Windows任務(wù)管理器開發(fā)原理與實現(xiàn)

[本文屬于第24期,適合中級讀者]剖析Windows任務(wù)管理器開發(fā)原理與實現(xiàn)作者:TOo2y源代碼l:T-PsKit源代碼剖析Windows任務(wù)管理器開發(fā)原理與實現(xiàn)Author:TOo2y[原創(chuàng)]E-Mail:Brief@Homepage:&&Date:05-0l-2003Windows2000/XP內(nèi)含的任務(wù)管理器（Taskmgr相信大家都熟悉吧，相比之下XP里的要比2000功能更加強(qiáng)大,返回的信息也更加的詳細(xì),不過您是否覺得還有很多希望獲得的消息沒有包含在里面嗎?您是否覺得Windows的系統(tǒng)管理工具箱里的東西太分散了嗎?下面就讓我們看看它們的開發(fā)原理，并動手實現(xiàn)一個真正的任務(wù)管理器?，F(xiàn)在我們是調(diào)用Win32API來實現(xiàn)這些功能的,但是大家都說MS隱藏了太多的細(xì)節(jié)，以后我們將討論更多關(guān)于Windows內(nèi)核的東東?？赡艽蠹覍θ蝿?wù)管理器里最熟悉的功能要數(shù)進(jìn)程管理了,常常我們在懷疑中了病毒/木馬的時候都會看看任務(wù)管理器里有沒有什么特別的進(jìn)程在運行,所以進(jìn)程查看器應(yīng)該是一個非常重要的功能。我們除了需要獲得進(jìn)程的名稱外,還有什么呢?當(dāng)然包括它的進(jìn)程標(biāo)識符（ProcessID,用戶信息（UserName,CPU使用時間（CPUTime和存儲器的使用情況（MemoryUsage,還有它的優(yōu)先權(quán)（BasePriority。CPU和Memory信息可以幫助我們分析進(jìn)程的運行情況，而優(yōu)先權(quán)可以表示進(jìn)程在CPU分配處理器使用時的優(yōu)先情況。這些都是通用的進(jìn)程信息，讓我們再看看其他的信息吧。進(jìn)程的父進(jìn)程標(biāo)識符（ParentProcessID,創(chuàng)建時間（CreateTime,程序名稱等在很多情況下也是我們關(guān)心的信息。我們再看看進(jìn)程相關(guān)的性能信息。在Windows下通常有兩種模式:內(nèi)核模式（Kernel:Level0和用戶模式（User:Level3,進(jìn)程往往在兩種模式中來回切換,所以可以獲得進(jìn)程在內(nèi)核模式和用戶模式各自的使用時間。同時還包括進(jìn)程相關(guān)的工作集（WorkingSet,分頁池（PagedPool,非分頁池（NonePagedPool和頁面文件（PageFile信息。進(jìn)程相關(guān)的I/O操作包括讀/寫/其他等動作,我們可以獲得這些操作的次數(shù)和傳送數(shù)據(jù)的數(shù)量。如果您懷疑某個進(jìn)程是木馬,那您還想獲得哪些信息呢?簡單的進(jìn)程名稱應(yīng)該是不夠的吧!我們希望獲得進(jìn)程的實際程序的路徑,這樣可以幫助我們判斷究竟是那個程序在運行。前段時間不是在討論什么進(jìn)程隱藏的,其中一種就是“創(chuàng)建遠(yuǎn)程線程”,而注體往往又是以動態(tài)鏈接庫（DLL的形式存在的，我們就希望看到某個具體進(jìn)程所包含的所有模塊（Module，常常是DLL也。“線程”是一個大家熟悉的名字，它是Windows系統(tǒng)中的實現(xiàn)體，而進(jìn)程則是線程運行的環(huán)境。一個進(jìn)程到底創(chuàng)建了多少線程了?我們同樣可以枚舉進(jìn)程內(nèi)部的所有線程信息。如果您發(fā)現(xiàn)一個木馬進(jìn)程，下面的動作就應(yīng)該是分析它的運行機(jī)制（如果您對它感興趣，不過最終您還是要將它結(jié)束吧。在Windows2k下,很多系統(tǒng)關(guān)鍵進(jìn)程在TaskMgr里是不能被結(jié)束的，不過現(xiàn)在您不用擔(dān)心了。好的，對進(jìn)程的操作當(dāng)然就包括結(jié)束進(jìn)程。如果您用過中文的XP，您是否常常遇到任務(wù)欄“假死”的情況，雖然您的電腦沒有掛掉，但卻動彈不得，那好我們也同樣可以將任意的進(jìn)程掛起來，不管您對它做什么動作（除了結(jié)束，它都不會有任何的反應(yīng)。有了掛起進(jìn)程，同樣我們也可以將進(jìn)程從“掛起”狀態(tài)激活哈。桌面窗口是大家接觸得最多的交互界面了，您是否想獲得每個窗口的標(biāo)題信息呢?當(dāng)然我們還可以獲得與窗口關(guān)聯(lián)的進(jìn)程，線程與窗口句柄屬性。如果大家對VC比較熟悉，就應(yīng)該知道其中的一個SPY++工具吧，它就可以獲得桌面窗口，進(jìn)程和線程的詳細(xì)信息，不過現(xiàn)在就不用打開這個，打開那個了，通通搞定了!系統(tǒng)性能是每個用戶關(guān)心的話題。