此文又本文整理,文章部分來自互聯網,涉及版權問題,請聯繫!
實例代碼均爲本人提供,您可以任意轉載,複製,傳播,以及商業用途,需註明來自本博客
from: http://blog.csdn.net/wanfustudio Author: wanfustudio
Windows2000/XP內含的任務管理器(Taskmgr)相信大家都熟悉吧,相比之下XP裏的要比2000功能更加強大,返回的信息也更加的詳細,不過您是否覺得還有很多希望獲得的消息沒有包含在裏面嗎?您是否覺得 Windows的系統管理工具箱裏的東西太分散了嗎?下面就讓我們看看它們的開發原理,並動手實現一個真正的任務管理器。現在我們是調用Win32API 來實現這些功能的,但是大家都說MS隱藏了太多的細節,以後我們將討論更多關於Windows內核的東東。
可能大家對任務管理器裏最熟悉的功能要數進程管理了,常常我們在懷疑中了病毒/木馬的時候都會看看任務管理器裏有沒有什麼特別的進程在運行,所以進程查看器應該是一個非常重要的功能。我們除了需要獲得進程的名稱外,還有什麼呢?當然包括它的進程標識符(ProcessID),用戶信息 (UserName),CPU使用時間(CPUTime)和存儲器的使用情況(MemoryUsage),還有它的優先權(BasePriority)。 CPU和Memory信息可以幫助我們分析進程的運行情況,而優先權可以表示進程在CPU分配處理器使用時的優先情況。這些都是通用的進程信息,讓我們再看看其他的信息吧。進程的父進程標識符(Parent Process ID),創建時間(Create Time),程序名稱等在很多情況下也是我們關心的信息。我們再看看進程相關的性能信息。在Windows下通常有兩種模式:內核模式(Kernel: Level 0)和用戶模式(User: Level 3),進程往往在兩種模式中來回切換,所以可以獲得進程在內核模式和用戶模式各自的使用時間。同時還包括進程相關的工作集(WorkingSet),分頁池(PagedPool),非分頁池(NonePagedPool)和頁面文件(PageFile)信息。進程相關的I/O*作包括讀/寫/其他等動作,我們可以獲得這些*作的次數和傳送數據的數量。
如果您懷疑某個進程是木馬,那您還想獲得哪些信息呢?簡單的進程名稱應該是不夠的吧!我們希望獲得進程的實際程序的路徑,這樣可以幫助我們判斷究竟是那個程序在運行。前段時間不是在討論什麼進程隱藏的,其中一種就是“創建遠程線程”,而注體往往又是以動態鏈接庫(DLL)的形式存在的,我們就希望看到某個具體進程所包含的所有模塊(Module),常常是DLL也。“線程”是一個大家熟悉的名字,它是Windows系統中的實現體,而進程則是線程運行的環境。一個進程到底創建了多少線程了?我們同樣可以枚舉進程內部的所有線程信息。如果您發現一個木馬進程,下面的動作就應該是分析它的運行機制(如果您對它感興趣),不過最終您還是要將它結束吧。在Windows2k下,很多系統關鍵進程在TaskMgr裏是不能被結束的,不過現在您不用擔心了。好的,對進程的*作當然就包括結束進程。如果您用過中文的XP,您是否常常遇到任務欄“假死”的情況,雖然您的電腦沒有掛掉,但卻動彈不得,那好我們也同樣可以將任意的進程掛起來,不管您對它做什麼動作(除了結束),它都不會有任何的反應。有了掛起進程,同樣我們也可以將進程從“掛起”狀態激活哈。
桌面窗口是大家接觸得最多的交互界面了,您是否想獲得每個窗口的標題信息呢?當然我們還可以獲得與窗口關聯的進程,線程與窗口句柄屬性。如果大家對VC比較熟悉,就應該知道其中的一個SPY++工具吧,它就可以獲得桌面窗口,進程和線程的詳細信息,不過現在就不用打開這個,打開那個了,通通搞定了!
