在Win8.1中,相比Win8新增了一组名为"进程快照"的API,是文档化的东西,它可以帮助我们在一个时间获取进程的某些信息,比如线程,句柄,CPU周期性能等数据,以便进行APP的性能分析和存储到文件等调试类帮助。
具体请看下面代码:
#include <Windows.h>
#include <ProcessSnapshot.h>
VOID WINAPI testThr(PVOID pv)
{
WaitForSingleObjectEx(GetCurrentThread(),INFINITE,FALSE); //线程永远挂起,不会退出
}
void main()
{
CHAR szBuffer[MAX_PATH] = {};
CreateThread(NULL,0,(LPTHREAD_START_ROUTINE)&testThr,NULL,0,NULL); //创建一个线程,现在当前进程有2个线程
HPSS hPssHandle = NULL;
if (P*tureSnapshot(GetCurrentProcess(),PSS_CAPTURE_THREADS|PSS_CAPTURE_THREAD_CONTEXT|PSS_CAPTURE_THREAD_CONTEXT_EXTENDED,0,&hPssHandle) == ERROR_SUCCESS)
{
CreateThread(NULL,0,(LPTHREAD_START_ROUTINE)&testThr,NULL,0,NULL); //再创建一个线程,现在当前进程有3个线程
PSS_THREAD_INFORMATION pssThread = {};
PssQuerySnapshot(hPssHandle,PSS_QUERY_THREAD_INFORMATION,&pssThread,sizeof(pssThread));
_itoa(pssThread.ThreadsCaptured,szBuffer,10);
MessageBoxA(NULL,szBuffer,NULL,0); //这个返回值为2,因为第二个CreateThread是在截取快照后才创建的
PSS_PROCESS_INFORMATION pssProcess = {};
PssQuerySnapshot(hPssHandle,PSS_QUERY_PROCESS_INFORMATION,&pssProcess,sizeof(pssProcess));
PssFreeSnapshot(GetCurrentProcess(),hPssHandle);
}
ExitProcess(0);
}
Pss*系列API由kernel32导出,按照常理,从Win7后微软开始MinWin策略,Pss*系列API应该会最终JMP到KernelBase.dll的同名API,可奇怪的是这次的Pss*系列API竟然完全在kernel32实现,KernelBase并没有导出这些API的真正实现,不知是否是赶工的原因,这个在Win8.1的Update 1后即可见分晓。
不过即便是在kernel32导出,最终实现还是调用了ntdll的几个PssNt*系列API,参数都差不多。
这组进程快照API的原理也很简单,基本上是在用户空间实现的,并没有生成新增的系统对象句柄,效率还是不错的。就是在kernel32!P*tureSnapshot->ntdll!PssNtCaptureSnapshot时,调用NtQueryInformationProcess取得这个时刻的进程相关的信息,然后申请内存保存起来,PssQuerySnapshot就是把保存的信息拿了出来罢了,PssFreeSnapshot后就是释放内存了。。
Pss系列API还有一组Walk的API,这里就不说了,大家自己看MSDN就好。