枚舉桌面頂層窗口相對於枚舉進程來說可能要容易壹些。枚舉桌面頂層窗口的方法是用 EnumWindows() 函數。不要用 GetWindow()來創建窗口列表,因為窗口之間復雜的父子及同胞關系(Z-Order)容易造成混亂而使得枚舉結果不準確。
EnumWindows()有兩個參數,壹個是指向回調函數的指針,壹個是用戶定義的 LPARAM 值, 針對每個桌面窗口(或者頂層窗口)它調用回調函數壹次。然後回調函數用該窗口句柄做壹些處理,比如將它添加到列表中。這個方法保證枚舉結果不會被窗口復雜的層次關系搞亂,因此,壹旦有了窗口句柄,我們就可以通過 GetWindowText() 得到窗口標題。
枚舉進程
建立系統進程列表比枚舉窗口稍微復雜壹些。這主要是因為所用的 API 函數對於不同的 Win32 操作系統有依賴性。在 Windows 9x、Windows Me、Windows 2000 Professional 以及 Windows XP 中,我們可以用 ToolHelp32 庫中的 APIs 函數。但是在 Windows NT 裏,我們必須用 PSAPI 庫中的 APIs 函數, PSAPI 庫是 SDK 的壹部分。本文我們將討論上述所有平臺中的實現。附帶的例子程序將對上述庫中的 APIs 進行包裝,以便包裝後的函數能支持所有 Win32 操作系統。
使用 ToolHelp32 庫枚舉進程
ToolHelp32 庫函數在 KERNEL32.dll 中,它們都是標準的 API 函數。但是 Windows NT 4.0 不提供這些函。
ToolHelp32 庫中有各種各樣的函數可以用來枚舉系統中的進程、線程以及獲取內存和模塊信息。其中枚舉進程 只需用如下三個的函數:CreateToolhelp32Snapshot()、Process32First()和 Process32Next()。
使用 ToolHelp32 函數的第壹步是用 CreateToolhelp32Snapshot() 函數創建系統信息“快照”。這個函數可以讓妳選擇存儲在快照中的信息類型。如果妳只是對進程信息感興趣,那麽只要包含 TH32CS_SNAPPROCESS 標誌即可。 CreateToolhelp32Snapshot() 函數返回壹個 HANDLE,完成調用之後,必須將此 HANDLE 傳給 CloseHandle()。
接下來是調用壹次 Process32First 函數,從快照中獲取進程列表,然後重復調用 Process32Next,直到函數返回 FALSE 為止。這樣將遍歷快照中進程列表。這兩個函數都帶兩個參數,它們分別是快照句柄和壹個 PROCESSENTRY32 結構。
調用完 Process32First 或 Process32Next 之後,PROCESSENTRY32 中將包含系統中某個進程的關鍵信息。其中進程 ID 就存儲在此結構的 th32ProcessID。此 ID 可以被傳給 OpenProcess() API 以獲得該進程的句柄。對應的可執行文件名及其存放路徑存放在 szExeFile 結構成員中。在該結構中還可以找到其它壹些有用的信息。
註意:在調用 Process32First() 之前,壹定要記住將 PROCESSENTRY32 結構的 dwSize 成員設置成 sizeof(PROCESSENTRY32)。
使用 PSAPI 庫枚舉進程
在 Windows NT 中,創建進程列表使用 PSAPI 函數,這些函數在 PSAPI.DLL 中。這個文件是隨 Platform SDK 壹起分發的,最新版本的 Platform SDK 可以從這裏下載:
使用這個庫所需的 PSAPI.h 和 PSAPI.lib 文件也在該 Platform SDK 中。
為了使用 PSAPI 庫中的函數,需將 PSAPI.lib 添加到代碼項目中,同時在所有調用 PSAPI API 的模塊中包含 PSAPI.h 文件。記住壹定要隨可執行文件壹起分發 PSAPI.DLL,因為它不隨 Windows NT 壹起分發。妳可以點擊這裏單獨下載 PSAPI.DLL 的可分發版本(不用完全下載 Platform SDK)。
與 ToolHelp32 壹樣,PSAPI 庫也包含各種各樣有用的函數。由於篇幅所限,本文只討論與枚舉進程有關函數:EnumProcesses()、EnumProcessModules()、GetModuleFileNameEx()和 GetModuleBaseName()。
創建進程列表的第壹步是調用 EnumProcesses()。該函數的聲明如下:
BOOL EnumProcesses( DWORD *lpidProcess, DWORD cb, DWORD *cbNeeded );