系統性能是每個用戶關心的話題。它包括整個系統當前創建的句柄,進程以及線程的數目。還有物理存儲器(Physical Memory)的總量和使用情況,系統高速緩存(System Cache)的大小,存儲器保留與提交(Commit Charge)狀況,當然還有核心分頁/非分頁池(Kernel Memory)的使用情況。幾乎包括了Windows系統下存儲器管理的大部分信息。
雖然現在硬盤的價格已經很低了,不過我還是在用6.4G的小東東,所以常常遇到“Low Disk”!我們常常要看看硬盤的使用情況,不過每次都要進入我的電腦,太麻煩了。而我們現在可以一次瞭解所有磁盤的容量和當前使用情況,同時還有它們的格式類型(如FAT,NTFS,CDFS等)和磁盤標籤。
說到環境塊,或許不是那麼熟悉吧,它包含一些環境變量,而每個環境變量對應一個/多個字符串,您可以在控制面板的SYSTEM/Advanced(系統/高級)裏對它們進行設置,包括添加新的環境變量,刪除和編輯系統環境變量。
事件記錄對我們分析系統的使用情況有很大的幫助。事件記錄分爲三種:應用程序,系統和安全。而對應的每種事件又可以分爲幾種類型,它們分別是常規信息,警告和錯誤。其中包括記錄序號(Record Number),事件類型(Type),標識符(Event ID),來源(Source),產生時間(Time Generated),用戶名(User)和相關描述信息(Description)。有時間大家可以多看看事件信息,當然每個網絡管理員對它們應該是很熟悉的,不過還包括其他的事件日誌信息。
Windows系統下的ipconfig /all這個命令我是常常用,因爲我們使用的是DHCP,沒事看看自己的IP地址變了沒有。其中包括詳細的網絡適配器的信息,包括適配器名稱,描述,硬件地址和類型,IP地址及相應的子網掩碼,網關與DHCP服務器地址等。不過您是否對網絡流量也感興趣呢?我們當然可以獲得主機接受/發送了多少(非)廣播數據報,出現了多少錯誤,一共接受/發送了多少信息,這些對每個網友都是有用的信息喲。
網絡共享往往是大家注意的地方,您究竟共享了多少信息,它們的文件路徑是什麼,還有它們的共享類型信息。我們在不需要某些共享資料時,當然不要忘了將其刪除,以免泄露自己的機密信息。
Windows的NT是一個多用戶的系統,允許多種類型用戶的存在。我們希望獲得用戶賬號的使用期限(Password Expired),記住要不定時的修改用戶的密碼喲,以及用戶標識符(User ID),組標識符(Group ID),還有用戶賬號的類型(Type),不同的類型有不同的權限,我們當然希望有最High的權力喲!看看系統對某個賬號的磁盤空間使用情況是否有限制 (Max Storage),賬號登錄的次數(Number Of Logon)和登錄時間信息(Logon Hours)等,對我們分析用戶的使用情況也有幫助的。
系統的Win32服務和設備驅動信息也是很重要的,我們希望探測每個服務/設備啓動程序的具體路徑,狀態,類型,啓動方式等等信息。我們還希望對服務進行控制,比如停止,啓動和刪除*作。大家可以參閱《淺析Windows2000/XP服務與後門技術》獲得更多關於Win32服務的信息。
關機也不是那麼的單調的,您可以註銷自己的系統,如果您要離開當然就需要鎖定了。最近大家都不喜歡關機,太麻煩了,所以都習慣使用冬眠,系統將會爲我們保留當前信息,不過還有支持電源管理的關機和休眠。Windows2000的用戶注意了,我們同樣可以使用XP系統下的帶有到記時與消息提示的關機和重啓功能了。
系統的版本信息是比較固定的,主要包括*作系統的指紋,註冊組織/用戶,主機名和系統相關目錄等信息。
說了這麼多,我們也該談談如何實現了。
1.窗口信息
MS爲我們提供了打開特定桌面和枚舉桌面窗口的函數。
hDesk=OpenDesktop(lpszDesktop,0,FALSE,DESKTOP_ENUMERATE);
//打開我們默認的Default桌面;
EnumDesktopWindows(hDesk,(WNDENUMPROC)EnumWindowProc,0);
//枚舉打開桌面上的所有窗口,由回調函數實現。
BOOL __stdcall EnumWindowProc(HWND, LPARAM);
//在回調函數中,我們可以獲得窗口的標題和相關進程,線程信息;
GetWindowText(hWnd,szWindowText,dwMaxCount);
GetWindowThreadProcessId(hWnd,&dwPID);
//窗口狀態,使用user32.dll未公開函數
typedef BOOL (WINAPI *PROCISHUNGAPPWINDOW)(HWND); //指向Undocmented API IsHungUpWindow
typedef BOOL (WINAPI *PROCISHUNGTHREAD)(DWORD); //指向Undocmented API IsHungThread
PROCISHUNGAPPWINDOW IsHungAppW; //判斷應用程序狀態指針函數
PROCISHUNGTHREAD IsHungThread; //判斷應用程序狀態指針函數
bool WINAPI GetAppStatus(HWND hwnd)
{
HMODULE hUser32 = GetModuleHandle("user32");
if (!hUser32)
{
PrintModuleDbgInfo(NULL,2,"2","Load USER32.DLL ERROR");
return FALSE;
}
IsHungAppW = (PROCISHUNGAPPWINDOW) //加載未公開的APIIsHungAppwindow
GetProcAddress( hUser32, "IsHungAppWindow" );
IsHungThread = (PROCISHUNGTHREAD) //加載未公開的APIIsHungThread
