进程快照获取

进程快照主要存在于PROCESSENTRY32这个结构体中，下面是这个结构体的信息。

typedef struct tagPROCESSENTRY32 {
DWORD dwSize; //结构体大小
DWORD cntUsage; //0
DWORD th32ProcessID; //进程ID：PID
ULONG_PTR th32DefaultHeapID; //0
DWORD th32ModuleID; //0
DWORD cntThreads; //进程计数
DWORD th32ParentProcessID; //父进程ID
LONG pcPriClassBase; //线程优先权
DWORD dwFlags; //0
TCHAR szExeFile[MAX_PATH]; //进程的可执行文件名称
} PROCESSENTRY32, *PPROCESSENTRY32;

用 HANDLE WINAPICreateToolhelp32Snapshot(
DWORD dwFlags, //用来指定“快照”中需要返回的对象，可以是TH32CS_SNAPPROCESS等
DWORD th32ProcessID //进程ID，若是0，代表所有进程，即进程快照表
);来获取某个进程的快照句柄

用　BOOL WINAPIProcess32First(
HANDLE hSnapshot, //进程快照句柄
LPPROCESSENTRY32 //PROCESSENTRY32结构体指针
);来获取第一个进程快照
用 Process32Next来获取下一个进程，用法参数和上面Process32First一样
下面是一小段代码：

#include <windows.h>
#include <Tlhelp32.h>
#include <stdio.h>

DWORD GetLastErrorBox(HWND hWnd, LPSTR lpTitle);

int main()
{
	//定义进程信息结构
	PROCESSENTRY32 pe32;
	pe32.dwSize = sizeof(PROCESSENTRY32);

	HANDLE hProcessShot;
	hProcessShot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);	//获取进程列表，最后一个参数是0
	if (hProcessShot == INVALID_HANDLE_VALUE)
	{
		GetLastErrorBox(NULL,"获取进程列表失败");
		return 0;
	}
	// 创建系统当前进程快照
	if (Process32First(hProcessShot,&pe32))//获取下一个进程快照
	{
		for (int i = 0;Process32Next(hProcessShot, &pe32);i++)
		{
			printf("%d : %-20s ",i, pe32.szExeFile);
			TCHAR szStrTemp[50];
			wsprintf(szStrTemp,"PID : %d", pe32.th32ProcessID);
			printf("%-20s ", szStrTemp);
			wsprintf(szStrTemp,"cntThreads : %d",pe32.cntThreads);
			printf("%-20s \n",szStrTemp);
		}
	}
	//遍历进程快照
	CloseHandle(hProcessShot);
	return 0;
}

// 显示错误信息
DWORD GetLastErrorBox(HWND hWnd, LPSTR lpTitle)
{
	LPVOID lpv;
	DWORD dwRv;

	if (GetLastError() == 0) return 0;

	dwRv = FormatMessage(FORMAT_MESSAGE_ALLOCATE_BUFFER |
		FORMAT_MESSAGE_FROM_SYSTEM,
		NULL,
		GetLastError(),
		MAKELANGID(LANG_ENGLISH, SUBLANG_ENGLISH_US),
		(LPSTR)&lpv,
		0,
		NULL);

	MessageBox(hWnd, (LPCSTR)lpv, lpTitle, MB_OK);

	if(dwRv)
		LocalFree(lpv);

	SetLastError(0);
	return dwRv;
}