它包括整個系統(tǒng)當(dāng)前創(chuàng)建的句柄，進(jìn)程以及線程的數(shù)目。還有物理存儲器（PhysicalMemory的總量和使用情況,系統(tǒng)高速緩存(SystemCache的大小,存儲器保留與提交(CommitCharge狀況,當(dāng)然還有核心分頁/非分頁池(KernelMemory的使用情況。幾乎包括了Windows系統(tǒng)下存儲器管理的大部分信息。雖然現(xiàn)在硬盤的價格已經(jīng)很低了,不過我還是在用6.4G的小東東,所以常常遇到“LowDisk我們常常要看看硬盤的使用情況，不過每次都要進(jìn)入我的電腦,太麻煩了。而我們現(xiàn)在可以一次了解所有磁盤的容量和當(dāng)前使用情況,同時還有它們的格式類型(如FAT,NTFS,CDFS等和磁盤標(biāo)簽。說到環(huán)境塊,或許不是那么熟悉吧,它包含一些環(huán)境變量,而每個環(huán)境變量對應(yīng)一個/多個字符串，您可以在控制面板的SYSTEM/Advanced(系統(tǒng)/高級里對它們進(jìn)行設(shè)置,包括添加新的環(huán)境變量,刪除和編輯系統(tǒng)環(huán)境變量。事件記錄對我們分析系統(tǒng)的使用情況有很大的幫助。事件記錄分為三種:應(yīng)用程序,系統(tǒng)和安全。而對應(yīng)的每種事件又可以分為幾種類型,它們分別是常規(guī)信息,警告和錯誤。其中包括記錄序號(RecordNumber,事件類型(Type,標(biāo)識符(EventID,來源(Source,產(chǎn)生時間(TimeGenerated,用戶名(User和相關(guān)描述信息(Description。有時間大家可以多看看事件信息，當(dāng)然每個網(wǎng)絡(luò)管理員對它們應(yīng)該是很熟悉的,不過還包括其他的事件日志信息。Windows系統(tǒng)下的ipconfig/all這個命令我是常常用，因為我們使用的是DHCP,沒事看看自己的IP地址變了沒有。其中包括詳細(xì)的網(wǎng)絡(luò)適配器的信息，包括適配器名稱，描述，硬件地址和類型,IP地址及相應(yīng)的子網(wǎng)掩碼，網(wǎng)關(guān)與DHCP服務(wù)器地址等。不過您是否對網(wǎng)絡(luò)流量也感興趣呢?我們當(dāng)然可以獲得主機(jī)接受/發(fā)送了多少(非廣播數(shù)據(jù)報，出現(xiàn)了多少錯誤，一共接受/發(fā)送了多少信息，這些對每個網(wǎng)友都是有用的信息喲。網(wǎng)絡(luò)共享往往是大家注意的地方，您究竟共享了多少信息，它們的文件路徑是什么，還有它們的共享類型信息。我們在不需要某些共享資料時，當(dāng)然不要忘了將其刪除，以免泄露自己的機(jī)密信息。Windows的NT是一個多用戶的系統(tǒng)，允許多種類型用戶的存在。我們希望獲得用戶賬號的使用期限（PasswordExpired,記住要不定時的修改用戶的密碼喲,以及用戶標(biāo)識符（UserID,組標(biāo)識符（GroupID,還有用戶賬號的類型（Type,不同的類型有不同的權(quán)限，我們當(dāng)然希望有最High的權(quán)力喲！看看系統(tǒng)對某個賬號的磁盤空間使用情況是否有限制（MaxStorage，賬號登錄的次數(shù)（NumberOfLogon和登錄時間信息（LogonHours等，對我們分析用戶的使用情況也有幫助的。系統(tǒng)的Win32服務(wù)和設(shè)備驅(qū)動信息也是很重要的，我們希望探測每個服務(wù)/設(shè)備啟動程序的具體路徑,狀態(tài),類型,啟動方式等等信息。我們還希望對服務(wù)進(jìn)行控制,比如停止，啟動和刪除操作。大家可以參閱《淺析Windows2000/XP服務(wù)與后門技術(shù)》獲得更多關(guān)于Win32服務(wù)的信息。關(guān)機(jī)也不是那么的單調(diào)的，您可以注銷自己的系統(tǒng)，如果您要離開當(dāng)然就需要鎖定了。最近大家都不喜歡關(guān)機(jī)，太麻煩了，所以都習(xí)慣使用冬眠，系統(tǒng)將會為我們保留當(dāng)前信息，不過還有支持電源管理的關(guān)機(jī)和休眠。Windows2000的用戶注意了，我們同樣可以使用XP系統(tǒng)下的帶有到記時與消息提示的關(guān)機(jī)和重啟功能了。系統(tǒng)的版本信息是比較固定的，主要包括操作系統(tǒng)的指紋，注冊組織/用戶，主機(jī)名和系統(tǒng)相關(guān)目錄等信息。說了這么多，我們也該談?wù)勅绾螌崿F(xiàn)了。窗口信息MS為我們提供了打開特定桌面和枚舉桌面窗口的函數(shù)。hDesk=OpenDesktop（lpszDesktop，0，F(xiàn)ALSE，DESKTOP_ENUMERATE;//打開我們默認(rèn)的Default桌面;EnumDesktopWindows(hDesk，(WNDENUMPROCEnumWindowProc，0;//枚舉打開桌面上的所有窗口,由回調(diào)函數(shù)實現(xiàn)。