实验一 Windows2000进程观测

实验一Windows2000进程观测一、背景知识Windows2000可以识别的应用程序：控制台应用程序、GUI应用程序和服务应用程序。不同类型应用程序间的唯一重要区别是启动方法。控制台应用程序GUI服务应用程序标准输出流创建运行写数据Windows2000是以NT的技术构建的，它提供了创建控制台应用程序的能力，使用户可以利用标准的C++工具，如iostream库中的cout和cin对象，来创建小型应用程序。当系统运行时，Windows2000的服务通常要向系统用户提供所需功能。服务应用程序类型需要ServiceMail()函数，由服务控制管理器(SCM)加以调用。SCM是操作系统的集成部分。其本身负责使应用程序的行为像一个服务。通常，服务登录到特殊的LocalSystem账号下，此账号具有与开发人员创建的服务不同的权限。当令C++编译器创建可执行程序时，编译器将源代码编译成OBJ文件，然后将其与标准库相链接。产生的EXE文件是装载器指令、机器指令和应用程序的数据的集合。装载器指令告诉系统从哪里装载机器代码。另一个装载器指令告诉系统从哪里开始执行进程的主线程。在进行某些设置后，进入开发者提供的main()、ServiceMain()或WinMain()函数的低级入口点。机器代码中包括有控制逻辑，它能够跳转到WindowsAPI函数，进行计算或向磁盘写入数据。Windows允许开发人员将大型应用程序分为较小的、互相有关系的服务模块，即动态链接库(DLL)代码块，在其中包含应用程序所使用的机器代码和应用程序的数据。二、实验目的通过对Windows2000编程，进一步熟悉操作系统的基本概念，较好地理解Windows2000的结构。三、实验内容与步骤1、简单的控制台应用程序步骤1：登录进入Windows操作系统。步骤2：启动VisualC++6.0。File（文件）-New（新建）-Project（项目）-Win32consoleApplication（Win32控制台项目）File（文件）-New（新建）-Files(文件)-C++sourcefiles步骤3：输入下列代码。//hello项目#includeiostreamvoidmain(){std::cout“Hello,Windows2000”std::endl;}步骤4：编译生成Hello.exe，并执行。步骤5：运行Hello.exe程序，产生用户键入的一行文字。2、GUI应用程序利用C++编译器创建一个GUI应用程序，代码中包括了WinMain()方法，这是GUI类型的应用程序的标准入口点。步骤1：启动VisualC++6.0。File（文件）-New（新建）-Project（项目）-Win32Application（Win32应用项目）File（文件）-New（新建）-Files(文件)-C++sourcefiles步骤2：输入下列代码。步骤3：编译生成.exe文件。//msgbox项目#includewindows.h//标准的include//告诉连接器与包括MessageBoxAPI函数的user32库进行连接#pragmacomment(lib,“user32.lib”)//这是一个可以弹出信息框然后退出的筒单的应用程序intAPIENTRYWinMain(HINSTANCEhInstance,HINSTANCEhPrevInstance,LPSTRlpCmdLine，intnCmdShow){::MessageBox(NULL,//没有父窗口“Hello,Windows2000”,//消息框中的文本“Greetings”,//消息框标题MB_OK);//其中只有一个OK按钮//返回0以便通知系统不进入消息循环return(0);}在该GUI应用程序中，首先需要windows.h头文件，以便获得传送给WinMain()和MessageBox()API函数的数据类型定义。pragma指令指示编译器/连接器找到user32.lib库文件并将其与产生的exe文件连接起来。如果没有pragma指令，则MessageBox()API函数就成为未定义的了。WinMain()方法中有四个由实际的低级入口点传递来的参数。hInstance参数用来装入与代码相连的图标或位图一类的资源，无论何时，都可用GetModuleHandle()API函数将这些资源提取出来。系统利用实例句柄来指明代码和初始的数据装在内存的何处。句柄的数值实际上是exe文件映像的基地址，通常为0x00400000。下一个参数hPrevInstance是为向后兼容而设的，现在系统将其设为NULL。应用程序的命令行(不包括程序的名称)是lpCmdLine参数。另外，系统利用nCmdShow参数告诉应用程序如何显示它的主窗口(选项包括最小化、最大化和正常)。最后，程序调用MessageBox()API函数并退出。如果在进入消息循环之前就结束运行的话，最后必须返回0。3、进程对象操作系统将当前运行的应用程序看作是进程对象。利用系统提供的惟一的称为句柄(HANDLE)的号码，就可与进程对象交互。这一号码只对当前进程有效。在系统中运行的任何进程都可调用GetCurrentProcess()API函数，此函数可返回标识进程本身的句柄。然后就可在Windows需要该进程的有关情况时，利用这一句柄来提供。步骤1：启动VisualC++6.0。File（文件）-New（新建）-Project（项目）-Win32consoleApplication（Win32控制台项目）File（文件）-New（新建）-Files(文件)-C++sourcefiles步骤2：将下列代码键入。步骤3：编译生成exe文件。