GetProcAddress( hUser32, "IsHungThread" );
if (!IsHungAppW && !IsHungThread)
{
return FALSE;
}
OSVERSIONINFO osver; //取操作系統版本
osver.dwOSVersionInfoSize = sizeof(OSVERSIONINFO);
if (! GetVersionEx(&osver))
{
return FALSE;
}
BOOL IsHung = FALSE;
if (osver.dwPlatformId&VER_PLATFORM_WIN32_NT)//如果是NT
{
IsHung = IsHungAppW(hwnd);
}
else //其他OS
{
IsHung = IsHungThread(GetWindowThreadProcessId(hwnd,NULL));
}
if (IsHung)
{
return FALSE;
}
return TRUE;
}
//關閉程序
@發送關閉消息到窗口(必需知道窗口句柄)
不能通過FindWindow根據窗口標題獲取其句柄,因爲標題不唯一
SendMessage(hwnd, Msg,NULL);//blocked
PostMessage(hwnd,Msg,NULL); //non-blocked
BOOL CloseApp(long hwnd)
{
if (hwnd)
{
BOOL Ret = PostMessage((HWND)(hwnd), WM_CLOSE, 0, 0); //發送關閉消息
if (TRUE == Ret)
{
return TRUE;
}
else
{
return FALSE;
}
}
return FALSE;
}
@關閉該程序的主進程
TerminateProcess
BOOL KillProcessByNO(DWORD dwPID)
{
HANDLE hdle = OpenProcess( //返回進程句柄
PROCESS_ALL_ACCESS, //訪問權限
TRUE,
dwPID //進程ID
);
if (hdle != NULL)
{
BOOL Ret = TerminateProcess(hdle, NULL);//調用API結束進程
CloseHandle(hdle);
return Ret;
}
return FALSE;
}
2.設備驅動器信息(服務和設備驅動器差不多,在此不做重複)
設備驅動信息有服務控制管理器(SCM)來管理的,我要打開服務控制管理器,並枚舉所有的設備驅動器。
OpenSCManager(NULL,NULL,SC_MANAGER_ALL_ACCESS);
//以所有權限打開服務控制管理器;
EnumServicesStatus(schManager,dwDeviceType,dwDeviceState,
EnumStatus,dwBufSize,&dwBytesNeeded,
&dwDevicesReturned,&dwResumeHandle))
//枚舉所有設備的當前狀態;
CloseServiceHandle(schManager);
//記住,在結束訪問後要關閉服務句柄;
OpenService(schManager,szDeviceName,SERVICE_ALL_ACCESS);
//打開特定的設備驅動器;
QueryServiceConfig(schDevice,lpDeviceConfig,
1024*8,&dwBytesNeeded);
//查詢驅動器的服務配置信息;
QueryServiceStatus(schDevice,&DeviceStatus);
//查詢設備驅動器的當前狀態;
QueryServiceConfig2(schDevice,SERVICE_CONFIG_DESCRIPTION,
(LPBYTE)lpDeviceDescription,8*1024,&dwBytesNeeded)
//查詢設備的描述信息;
StartService(schDevice,0,NULL);
//啓動設備;
ControlService(schDevice,SERVICE_CONTROL_STOP,&DeviceStatus);
//停止設備;
DeleteService(schDevice);
//刪除設備;
3.磁盤信息
我們希望獲得系統所有磁盤的信息,包括軟盤,硬盤,光盤等等;
GetLogicalDriveStrings(dwBufferLength,lpBuffer);
//獲得邏輯設備的信息;
GetVolumeInformation(lpRootPathName,lpVolumeNameBuffer,
dwVolumeNameSize,&dwVolumeSerialNumber,
&dwMaximumComponentLength,&dwFileSystemFlags,
lpFileSystemNameBuffer,dwFileSystemNameSize);
//獲得磁盤卷信息,包括卷名稱和格式類型;
GetDiskFreeSpaceEx(lpRootPathName,&FreeBytesAvailable,
&TotalNumberOfBytes,&TotalNumberOfFreeBytes);
//探測磁盤的空間使用情況;
4.環境變量
我們可以從註冊表中獲得環境塊的信息:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/Environment,當然要使用註冊表的函數。
RegOpenKeyEx(HKEY_LOCAL_MACHINE,RegKey,0,KEY_QUERY_VALUE,&hKey);
//打開註冊表的鍵;
RegEnumValue(hKey,dwIndex,EnvironVariable,
