0x00 基础知识

tlhelp32.h 是 Windows API 中提供系统快照（Snapshot）功能的核心头文件。它封装了 Toolhelp Library 的一系列函数，主要用于遍历和检查当前系统中的进程、线程、模块以及堆等系统资源。

核心功能是通过创建系统快照来实现的。 关键函数 CreateToolhelp32Snapshot 能获取系统在某一时刻的静态视图。随后，开发者可以使用配套的枚举函数（如 Process32First、Process32Next）来详细分析该快照中的内容。

其主要用途包括：

• 枚举系统进程，获取进程标识符（PID）、父进程标识符（PPID）及可执行文件名称。
• 枚举指定进程加载的模块（通常是 DLL 文件）。
• 枚举系统或指定进程中的线程。

典型的工作流程为：创建快照 -> 获取首项 -> 循环获取下一项 -> 关闭快照句柄。

总而言之，tlhelp32.h 为在用户层级监控和分析系统运行状态提供了一套直接且高效的编程接口，是实现进程管理、系统监控等功能的常用工具。

0x01 示例代码

#include <iostream>
#include <windows.h>
#include <tlhelp32.h>

void EnumProcess_tlhelp32()
{
    HANDLE hSnapShot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    if (hSnapShot == INVALID_HANDLE_VALUE)
    {
        return;
    }
    PROCESSENTRY32 pe32 = { 0 };
    pe32.dwSize = sizeof(PROCESSENTRY32);
    if (Process32First(hSnapShot, &pe32))
    {
        do 
        {
            wprintf(L"%-8d %-8d %-100s\r\n",
                pe32.th32ProcessID,
                pe32.th32ParentProcessID,
                pe32.szExeFile);
        } while (Process32Next(hSnapShot, &pe32));
    }
}

int main()
{
    EnumProcess_tlhelp32();
}