EnumProcesses()帶三個參數,DWORD 類型的數組指針 lpidProcess;該數組的大小尺寸 cb;以及壹個指向 DWORD 的指針 cbNeeded,它接收返回數據的長度。DWORD 數組用於保存當前運行的進程 IDs。cbNeeded 返回數組所用的內存大小。下面算式可以得出返回了多少進程:nReturned = cbNeeded / sizeof(DWORD)。
註意:雖然文檔將返回的 DWORD 命名為“cbNeeded”,實際上是沒有辦法知道到底要傳多大的數組的。EnumProcesses()根本不會在 cbNeeded 中返回壹個大於 cb 參數傳遞的數組值。結果,唯壹確保 EnumProcesses()函數成功的方法是分配壹個 DWORD 數組,並且,如果返回的 cbNeeded 等於 cb,分配壹個較大的數組,並不停地嘗試直到 cbNeeded 小於 cb
現在,妳獲得了壹個數組,其元素保存著系統中每個進程的ID。如果妳要想獲取進程名,那麽妳必須首先獲取壹個句柄。要想從進程 ID 得到句柄,就得調用 OpenProcess()。
壹旦有了句柄,則需要得到該進程的第壹個模塊。為此調用 EnumProcessModules() API:EnumProcessModules( hProcess, &hModule, sizeof(hModule), &cbReturned ); 調用之後,hModule 變量中保存的將是進程中的第壹個模塊。記住進程其實沒有名字,但進程的第壹個模塊既是該進程的可執行模塊。現在妳可以用 hModule 中返回的模塊句柄調用 GetModuleFileNameEx() 或 GetModuleBaseName() API 函數獲取全路徑名,或者僅僅是進程可執行模塊名。兩個函數均帶四個參數:進程句柄,模塊句柄,返回名字的緩沖指針以及緩沖大小尺寸。
用 EnumProcesses() API 返回的每壹個進程 ID 重復這個調用過程,妳便可以創建 Windows NT 的進程列表。
16位進程的處理方法
在 Windows 95,Windows 98 和 Windows ME 中,ToolHelp32 對待16位程序壹視同仁,它們與 Win32 程序壹樣有自己的進程IDs。但是在 Windows NT,Windows 2000 或 Windows XP 中情況並不是這樣。在這些操作系統中,16位程序運行在所謂的 VDM 當中(也就是DOS機)。
為了在 Windows NT,Windows 2000 和 Windows XP 中枚舉16位程序,妳必須使用壹個名為 VDMEnumTaskWOWEx()的函數。在源代碼模塊中必須包含 VDMDBG.h,並且 VDMDBG.lib 文件必須與項目鏈接。這兩個文件都在 Platform SDK 中。該函數的聲明如下:INT WINAPI VDMEnumTaskWOWEx( DWORD dwProcessId, TASKENUMPROCEX fp,LPARAM lparam );
此處 dwProcessId 是 NTVDM 中擬枚舉的16位任務進程標示符。參數 fp 是回調枚舉函數的指針。參數 lparam 是用戶定義的值,它被傳遞到枚舉函數。枚舉函數應該被定義成如下這樣:
BOOL WINAPI Enum16( DWORD dwThreadId,
WORD hMod16,
WORD hTask16,
PSZ pszModName,
PSZ pszFileName,
LPARAM lpUserDefined ); 該函數針對每個運行在 NTVDM 進程中的16位任務調用壹次,NTVDM 進程ID將被傳入 VDMEnumTaskWOWEx()。如果想繼續枚舉則返回 FALSE,終止枚舉則返回 TRUE。註意這是與 EnumWindows()相對的。
關於代碼
本文附帶的代碼例子將 PSAPI 和 ToolHelp32 封裝到壹個名為 EnumProcs() 的函數中。該函數的工作原理類似 EnumWindows(),有壹個指向回調函數的指針,並要對該函數進行重復調用,針對系統中的每個進程調用壹次。另壹個參數是用戶定義的 lParam。下面是該函數的聲明:BOOL WINAPI EnumProcs( PROCENUMPROC lpProc, LPARAM lParam );
使用該函數時,要象下面這樣聲明回調函數:
BOOL CALLBACK Proc( DWORD dw, WORD w16, LPCSTR lpstr, LPARAM lParam );
參數 dw 包含 ID,“w16”是16位任務的任務號,如果為32位進程則為0(在 Windows 95 中總是0),參數lpstr 指向文件名,lParam 是用戶定義的,要被傳入 EnumProcs()。
EnumProcs() 函數通過顯示鏈接使用 ToolHelp32 和 PSAPI,而非通常所用的隱式鏈接。之所以要這樣做,主要是為了讓代碼能夠在二進制壹級兼容,從可以在所有 Win32 操作系統平臺上運行。