windows程序设计02.ppt

获取系统进程 首先使用CreateToolhelp32Snapshot函数给当前系统内执行的进程拍快照，也就获得一个进程列表，这个列表中记录着进程的ID、进程对应的可执行文件的名称和创建该进程的进程ID等数据。然后使用Process32First函数和Process32Next函数遍历快照中记录的列表。 2.4 进程的控制 ＰＲＯＣＥＳＳＥＮＴＲＹ３２结构 typedef struct { DWORD dwSize;//结构的长度，必须预先设置 DWORD dwUsage；//进程的引用计数 DWORD th32ProcessID；//进程ID 　DWORD　ｔｈ３２ＤｅｆａｕｌｔＨｅａｐＩＤ；／／进程默认堆的ＩＤ 　ＤＷＯＲＤ　ｔｈ３２ＭｏｄｕｌｅＩＤ；／／进程模块的ＩＤ 　ＤＷＯＲＤ　ｃｎｔＴｈｒｅａｄｓ；／／进程创建的线程数 　ＤＷＯＲＤ　ｔｈＰａｒｅｎｔＰｒｏｃｅｓｓＩＤ；／／进程的父线程ＩＤ 　ＬＯＮＧ　ｐｃＰｒｉＣｌａｓｓＢａｓｅ；／／进程创建的线程的基本优先级 　ＤＷＯＲＤ　ｄｗＦｌａｇｓ；／／内部使用 　ＣＨＡＲ　ｓｚＥｘｅＦｉｌｅ［ＭＡＸ＿ＰＡＴＨ］；／／进程对应的可执行文件名 }ＰＲＯＣＥＳＳＥＮＴＲＹ３２； 终止当前进程--ExitProcess函数 终止进程就是结束程序的执行，让它从内存中卸载。终止原因： 1）主线程的入口函数返回。 2）进程中一个线程调用了ExitProcess函数 3）此进程中的所有线程都结束了。 4）其他进程中的一个线程调用了 TerminateProcess函数。 终止其他进程-- TerminateProcess函数 对一个进程操作前，必须首先取得该进程的进程句柄。 CreateProcess函数创建进程后返回一个进程句柄。对已存在进程，用OpenProcess函数取得这个进程的访问权限。 保护进程 保护进程不被其他进程非法关闭。 1）防止被其他进程检测到。 2）防止此进程被其他进程关闭。 WPE(截获网络数据软件) 检测系统进程：ToolHelp，Process Status函数 HOOK掉系统对这些函数的调用 HOOK掉其他进程对TerminateProcess函数的调用。 2.5 游戏内存修改器（实例） 实现原理 BOOL ReadProcessMemory( HANDLE hProcess,//待读进程的句柄 LPCVOID lpBaseAddress,//目标进程中待读内存的起始地址 LPVOID lpBuffer,//用来接收读取数据的缓冲区 DWORD nSize,//要读取的字节数 LPDWORD lpNumberOfBytesRead//用来供函数返回实际读取的字节数 ); WriteProcessMemory(hProcess,lpBaseAddress,lpBuffer, nSize,lpNumberOfBytesRead); OSVERSIONINFO结构 Typedef struct_OSVERSIONINFO{ DWORD dwOSVersionInfoSize,//本结构的大小，必须在调用之前设置 DWORD dwMajorVersion,//操作系统的主版本号 DWORD dwMinorVersion,//操作系统的次版本号 DWORD dwBuildNumber,//操作系统的编译版本号 DWORD dwPlatformId//操作系统平台。可以是VER_PLATFORM_WIN32_NT(2000系列)等 TCHAR szCSDVersion[128];//指定安装在系统上的必威体育精装版服务包，例如”Service Pack4”等 }OSVERSIONINFO; 结 束 Windows程序设计基础 32位处理器有3种工作模式: 实模式：重启以后到载入WINDOWS以前都是实模式，纯32位windows是不能进入实模式的。 保护模式：保护模式提供的保护机制管理和维护自己 ，保护主要指对存储器的保护。进入保护模式是每个32位系统必须的 。 虚拟86模式：为了让以前的16位程序能在32位下运行，32位处理器就提供了虚拟86模式 。 第二章 win32程序运行原理 2.1 CPU的保护模式和Windows系统 扩展模式： 1）兼容模式：该模式下，64位操作系统运行在32位兼容环境，能正常运行16，32位应用程序就像基本的保护模式一样，访问32位地址空间，但不能运行纯16位实模式程序（就是不能运行虚拟86模式程序了）。 2）64位模式：在该模式下，处理器完全执行64位指令，使用64位地址空间和64操作数，运行16，32位程序必须