参数指定将要被运行的模块,lpCommandLine参数指定将被运行的模块的命令行。
新运行的进程可以使用GetCommandLine函数获得整个命令行。C语言程序可以使用argc和argv参数。
如果lpApplicationName参数为空,那么这个字符串中的第一个被空格分隔的要素指定可执行模块名。
如果文件名不包含扩展名,那么.exe将被假定为默认的扩展名。如果文件名以一个点(.)结尾且没有扩展名,或文件名中包含路径,.exe将不会被加到后面。
如果文件名中不包含路径,Windows将按照如下顺序寻找这个可执行文件:
1.当前应用程序的目录。
2.父进程的目录。
3.Windows 95:Windows系统目录,可以使用GetSystemDirectory函数获得。
Windows NT:32位Windows系统目录。可以使用GetSystemDirectory函数获得,目录名是SYSTEM32。
4.在Windows NT中:16位Windows系统目录。不可以使用Win32函数获得这个目录,但是它会被搜索,目录名是SYSTEM。
5.Windows目录。可以使用GetWindowsDirectory函数获得这个目录。
6.列在PATH环境变量中的目录。
如果被创建的进程是一个以MS-DOS或16位Windows为基础的应用程序,lpCommandLine参数应该是一个以可执行文件的文件名作为第一个要素的绝对路径,因为这样做可以使32位Windows程序工作的很好,这样设置lpCommandLine参数是最强壮的。
lpProcessAttributes:指向一个SECURITY_ATTRIBUTES结构体,这个结构体决定是否返回的句柄可以被子进程继承。
如果lpProcessAttributes参数为空(NULL),那么句柄不能被继承。
在Windows NT中:SECURITY_ATTRIBUTES结构的lpSecurityDescriptor成员指定了新进程的安全描述符,如果参数为空,新进程使用默认的安全描述符。
在Windows95中:SECURITY_ATTRIBUTES结构的lpSecurityDescriptor成员被忽略。
lpThreadAttributes:指向一个SECURITY_ATTRIBUTES结构体,这个结构体决定是否返回的句柄可以被子进程继承。
如果lpThreadAttributes参数为空(NULL),那么句柄不能被继承。
在Windows NT中,SECURITY_ATTRIBUTES结构的lpSecurityDescriptor成员指定了主线程的安全描述符,如果参数为空,主线程使用默认的安全描述符。
在Windows95中:SECURITY_ATTRIBUTES结构的lpSecurityDescriptor成员被忽略。
bInheritHandles:指示新进程是否从调用进程处继承了句柄。
如果参数的值为真,调用进程中的每一个可继承的打开句柄都将被子进程继承。被继承的句柄与原进程拥有完全相同的值和访问权限。
dwCreationFlags:指定附加的、用来控制优先类和进程的创建的标志。
以下的创建标志可以以除下面列出的方式外的任何方式组合后指定。
| dwCreationFlags | 含义: |
| CREATE_DEFAULT_ERROR_MODE | 新的进程不继承调用进程的错误模式。CreateProcess函数赋予新进程当前的默认错误模式作为替代。应用程序可以调用SetErrorMode函数设置当前的默认错误模式。这个标志对于那些运行在没有硬件错误环境下的多线程外壳程序是十分有用的。对于CreateProcess函数,默认的行为是为新进程继承调用者的错误模式。设置这个标志以改变默认的处理方式。 |
| CREATE_NEW_CONSOLE | 新的进程将使用一个新的控制台,而不是继承父进程的控制台。这个标志不能与DETACHED_PROCESS标志一起使用。 |
| CREATE_NEW_PROCESS_GROUP | 新进程将使一个进程树的根进程。进程树种的全部进程都是根进程的子进程。新进程树的用户标识符与这个进程的标识符是相同的,由lpProcessInformation参数返回。进程树经常使用GenerateConsoleCtrlEvent函数允许发送CTRL+C或CTRL+BREAK信号到一组控制台进程。 |
| CREATE_SEPARATE_WOW_VDM | 只适用于Windows NT,这个标志只有当运行一个16位的Windows应用程序时才是有效的。如果被设置,新进程将会在一个私有的虚拟DOS机(VDM)中运行。另外,默认情况下所有的16位Windows应用程序都会在同一个共享的VDM中以线程的方式运行。单独运行一个16位程序的优点是一个应用程序的崩溃只会结束这一个VDM的运行;其他那些在不同VDM中运行的程序会继续正常的运行。同样的,在不同VDM中运行的16位Windows应用程序拥有不同的输入队列,这意味着如果一个程序暂时失去响应,在独立的VDM中的应用程序能够继续获得输入。 |