&dwVariableLength,NULL,NULL,NULL,NULL);
//查詢我們需要的信息值;
GetEnvironmentVariable(EnvironVariable,EnvironString,1024);
//獲得環境變量的字符串信息;
5.事件記錄信息
OpenEventLog(NULL,szLog);
//打開時間日誌記錄;
GetOldestEventLogRecord(hEvent,&dwThisRecord);
//獲得最新的日誌信息,以便繼續查找;
ReadEventLog(hEvent,EVENTLOG_FORWARDS_READ │ EVENTLOG_SEQUENTIAL_READ,
0,pEventLogRecord,1024*32,&dwRead,&dwNeeded)
//讀去日誌信息;
LookupAccountSid(NULL,pSid,szName,&dwName,szDomain,&dwDomain,&SNU);
//獲取賬戶的SID,以便獲得賬戶的用戶名稱;
GetNumberOfEventLogRecords(hEvent,&dwTotal);
//獲得事件日誌的總數;
CloseEventLog(hEvent);
//不要忘記關閉事件句柄;
6.網絡共享
我們使用第二等級的網絡共享搜索;
NetShareEnum(NULL,dwLevel,(PBYTE *)&pBuf,MAX_PREFERRED_LENGTH,&entriesread,&totalentries,&resume);
//列舉所有的共享目錄及相關信息;
NetApiBufferFree(pBuf);
//釋放緩衝區;
NetShareDel(NULL,(char *)lpShareNameW,0);
//刪除網絡共享目錄;
7.網絡適配器信息
我們要探測NIC的信息和網絡流量;
GetAdaptersInfo(&AdapterInfo,&OutBufLen);
//獲取適配器信息;
8.系統性能
獲取系統的存儲器使用情況;
GetPerformanceInfo(&PerfInfo,sizeof(PERFORMACE_INFORMATION))
//獲取系統性能信息;
9.進程/線程/模塊信息
在此我們使用工具幫助函數(ToolHelp32)和系統
OpenProcessToken(GetCurrentProcess(),TOKEN_QUERY │ TOKEN_ADJUST_PRIVILEGES,&hToken);
//打開進程的令牌,提升權限;
AdjustTokenPrivileges(hToken,FALSE,&TokenPrivileges,sizeof(TOKEN_PRIVILEGES),NULL,NULL);
//將進程的權限提升到支持調試(Debug);
CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
//創建進程的快照;
Process32First(hProcessSnap,&ProcessEntry32);
Process32First(hProcessSnap,&ProcessEntry32);
//枚舉所有進程;
OpenProcess(PROCESS_QUERY_INFORMATION,FALSE,ProcessEntry32.th32ProcessID);
//打開特定進程,以查詢進程相關信息;
GetProcessTimes(hProcess,&CreateTime,&ExitTime,&KernelTime,&UserTime);
//獲取進程的時間信息;
GetProcessMemoryInfo(hProcess,&PMCounter,sizeof(PMCounter));
//獲取進程的存儲區信息;
//獲取進程CPU使用率
1.windows性能計數器
參見:http://blog.csdn.net/wanfustudio/archive/2007/01/13/1481798.aspx
2.Native API, NtQuerySystemInfomation
UINT GetCPUUsage()
{
SYSTEM_PERFORMANCE_INFORMATION SysPerfInfo;
SYSTEM_TIME_INFORMATION SysTimeInfo;
SYSTEM_BASIC_INFORMATION SysBaseInfo;
double dbIdleTime = 0.0; //空閒時間
double dbSystemTime = 0.0; //系統時間
UINT uRet = 0;
LONG status = 0;
BOOL bLoop = FALSE;
LARGE_INTEGER liOldIdleTime = {0,0};
LARGE_INTEGER liOldSystemTime = {0,0};
NtQuerySystemInformation = (PROCNTQSI)
GetProcAddress(
GetModuleHandle("ntdll.dll"),
"NtQuerySystemInformation"
);
if (!NtQuerySystemInformation)
{
return 0;
}
status = NtQuerySystemInformation( // 獲取系統處理器位數
SystemBasicInformation,
&SysBaseInfo,
sizeof(SysBaseInfo),
NULL
);
if (status != NO_ERROR) //Error
{
return 0;
}
while (!bLoop)
{
status = NtQuerySystemInformation( // 獲取新的系統時間
SystemTimeInformation,
&SysTimeInfo,
