调试易

最近忙着编写一个程序,大概意思是能够监视另一个程序的操作!比如输入的内容等(非黑客程序!!!),我试着用hook但是不理想,用了几个api函数也是不行,我看到有关进程间通信可能要使用pipe技术,可是自己不会,请高手提个建议!!谢谢!有的资料说用createprocesspipe函数,msdn说的不清楚.hook很费资源,机器运行受到影响,这样,我试着得到目标程序进程的句柄,用attrachthreadinput(可能写错了)实现和本程序连接,用getfocus获得输入焦点,但是一直实现的是获得自己的焦点,难.实在没办法了

如何获取一个进程的信息: 
---- 在WIN32中，每个应用程序都可"看见"4GB的线性地址空间，其中最开始的4MB和最后的2GB由操作系统保留，剩下不足2GB的空间用于应用程序私有空间。具体分配如下：0xFFFFFFFF-0xC0000000的1GB用于VxD、存储器管理和文件系统；0xBFFFFFFF-0x80000000的1GB用于共享的WIN32 DLL、存储器映射文件和共享存储区；0x7FFFFFFF-0x00400000为每个进程的WIN32专用地址；0x003FFFFF-0x00001000为MS-DOS 和 WIN16应用程序；0x00000FFF-0x00000000为防止使用空指针的4,096字节。以上都是指逻辑地址，也就是虚拟内存。  ---- 虚拟内存通常是由固定大小的块来实现的，在WIN32中这些块称为"页"，每页大小为4,096字节。在Intel CPU结构中，通过在一个控制寄存器中设置一位来启用分页。启用分页时CPU并不能直接访问内存，对每个地址要经过一个映射进程，通过一系列称作"页表"的查找表把虚拟内存地址映射成实际内存地址。通过使用硬件地址映射和页表WIN32可使虚拟内存即有好的性能而且还提供保护。利用处理器的页映射能力，操作系统为每个进程提供独立的从逻辑地址到物理地址的映射，使每个进程的地址空间对另一个进程完全不可见。WIN32中也提供了一些访问进程内存空间的函数，但使用时要谨慎，一不小心就有可能破坏被访问的进程。本文介绍如何读另一个进程的内存，写内存与之相似，完善一下你也可以做个 FPE 之类的内存修改工具。好吧，先准备好编程利器Delphi 和 参考手册 MSDN ，Now begin!  
ReadProcessMemory 读另一个进程的内存，原形如下： 
BOOL ReadProcessMemory( 
HANDLE hProcess, // 被读取进程的句柄； 
LPCVOID lpBaseAddress, // 读的起始地址； 
LPVOID lpBuffer, // 存放读取数据缓冲区； 
DWORD nSize, // 一次读取的字节数； 
LPDWORD lpNumberOfBytesRead // 实际读取的字节数； 
); 
hProcess 进程句柄可由OpenProcess 函数得到，原形如下： 
HANDLE OpenProcess( 
DWORD dwDesiredAccess, // 访问标志； 
BOOL bInheritHandle, // 继承标志； 
DWORD dwProcessId // 进程ID； 
); 
---- 当然，用完别忘了用 CloseHandle 关闭打开的句柄。读另一个进程的内存 dwDesiredAccess 须指定为 PROCESS_VM_READ ，写另一个进程的内存 dwDesiredAccess 须指定为 PROCESS_VM_WRITE ，继承标志无所谓，进程ID可由 Process32First 和 Process32Next 得到，这两个函数可以枚举出所有开启的进程，这样进程的信息也就得到了。 Process32First 和 Process32Next是由 TLHelp32 单元提供的，需在 uses 里加上TLHelp32。ToolsHelp32 封装了一些访问堆、线程、进程等的函数，只适用于Win9x，原形如下：  BOOL WINAPI Process32First( 
HANDLE hSnapshot //  
由 CreateToolhelp32Snapshot 返回 
的系统快照句柄； 
LPPROCESSENTRY32 lppe // 指向一个 PROCESSENTRY32 结构； 
)； 
BOOL WINAPI Process32Next( 
HANDLE hSnapshot // 由 CreateToolhelp32Snapshot 返回 
的系统快照句柄； 
LPPROCESSENTRY32 lppe // 指向一个 PROCESSENTRY32 结构； 
)； 
hSnapshot 由 CreateToolhelp32Snapshot 返回的系统快照句柄； 
CreateToolhelp32Snapshot 原形如下： 
HANDLE WINAPI CreateToolhelp32Snapshot( 
DWORD dwFlags, // 快照标志；  
DWORD th32ProcessID // 进程ID； 
); 
现在需要的是进程的信息，所以将 dwFlags  
指定为 TH32CS_SNAPPROCESS， 
th32ProcessID 忽略；PROCESSENTRY32 结构如下： 
typedef struct tagPROCESSENTRY32 {  
DWORD dwSize; // 结构大小； 
DWORD cntUsage; // 此进程的引用计数； 
DWORD th32ProcessID; // 进程ID; 
DWORD th32DefaultHeapID; // 进程默认堆ID； 
DWORD th32ModuleID; // 进程模块ID； 
DWORD cntThreads; // 此进程开启的线程计数； 
DWORD th32ParentProcessID;// 父进程ID； 
LONG pcPriClassBase; // 线程优先权； 
DWORD dwFlags; // 保留；  
char szExeFile[MAX_PATH]; // 进程全名； 
} PROCESSENTRY32; 
---- 至此，所用到的主要函数已介绍完,实现读内存只要从下到上依次调用上述函数即可，具体参见原代码：  
procedure TForm1.Button1Click(Sender: TObject); 
var 
FSnapshotHandle:THandle; 
FProcessEntry32:TProcessEntry32; 
Ret : BOOL; 
ProcessID : integer; 
ProcessHndle : THandle; 
lpBuffer:pByte; 
nSize: DWORD; 
lpNumberOfBytesRead: DWORD; 
i:integer; 
s:string; 
begin 
FSnapshotHandle:=CreateToolhelp32Snapshot( 
TH32CS_SNAPPROCESS,0); 
//创建系统快照 
FProcessEntry32.dwSize:=Sizeof(FProcessEntry32); 
//先初始化 FProcessEntry32 的大小 
Ret:=Process32First(FSnapshotHandle,FProcessEntry32); 
while Ret do 
begin 
s:=ExtractFileName(FProcessEntry32.szExeFile); 
if s='KERNEL32.DLL' then 
begin 
ProcessID:=FProcessEntry32.th32ProcessID; 
s:=''; 
break; 
end; 
Ret:=Process32Next(FSnapshotHandle,FProcessEntry32); 
end; 
//循环枚举出系统开启的所有进程，找出"Kernel32.dll" 
CloseHandle(FSnapshotHandle); 
Memo1.Lines.Clear ; 
memo1.lines.add('Process ID '+IntToHex( 
FProcessEntry32.th32ProcessID,8)); 
memo1.lines.Add('File name '+FProcessEntry32.szExeFile); 
////输出进程的一些信息  
nSize:=4; 
lpBuffer:=AllocMem(nSize); 
ProcessHndle:=OpenProcess(PROCESS_VM_READ,false,ProcessID); 
memo1.Lines.Add ('Process Handle '+intTohex(ProcessHndle,8)); 
for i:=$00800001 to $0080005f do 
begin 
ReadProcessMemory( 
ProcessHndle, 
Pointer(i), 
lpBuffer, 
nSize, 
lpNumberOfBytesRead 
); 
s:=s+intTohex(lpBuffer^,2)+' '; 
//读取内容 
if (i mod 16) =0 then 
begin 
Memo1.Lines.Add(s); 
s:=''; 
end; 
//格式化输出 
end; 
FreeMem(lpBuffer,nSize); 
CloseHandle(ProcessHndle); 
//关闭句柄，释放内存 
end; 