| CREATE_SHARED_WOW_VDM | 只适用于Windows NT,这个标志只有当运行一个16位的Windows应用程序时才是有效的。如果WIN.INI中的Windows段的DefaultSeparateVDM选项被设置为真,这个标识使得CreateProcess函数越过这个选项并在共享的虚拟DOS机中运行新进程。 |
| CREATE_SUSPENDED | 新进程的主线程会以暂停的状态被创建,直到调用ResumeThread函数被调用时才运行。 |
| CREATE_UNICODE_ENVIRONMENT | 如果被设置,由lpEnvironment参数指定的环境块使用Unicode字符,如果为空,环境块使用ANSI字符 |
| DEBUG_PROCESS | 如果这个标志被设置,调用进程将被当作一个调试程序,并且新进程会被当作被调试的进程。系统把被调试程序发生的所有调试事件通知给调试器。如果你使用这个标志创建进程,只有调用进程(调用CreateProcess函数的进程)可以调用WaitForDebugEvent函数。 |
| DEBUG_ONLY_THIS_PROCESS | 如果此标志没有被设置且调用进程正在被调试,新进程将成为调试调用进程的调试器的另一个调试对象。如果调用进程没有被调试,有关调试的行为就不会产生 |
| DETACHED_PROCESS | 对于控制台进程,新进程没有访问父进程控制台的权限。新进程可以通过AllocConsole函数自己创建一个新的控制台。这个标志不可以与CREATE_NEW_CONSOLE标志一起使用 |
dwCreationFlags参数还用来控制新进程的优先类,优先类用来决定此进程的线程调度的优先级。
如果下面的优先级类标志都没有被指定,那么默认的优先类是NORMAL_PRIORITY_CLASS,除非被创建的进程是IDLE_PRIORITY_CLASS。在这种情况下子进程的默认优先类是IDLE_PRIORITY_CLASS。
可以下面的标志中的一个:
| dwCreationFlags参数 | 含义 |
| HIGH_PRIORITY_CLASS | 指示这个进程将执行时间临界的任务,所以它必须被立即运行以保证正确。这个优先级的程序优先于正常优先级或空闲优先级的程序。一个例子是Windows任务列表,为了保证当用户调用时可以立刻响应,放弃了对系统负荷的考虑。确保在使用高优先级时应该足够谨慎,因为一个高优先级的CPU关联应用程序可以占用几乎全部的CPU可用时间。 |
| IDLE_PRIORITY_CLASS | 指示这个进程的线程只有在系统空闲时才会运行并且可以被任何高优先级的任务打断。例如屏幕保护程序。空闲优先级会被子进程继承。 |
| NORMAL_PRIORITY_CLASS | 指示这个进程没有特殊的任务调度要求。 |
| REALTIME_PRIORITY_CLASS | 指示这个进程拥有可用的最高优先级。一个拥有实时优先级的进程的线程可以打断所有其他进程线程的执行,包括正在执行重要任务的系统进程。例如,一个执行时间稍长一点的实时进程可能导致磁盘缓存不足或鼠标反映迟钝 |
lpEnvironment:指向一个新进程的环境块。如果此参数为空,新进程使用调用进程的环境。
一个环境块存在于一个由以NULL结尾的字符串组成的块中,这个块也是以NULL结尾的。每个字符串都是name=value的形式。因为相等标志被当作分隔符,所以它不能被环境变量当作变量名。
与其使用应用程序提供的环境块,不如直接把这个参数设为空,系统驱动器上的当前目录信息不会被自动传递给新创建的进程。对于这个情况的探讨和如何处理,请参见注释一节。
环境块可以包含Unicode或ANSI字符。如果lpEnvironment指向的环境块包含Unicode字符,那么dwCreationFlags字段的CREATE_UNICODE_ENVIRONMENT标志将被设置。如果块包含ANSI字符,该标志将被清空。
请注意一个ANSI环境块是由两个零字节结束的:一个是字符串的结尾,另一个用来结束这个快。一个Unicode环境块石油四个零字节结束的:两个代表字符串结束,另两个用来结束块。
lpCurrentDirectory:指向一个以NULL结尾的字符串,这个字符串用来指定子进程的工作路径。
这个字符串必须是一个包含驱动器名的绝对路径。如果这个参数为空,新进程将使用与调用进程相同的驱动器和目录。这个选项是一个需要启动启动应用程序并指定它们的驱动器和工作目录的外壳程序的主要条件。
lpStartupInfo:指向一个用于决定新进程的主窗体如何显示的STARTUPINFO结构体。