BOOL__stdcallEnumWindowProc(HWND,LPARAM;//在回調(diào)函數(shù)中,我們可以獲得窗口的標(biāo)題和相關(guān)進(jìn)程,線程信息;GetWindowText(hWnd,szWindowText,dwMaxCount;GetWindowThreadProcessId(hWnd,&dwPID;設(shè)備驅(qū)動器信息(服務(wù)和設(shè)備驅(qū)動器差不多,在此不做重復(fù)設(shè)備驅(qū)動信息有服務(wù)控制管理器(SCM來管理的，我要打開服務(wù)控制管理器，并枚舉所有的設(shè)備驅(qū)動器。OpenSCManager(NULL，NULL，SC_MANAGER_ALL_ACCESS;//以所有權(quán)限打開服務(wù)控制管理器;EnumServicesStatus(schManager，dwDeviceType，dwDeviceState，EnumStatus，dwBufSize，&dwBytesNeeded，&dwDevicesReturned，&dwResumeHandle//枚舉所有設(shè)備的當(dāng)前狀態(tài);CloseServiceHandle(schManager;//記住，在結(jié)束訪問后要關(guān)閉服務(wù)句柄;OpenService(schManager，szDeviceName，SERVICE_ALL_ACCESS;//打開特定的設(shè)備驅(qū)動器;QueryServiceConfig(schDevice，lpDeviceConfig，1024*8,&dwBytesNeeded;//查詢驅(qū)動器的服務(wù)配置信息;QueryServiceStatus(schDevice,&DeviceStatus;//查詢設(shè)備驅(qū)動器的當(dāng)前狀態(tài);QueryServiceConfig2(schDevice,SERVICE_CONFIG_DESCRIPTION,(LPBYTElpDeviceDescription,8*1024,&dwBytesNeeded//查詢設(shè)備的描述信息;StartService(schDevice,0,NULL;//啟動設(shè)備;ControlService(schDevice,SERVICE_CONTROL_STOP,&DeviceStatus;//停止設(shè)備;DeleteService(schDevice;//刪除設(shè)備;磁盤信息我們希望獲得系統(tǒng)所有磁盤的信息,包括軟盤,硬盤,光盤等等;GetLogicalDriveStrings(dwBufferLength,lpBuffer;//獲得邏輯設(shè)備的信息;GetVolumeInformation(lpRootPathName,lpVolumeNameBuffer,dwVolumeNameSize,&dwVolumeSerialNumber,&dwMaximumComponentLength,&dwFileSystemFlags,lpFileSystemNameBuffer,dwFileSystemNameSize;//獲得磁盤卷信息,包括卷名稱和格式類型;GetDiskFreeSpaceEx(lpRootPathName,&FreeBytesAvailable,&TotalNumberOfBytes,&TotalNumberOfFreeBytes;//探測磁盤的空間使用情況;環(huán)境變量我們可以從注冊表中獲得環(huán)境塊的信息:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Environment,當(dāng)然要使用注冊表的函數(shù)。RegOpenKeyEx(HKEY_LOCAL_MACHINE,RegKey,0,KEY_QUERY_VALUE,&hKey;//打開注冊表的鍵;RegEnumValue(hKey,dwIndex,EnvironVariable,&dwVariableLength,NULL,NULL,NULL,NULL;//查詢我們需要的信息值;GetEnvironmentVariable(EnvironVariable,EnvironString,1024;//獲得環(huán)境變量的字符串信息;事件記錄信息OpenEventLog(NULL,szLog;//打開時間日志記錄;GetOldestEventLogRecord(hEvent,&dwThisRecord;//獲得最新的日志信息,以便繼續(xù)查找;ReadEventLog(hEvent,EVENTLOG_FORWARDS_READ|EVENTLOG_SEQUENTIAL_READ,0,pEventLogRecord,1024*32,&dwRead,&dwNeeded//讀去日志信息;LookupAccountSid(NULL,pSid,szName