sizeof(SysTimeInfo),
NULL
);
if (status != NO_ERROR) //Error
{
return 0;
}
status = NtQuerySystemInformation( // 獲取新的系統空閒時間
SystemPerformanceInformation,
&SysPerfInfo,
sizeof(SysPerfInfo),
NULL
);
if (status != NO_ERROR)
{
return 0;
}
if (liOldIdleTime.QuadPart != 0) // 第一次調用將被跳過
{
dbIdleTime = Li2Double(SysPerfInfo.liIdleTime)
- Li2Double(liOldIdleTime);
dbSystemTime = Li2Double(SysTimeInfo.liKeSystemTime)
- Li2Double(liOldSystemTime);
dbIdleTime = dbIdleTime / dbSystemTime; // 當前CPU空閒=空閒時間/系統時間
dbIdleTime = 100.0 - dbIdleTime * 100.0 /
(double)SysBaseInfo.bKeNumberProcessors + 0.5;
uRet = (UINT)dbIdleTime;
bLoop = TRUE; //執行一次返回
}
//存儲CPU空閒時間和系統時間
liOldIdleTime = SysPerfInfo.liIdleTime;
liOldSystemTime = SysTimeInfo.liKeSystemTime;
Sleep(1000);
}
return uRet; //返回總的CPU佔用情況
}
GetPriorityClass(hProcess);
//獲取進程的優先權;
GetProcessIoCounters(hProcess,&IoCounters);
//獲取進程的IO使用情況;
CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProcessID);
//創建模塊快照;
Module32First(hModuleSnap, &ModuleEntry32);
Module32Next(hModuleSnap, &ModuleEntry32);
//枚舉進程模塊信息;
CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);
//創建線程快照;
Thread32First(hThreadSnap, &ThreadEntry32);
Thread32Next(hThreadSnap, &ThreadEntry32);
//枚舉線程信息;
OpenThread(THREAD_ALL_ACCESS,FALSE,ThreadEntry32.th32ThreadID);
//打開線程,須自己獲得此函數地址;
TerminateProcess(hProcess,0);
//終止進程;
SuspendThread(hThread);
//懸掛線程;
ResumeThread(hThread);
//激活線程;
10.關機
AdjustTokenPrivileges(hToken,FALSE,&TokenPrivileges,sizeof(TOKEN_PRIVILEGES),NULL,NULL);
//調整進程令牌,使其支持關機;
ExitWindowsEx(EWX_LOGOFF,0);
//註銷系統;
#define __WINNT_WIN32 0x0500
LockWorkStation();
//鎖定系統;
InitiateSystemShutdown(NULL,szMessage,dwTimeout,FALSE,bSig);
//支持到記時和消息顯示的關機/重啓;
SetSystemPowerState(bSig,FALSE);
//系統休眠/冬眠;
11.用戶信息
NetUserEnum(NULL,dwLevel,FILTER_NORMAL_ACCOUNT,(LPBYTE*)&pBuf,
dwPrefMaxLen,&dwEntriesRead,&dwTotalEntries,&dwResumeHandle);
//枚舉系統用戶信息;
NetUserDel(NULL,lpUserNameW);
//刪除指定用戶;
12.系統版本信息
GetVersionEx((LPOSVERSIONINFO)&osviex);
//獲取*作系統的版本信息;
我們也可以通過註冊表(HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion)獲取相關信息:
GetTickCount();
//獲取開機時間;
GetComputerName(szInfo,&dwInfo);
//獲取計算機名稱;
GetUserName(szInfo,&dwInfo);
//獲取計算機用戶名;
GetWindowsDirectory(szInfo,MAX_PATH+1);
//獲取Windows目錄;
GetSystemDirectory(szInfo,MAX_PATH+1);
//獲取系統目錄;
小結:
雖然我們現在已經實現了任務管理器的各項功能,甚至比Windows自帶的功能還要強大,不過卻沒有什麼興奮的感覺。因爲看看我們的代碼,您就會發現那些都是直接調用的Win32API函數,但是我們清楚系統底層究竟是怎麼實現的嗎?不管我們是否只是爲了實現一個功能,還是對*作系統感興趣,我們都應該更多的對系統底層進行研究,而不僅僅是隻會使用高層函數的程序員。雖然微軟爲我們隱藏了很多的內部細節,但正是這種底層的祕密激發了我們對其進行深入研究的興趣和動力。
2006-12-18 08:00 作者: 出處: blog 責任編輯:方舟