lpProcessInformation:指向一个用来接收新进程的识别信息的PROCESS_INFORMATION结构体。
返回值:
如果函数执行成功,返回非零值。如果函数执行失败,返回零,可以使用GetLastError函数获得错误的附加信息。
注释:
1、CreateProcess函数用来运行一个新程序。WinExec和LoadModule函数依旧可用,但是它们同样通过调用CreateProcess函数实现。
2、CreateProcess函数除了创建一个进程,还创建一个线程及这个线程的堆栈,堆栈的大小由可执行文件的文件头中的描述来决定,线程由文件头处开始执行。
3、新进程和新线程的句柄按全局访问权限创建,对于这两个句柄中的任一个,如果没有安全描述符,那么这个句柄就可以在任何需要句柄类型作为参数的函数中被使用。当有安全描述符时,句柄的使用总是会先进行访问权限的检查,如果访问权限检查为拒绝访问,请求的进程将不能使用这个句柄访问这个进程。
4、这个进程会被分配给一个32位的进程标识符;线程也会被分配一个32位的线程标识符;这些标识符在PROCESS_INFORMATION结构体中返回。
5、当在lpApplicationName或lpCommandLine参数中指定应用程序名时,应用程序名中是否包含扩展名都不会影响运行,只有一种情况例外:一个以.com为扩展名的MS-DOS程序或Windows程序必须包含.com扩展名。
6、调用进程可以通过WaitForInputIdle函数来等待新进程完成它的初始化并等待用户输入。CreateProcess函数不会等待新进程完成它的初始化工作。在试图与新进程关联的窗口之前,进程应该先调用WaitForInputIdle。
7、结束进程的方式是调用ExitProcess函数,这个函数通知这个进程的所有动态链接库(DLLs)程序已进入结束状态。其他的结束进程的方法不会通知关联的动态链接库。注意当一个进程调用ExitProcess时,这个进程的其他线程没有机会运行其他任何代码(包括关联动态链接库的终止代码)。
8、ExitProcess, ExitThread, CreateThread, CreateRemoteThread,当一个进程启动时(调用了CreateProcess的结果)是在进程中序列化进行的。在一段地址空间中,同一时间内这些事件中只有一个可以发生。这意味着下面的限制将保留:
-
-
在进程启动和DLL初始化阶段,新的线程可以被创建,但是直到进程的DLL初始化完成前它们都不能开始运行。
-
在DLL初始化或卸下例程中进程中只能有一个线程。
-
直到所有的线程都完成DLL初始化或卸下后,ExitProcess函数才返回。
-
在进程中的所有线程都终止且进程所有的句柄和它们的线程被通过调用CloseHandle函数终止前,进程会留在系统中。
-
进程和主线程的句柄都必须通过调用CloseHandle函数关闭。如果不再需要这些句柄,最好在创建进程后立刻关闭它们。
-
9、当进程中最后一个线程终止时,下列的事件发生:
-
-
所有由进程打开的对象都会关闭。
-
进程的终止状态(由GetExitCodeProcess函数返回)从它的初始值STILL_ACTIVE变为最后一个结束的线程的结束状态。
-
主线程的线程对象被设置为标志状态,供其他等待这个对象的线程使用。
-
进程对象被设置为标志状态,供其他等待这个对象的线程使用。
-
获得驱动器X的当前目录变量的方法是调用GetFullPathName()
由CreateProcess函数返回的句柄对于进程对象具有PROCESS_ALL_ACCESS的访问权限。
由lpcurrentDirectory参数指定的当前目录室子进程对象的当前目录。
lpCommandLine参数指定的第二个项目是父进程的当前目录。
对于Windows NT,当一个进程在指定了CREATE_NEW_PROCESS_GROUP的情况下被创建时,一个对于SetConsoleCtrlHandler(NULL,True)的调用被用在新的进程上,这意味着对新进程来说CTRL+C是无效的。这使得上层的外壳程序可以自己处理CTRL+C信息并有选择的把这些信号传递给子进程。CTRL+BREAK依旧有效,并可被用来中断进程/进程树的执行。
安全注释:
第一个参数lpApplicationName可能是空,这种情况下,可执行文件的名字必须在lpCommandLine中,lpCommandLine参数中可以包含空格。如果可执行文件名或路径中包含空格,会有执行不正确文件的风险。
例如:下边这个例子就很危险,因为它试图运行Program.exe文件,如果这个文件存在,它就会代替MyApp.exe文件的运行。
CreateProcess(NULL,”C:\\Program Files\\MyApp.exe”,…….)