//prochandle项目#includewindows.h#includeiostream//确定自己的优先权的简单应用程序voidmain(){//从当前进程中提取句柄HANDLEhProcessThis=::GetCurrentProcess();//请求内核提供该进程所属的优先权类DWORDdwPriority=::GetPriorityClass(hProcessThis);//发出消息，为用户描述该类std::cout“Currentprocesspriority:”;switch(dwPriority){caseHIGH_PRIORITY_CLASS:std::cout“High”;break;caseNORMAL_PRIORITY_CLASS:std::cout“Normal”;break;caseIDLE_PRIORITY_CLASS:std::cout“Idle”;break;caseREALTIME_PRIORITY_CLASS:std::cout“Realtime”;break;default:std::cout“unknown”;break;}std::coutstd::endl;}上述代码列出的是一种获得进程句柄的方法。对于进程句柄可进行的惟一有用的操作是在API调用时，将其作为参数传送给系统。系统向进程对象内“窥视”，以决定其优先级，然后将此优先级返回给应用程序。OpenProcess()和CreateProcess()API函数也可以用于提取进程句柄。前者提取的是已经存在的进程的句柄，而后者创建一个新进程，并将其句柄提供出来。4、利用句柄查出进程的详细信息步骤1：启动VisualC++6.0。File（文件）-New（新建）-Project（项目）-Win32consoleApplication（Win32控制台项目）File（文件）-New（新建）-Files(文件)-C++sourcefiles步骤2：将下列代码键入。步骤3：编译生成exe文件。步骤4：按下Ctrl+Alt+Del启动任务管理器，查看进程相关的相关信息，与上述运行结果有何不同。//proclist项目#includewindows.h#includetlhelp32.h#includeiostream//当在用户模式机内核模式下都提供所耗时间时，在内核模式下进行所耗时间的64位计算的帮助方法DWORDGetKernelModePercentage(constFILETIME&ftKernel,constFILETIME&ftUser){//将FILETIME结构转化为64位整数ULONGLONGqwKernel=(((ULONGLONG)ftKernel.dwHighDateTime)32)+ftKernel.dwLowDateTime;ULONGLONGqwUser=(((ULONGLONG)ftUser.dwHighDateTime)32)+ftUser.dwLowDateTime;//将消耗时间相加，然后计算消耗在内核模式下的时间百分比ULONGLONGqwTotal=qwKernel+qwUser;DWORDdwPct=(DWORD)(((ULONGLONG)100*qwKernel)/qwTotal);return(dwPct);}//以下是将当前运行进程名和消耗在内核模式下的时间百分数都显示出来的应用程序voidmain(){//对当前系统中运行的进程拍取“快照”HANDLEhSnapshot=::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,//提取当前进程0);//如果是当前进程，就将其忽略//初始化进程入口PROCESSENTRY32pe;::ZeroMemory(&pe,sizeof(pe));pe.dwSize=sizeof(pe);//按所有进程循环BOOLbMore=::Process32First(hSnapshot,&pe);while(bMore){//打开用于读取的进程HANDLEhProcess=::OpenProcess(PROCESS_QUERY_INFORMATION,//指明要得到信息FALSE,//不必继承这一句柄pe.th32ProcessID);//要打开的进程if(hProcess!=NULL){//找出进程的时间FILETIMEftCreation,ftExit,ftKernelMode,ftUserMode;::GetProcessTimes(hProcess,//所感兴趣的进程&ftCreation,//进程的启动时间(绝对的)&ftExit,//结束时间(如果有的话)&ftKernelMode,//在内核模式下消耗的时间&ftUserMode);//在用户模式下消耗的时间//计算内核模式消耗的时间百分比DWORDdwPctKernel=::GetKernelModePercentage(ftKernelMode,//在内核模式上消耗的时间ftUserMode);//在用户模式下消耗的时间//向用户显示进程的某些信息std::cout“ProcessID:”pe.th32ProcessID“,EXEfile:”pe.szExeFile“,%inkernelmode:”dwPctKernelstd::endl;//消除句柄::CloseHandle(hProcess);}//转向下一个进程bMore=::Process32Next(hSnapshot,&pe);}}上述代码首先利用Windows2000的工具帮助库来获得当前运行的所有进程的快照。然后应用程序进入快照中的每一个进程，得到其以PROCESSENTRY32结构表示的属性。这一结构用来向OpenProcess()API函数提供进程的ID。Windows跟踪每一进程的有关时间，示例中是通过打开的进程句柄和GetProcessTi