,&dwName,szDomain,&dwDomain,&SNU;//獲取賬戶的SID,以便獲得賬戶的用戶名稱;GetNumberOfEventLogRecords(hEvent,&dwTotal;//獲得事件日志的總數(shù);CloseEventLog(hEvent;//不要忘記關(guān)閉事件句柄;網(wǎng)絡(luò)共享我們使用第二等級的網(wǎng)絡(luò)共享搜索;NetShareEnum(NULL,dwLevel,(PBYTE*&pBuf,MAX_PREFERRED_LENGTH,&entriesread,&totalentries,&resume;//列舉所有的共享目錄及相關(guān)信息;NetApiBufferFree(pBuf;//釋放緩沖區(qū);NetShareDel(NULL,(char*lpShareNameW,0;//刪除網(wǎng)絡(luò)共享目錄;網(wǎng)絡(luò)適配器信息我們要探測NIC的信息和網(wǎng)絡(luò)流量;GetAdaptersInfo(&AdapterInfo,&OutBufLen;//獲取適配器信息;系統(tǒng)性能獲取系統(tǒng)的存儲器使用情況;GetPerformanceInfo(&PerfInfo,sizeof(PERFORMACE_INFORMATION//獲取系統(tǒng)性能信息;進(jìn)程/線程/模塊信息在此我們使用工具幫助函數(shù)(ToolHelp32和系統(tǒng)OpenProcessToken(GetCurrentProcess(,TOKEN_QUERY|TOKEN_ADJUST_PRIVILEGES,&hToken;//打開進(jìn)程的令牌,提升權(quán)限;AdjustTokenPrivileges(hToken,FALSE,&TokenPrivileges,sizeof(TOKEN_PRIVILEGES,NULL,NULL;//將進(jìn)程的權(quán)限提升到支持調(diào)試(Debug;CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0;//創(chuàng)建進(jìn)程的快照;Process32First(hProcessSnap,&ProcessEntry32;Process32First(hProcessSnap,&ProcessEntry32;//枚舉所有進(jìn)程;OpenProcess(PROCESS_QUERY_INFORMATION,FALSE,ProcessEntry32.th32ProcessID;//打開特定進(jìn)程,以查詢進(jìn)程相關(guān)信息;GetProcessTimes(hProcess,&CreateTime,&ExitTime,&KernelTime,&UserTime;//獲取進(jìn)程的時間信息;GetProcessMemoryInfo(hProcess,&PMCounter,sizeof(PMCounter;//獲取進(jìn)程的存儲區(qū)信息;GetPriorityClass(hProcess;//獲取進(jìn)程的優(yōu)先權(quán)；GetProcessIoCounters(hProcess,&IoCounters；//獲取進(jìn)程的IO使用情況；CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,dwProcessID;//創(chuàng)建模塊快照；Module32First(hModuleSnap,&ModuleEntry32；Module32Next(hModuleSnap,&ModuleEntry32；//枚舉進(jìn)程模塊信息；CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD,0;//創(chuàng)建線程快照；Thread32First(hThreadSnap,&ThreadEntry32；Thread32Next(hThreadSnap,&ThreadEntry32；//枚舉線程信息；OpenThread(THREAD_ALL_ACCESS,FALSE,ThreadEntry32.th32ThreadID;//打開線程，須自己獲得此函數(shù)地址；TerminateProcess(hProcess,0；//終止進(jìn)程；SuspendThread(hThread;//懸掛線程；ResumeThread(hThread;//激活線程；10.關(guān)機(jī)AdjustTokenPrivileges(hToken,FALSE,&TokenPrivileges,sizeof(TOKEN_PRIVILEGES,NULL,NULL;//調(diào)整進(jìn)程令牌，使其支持關(guān)機(jī)；ExitWindowsEx(EWX_LOGOFF,0；//注銷系統(tǒng)；LockWorkStation(；//鎖定系統(tǒng)；InitiateSystemShutdo