要避免这个问题,可以不要将NULL值传递给lpApplicationName参数,或者在lpCommandLine中使用双引号(转义符)括起可执行文件的全路径名,如下所示:
CreateProcess(NULL,”\”C:\\Program Files\\MyApp.exe\” -L -S”,…….) // -L和-S是MyApp.exe可执行文件的参数。
最后要说明的一点是:在lpApplicationName中的参数和lpCommandLine中的第一个参数是一样的,有人说显得有些重复,其实这样做纯粹是一种被公认化了习惯!
CreateThread
概述:当使用CreateProcess调用时,系统将创建一个进程和一个主线程。CreateThread将在主线程的基础上创建一个新线程,大致做如下步骤:
1、在内核对象中分配一个线程标识/句柄,可供管理,由CreateThread返回
2、把线程退出码置为STILL_ACTIVE,把线程挂起计数置1
3、分配context结构
4、分配两页的物理存储以准备栈,保护页设置为PAGE_READWRITE,第2页设为PAGE_GUARD
5l、pStartAddr和lpvThread值被放在栈顶,使它们成为传送给StartOfThread的参数
6、把context结构的栈指针指向栈顶(第5步)指令指针指向startOfThread函数
CreateThread原型:
HANDLE CreateThread(
LPSECURITY_ATTRIBUTES lpThreadAttributes, //指向SECURITY_ATTRIBUTES型态的结构的指针。在Windows 98中忽略该参数。在Windows NT中,它被设为NULL,表示使用缺省值。
DWORD dwStackSize, //线程堆栈大小,一般=0,在任何情况下,Windows根据需要动态延长堆栈的大小。
LPTHREAD_START_ROUTINE lpStartAddress, //指向线程函数的指针,形式:@函数名,函数名称没有限制,但是必须以下列形式声明:
DWORD WINAPI ThreadProc (PVOID pParam) 格式不正确将无法调用成功。
LPVOID lpParameter, //向线程函数传递的参数,是一个指向结构的指针,不需传递参数时,为Nil。
DWORD dwCreationFlags, //线程标志,为CREATE_SUSPENDED值时将创建一个挂起的线程 ;为0 值时,创建后并立即激活。
DWORD lpThreadId //保存新线程的id
); //函数成功,返回线程句柄;函数失败返回false。
DELPHI语法:
hThread = CreateThread (&security_attributes, dwStackSize, ThreadProc,pParam, dwFlags, &idThread) ;
一般并不推荐使用 CreateTheard函数,而推荐使用RTL 库里的System单元中定义的 BeginTheard函数,因为这除了能创建一个线程和一个入口函数以外,还增加了几项保护措施。
function CreateThread(
lpThreadAttributes: Pointer; //安全指针一般nil就可以了
dwStackSize: DWORD; //线程初始化尺寸,一般用0,获得与主线程一样尺寸(不够自己会增加,别担心)
lpStartAddress: TFNThreadStartRoutine; //一个指向要执行线程函数的指针,这个函数必须遵守stdcall约定,并且可带一个参数,参数必须是指针类型
lpParameter: Pointer; //函数的参数
dwCreationFlags: DWORD;//控制创建标志,用0表示线程立刻执行
var lpThreadId: DWORD) //返回标识变量我觉得没什么用,反正句柄都有了
): THandle; //返回线程的句柄
stdcall;//标准调用 Windows下API一般都是标准调用
CreateRemoteThread
HANDLE CreateRemoteThread(
HANDLE hProcess, // 要写入远程线程进程句柄
LPSECURITY_ATTRIBUTES lpThreadAttributes, // 线程安全属性
SIZE_T dwStackSize,// 初始化堆栈大小
LPTHREAD_START_ROUTINE lpStartAddress,// 远程线程函数
LPVOID lpParameter,// 标志,可以创建挂起的线程等等
DWORD dwCreationFlags, // 标志,可以创建挂起的线程等等
LPDWORD lpThreadId // 用来返回线程id的指针
);
