Windows编程系列：进程遍历的几种方法

在应用层下，进程遍历有多种方式，这里介绍几种常用的方式：进程快照、ZwQuerySystemInformation/NtQuerySystemInformation、EnumProcesses函数、WMI等。

在C#中Process类提供了一个GetProcesses()函数，这个函数内部就是调用的NtQuerySystemInformation进行获取。

进程快照

这种方式比较简单方便。主要涉及以下几个函数

CreateToolhelp32Snapshot(TlHelp32.h)函数，获取进程信息为指定的进程、进程使用的堆、模块、线程建立一个快照。

函数声明如下：

1 HANDLE
2 WINAPI
3 CreateToolhelp32Snapshot(
4     DWORD dwFlags,
5     DWORD th32ProcessID
6     );

参数说明：

dwFlags

枚举进程的话使用TH32CS_SNAPPROCESS就可以了，也可以枚举其它的内容，可以自行尝试。

th32ProcessID指定将要快照的进程ID。如果该参数为零，则表示快照当前进程。该参数只有在设置了TH32CS_SNAPHEAPLIST或者

TH32CS_SNAPMODULE后才有效，在其他情况下应忽略该参数，快照所有的进程。

返回值：

成功，返回快照句柄

失败，返回INVALID_HANDLE_VALUE

注意，进程枚举完成后需要CloseHandle关闭快照句柄。

Process32First函数，用于检索系统快照中遇到的第一个进程信息。在调用CreateToolhelp32Snapshot成功后，就可以调用这个函数来获取第一个进程信息。函数声明如下：

1 BOOL
2 WINAPI
3 Process32FirstW(
4     HANDLE hSnapshot,
5     LPPROCESSENTRY32W lppe
6     );

参数说明：

hSnapshot

CreateToolhelp32Snapshot函数返回的快照句柄

lppe

指向PROCESSENTRY32结构的指针。

PROCESSENTRY32结构定义如下：

 1 typedef struct tagPROCESSENTRY32W
 2 {
 3     DWORD   dwSize;                     // size
 4     DWORD   cntUsage;                   // obselete(keep 0)
 5     DWORD   th32ProcessID;              // this process
 6     ULONG_PTR th32DefaultHeapID;        // obselete(keep 0)
 7     DWORD   th32ModuleID;               // associated exe
 8     DWORD   cntThreads;                 // The number of execution threads started by the process.
 9     DWORD   th32ParentProcessID;        // this process's parent process
10     LONG    pcPriClassBase;             // Base priority of process's threads
11     DWORD   dwFlags;                    // obselete(keep 0)
12     WCHAR   szExeFile[MAX_PATH];        // Path
13 } PROCESSENTRY32W;

返回值：

TRUE，进程列表的第一个条目已经复制到缓冲区

FALSE，失败，调用GetLastError()获取错误信息

Process32Next函数，检索系统快照中记录的下一个进程信息。这个函数的声明和Process32First一样，使用方法也一样，这是在第一个进程的基础上，继续向下遍历 。

返回值：

TRUE，