根据操作系统的定义，进程是系统资源管理的最小单位，线程是程序执行的最小单位。进程是不活泼的，进程可以理解为是线程的容器。若要使进程完成某项操作，它必须拥有一个在它的环境中运行的线程，此线程负责执行包含在进程的地址空间中的代码。单个进程可能包含若干个线程，这些线程都“同时”执行进程地址空间中的代码。每个进程至少拥有一个线程，来执行进程的地址空间中的代码。当创建一个进程时，操作系统会自动创建这个进程的第一个线程，称为主线程。此后，该线程可以创建其他的线程。

线程是属于进程的，它没有自己的独立的数据地址空间，线程运行在进程空间内，因此线程的切换速度比较快。同一进程所产生的线程共享同一内存空间，而这些线程的执行由系统调度程序控制，调度程序决定哪个线程可执行以及什么时候执行线程。线程有优先级别，优先权较低的线程必须等到优先权较高的线程执行完后再执行。当进程退出时该进程所产生的线程都会被强制退出并清除。线程可与属于同一进程的其他线程共享虚地址空间、全局变量，以及该进程所拥有的全部资源，包括打开的文件、信号标志及动态分配的内存等。但是其本身基本上不拥有系统资源，只拥有一点在运行中必不可少的信息(如程序计数器、一组寄存器和栈)。

线程有点像进程身体内的细胞，我们通常听过多进程多线程，单进程多线程。这就是说，一个系统内有几个进程，如果进程是多个，就是多进程的，如果进程内有多个线程，那就是多线程的，多进程多线程的系统比单进程多线程的系统速度慢，但是可靠性高。

5.程序的设计与实现

程序的自我保护是一个大的概念，其中有多种方式和手段来实现自身的保护。比如隐藏、自我复制、注册为服务，等等。我们实现的程序自我保护实际上是一个相互监督的过程。其中包括了程序之间的监督和报警，监听程序的隐藏与保护。

5.1监督

所谓监督，是利用进程枚举的方法，让所有程序在运行同时不停地对进程列表进行快照，并检查目标进程是否存在的过程。

在Windows环境下可以通过调用ToolHelp API函数来达到枚举系统进程的目的。微软的Windows NT开发小组因为不喜欢ToolHelp函数，所以没有将这些函数添加给Windows NT，所以开发了自己的Process Status函数，就是PSAPI。但是后来微软已经将ToolHelp函数添加给了Windows 2000。ToolHelp32库函数在KERNEL32.dll中，它们都是标准的API函数。

ToolHelp32库中有各种各样的函数可以用来枚举系统中的进程、线程，以及获取内存和模块信息。其中枚举进程只需用如下三个的函数：CreateToolhelp32Snapshot()、Process32First()和Process32Next()。

使用ToolHelp32函数的第一步是用CreateToolhelp32Snapshot()函数创建系统信息“快照”。这个函数可让你选择存储在快照中的信息类型。如果你只是对进程信息感兴趣，那么只要包含TH32CS_SNAPPROCESS标志即可。CreateToolhelp32Snapshot()函数返回一个HANDLE，完成调用之后，必须将此HANDLE传给CloseHandle()。

接下来是调用一次Process32First函数，从快照中获取进程列表，然后重复调用Process32Next，直到函数返回FALSE为止。这样将遍历快照中进程列表。这两个函数都带两个参数，它们分别是快照句柄和一个PROCESSENTRY32结构。

调用完Process32First或Process32Next之后，PROCESSENTRY32中将包含系统中某个进程的关键信息。它的具体内容如下：

typedef struct tagPROCESSENTRY32{

DWORD dwSize;

DWORD cntUsage;

DWORD th32ProcessID;