厉害,厉害,谢谢,我今晚上有不能睡觉了,哈哈,习惯了,本来想着delphi不能实现这样底层编程的能力,看来我估计错了,到底现在学习技术,研究操作系统,api哪个最有发展前途啊??

Delphi除开底层的硬件驱动程序不能做外，其它都成做到：）

我给你一个简单一点的例子，楼上的太复杂了，当然实现方法一样：
例子1：获得指定句柄窗口的进程名称function GetExeNameFromHWND(hWnd:THandle):TFileName;
var
  dwProcessId: DWORD;
  hSnapshot: THandle;
  lppe: TProcessEntry32;
begin
  result:='';
  GetWindowThreadProcessID(hWnd,@dwProcessId);
  hSnapShot:=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
  lppe.dwSize:=Sizeof(lppe);
  if Process32First(hSnapshot,lppe) then
    while Process32Next(hSnapshot,lppe) do
      if dwProcessId=lppe.th32ProcessID then result:=lppe.szExeFile;
  CloseHandle(hSnapshot);
end;例子2：杀掉指定名称的进程（对你可真有用啊）
function TerminateExe(ExeFile:TFileName):Boolean;
var
  hSnapshot,hProcess:THandle;
  pe:TProcessEntry32;
begin
  result:=false;
  hSnapshot:=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
  pe.dwSize:=sizeof(pe);
  if Process32First(hSnapshot,pe) then
    while Process32Next(hSnapshot,pe) do
      if pos(UpperCase(ExeFile),UpperCase(pe.szExeFile))>0 then
      begin
        result:=true;
        hProcess:=OpenProcess(PROCESS_TERMINATE,false,pe.th32ProcessID);
        TerminateProcess(hProcess,0);
      end;
  CloseHandle(hsnapshot);
end;你可以下载我写的一个例子看看！