Author: Brief[原創(chuàng)]
E-Mail: Brief@fz5fz.org
Homepage: www.fz5fz.org && www.safechina.net
Date: 05-01-2003

    Windows2000/XP內(nèi)含的任務(wù)管理器(Taskmgr)相信大家都熟悉吧，相比之下XP里的要比2000功能更加強(qiáng)大，返回的信息也更加的詳細(xì)，不過您是否覺得還有很多希望獲得的消息沒有包含在里面嗎？您是否覺得Windows的系統(tǒng)管理工具箱里的東西太分散了嗎？下面就讓我們看看它們的開發(fā)原理，并動(dòng)手實(shí)現(xiàn)一個(gè)真正的任務(wù)管理器�，F(xiàn)在我們是調(diào)用Win32API來實(shí)現(xiàn)這些功能的，但是大家都說MS隱藏了太多的細(xì)節(jié)，以后我們將討論更多關(guān)于Windows內(nèi)核的東東。

    可能大家對(duì)任務(wù)管理器里最熟悉的功能要數(shù)進(jìn)程管理了，常常我們?cè)趹岩芍辛瞬《?木馬的時(shí)候都會(huì)看看任務(wù)管理器里有沒有什么特別的進(jìn)程在運(yùn)行，所以進(jìn)程查看器應(yīng)該是一個(gè)非常重要的功能。我們除了需要獲得進(jìn)程的名稱外，還有什么呢？當(dāng)然包括它的進(jìn)程標(biāo)識(shí)符(ProcessID)，用戶信息(UserName)，CPU使用時(shí)間(CPUTime)和存儲(chǔ)器的使用情況(MemoryUsage)，還有它的優(yōu)先權(quán)(BasePriority)。CPU和Memory信息可以幫助我們分析進(jìn)程的運(yùn)行情況，而優(yōu)先權(quán)可以表示進(jìn)程在CPU分配處理器使用時(shí)的優(yōu)先情況。這些都是通用的進(jìn)程信息，讓我們?cè)倏纯雌渌�的信息吧。進(jìn)程的父進(jìn)程標(biāo)識(shí)符(Parent Process ID)，創(chuàng)建時(shí)間(Create Time)，程序名稱等在很多情況下也是我們關(guān)心的信息。我們?cè)倏纯催M(jìn)程相關(guān)的性能信息。在Windows下通常有兩種模式：內(nèi)核模式(Kernel: Level 0)和用戶模式(User: Level 3)，進(jìn)程往往在兩種模式中來回切換，所以可以獲得進(jìn)程在內(nèi)核模式和用戶模式各自的使用時(shí)間。同時(shí)還包括進(jìn)程相關(guān)的工作集(WorkingSet)，分頁池(PagedPool)，非分頁池(NonePagedPool)和頁面文件(PageFile）信息。進(jìn)程相關(guān)的I/O操作包括讀/寫/其他等動(dòng)作，我們可以獲得這些操作的次數(shù)和傳送數(shù)據(jù)的數(shù)量。

    如果您懷疑某個(gè)進(jìn)程是木馬，那您還想獲得哪些信息呢？簡(jiǎn)單的進(jìn)程名稱應(yīng)該是不夠的吧！我們希望獲得進(jìn)程的實(shí)際程序的路徑，這樣可以幫助我們判斷究竟是那個(gè)程序在運(yùn)行。前段時(shí)間不是在討論什么進(jìn)程隱藏的，其中一種就是“創(chuàng)建遠(yuǎn)程線程”，而注體往往又是以動(dòng)態(tài)鏈接庫(kù)(DLL)的形式存在的，我們就希望看到某個(gè)具體進(jìn)程所包含的所有模塊(Module)，常常是DLL也�！熬�程”是一個(gè)大家熟悉的名字，它是Windows系統(tǒng)中的實(shí)現(xiàn)體，而進(jìn)程則是線程運(yùn)行的環(huán)境。一個(gè)進(jìn)程到底創(chuàng)建了多少線程了？我們同樣可以枚舉進(jìn)程內(nèi)部的所有線程信息。如果您發(fā)現(xiàn)一個(gè)木馬進(jìn)程，下面的動(dòng)作就應(yīng)該是分析它的運(yùn)行機(jī)制(如果您對(duì)它感興趣)，不過最終您還是要將它結(jié)束吧。在Windows2k下，很多系統(tǒng)關(guān)鍵進(jìn)程在TaskMgr里是不能被結(jié)束的，不過現(xiàn)在您不用擔(dān)心了。好的，對(duì)進(jìn)程的操作當(dāng)然就包括結(jié)束進(jìn)程。如果您用過中文的XP，您是否常常遇到任務(wù)欄“假死”的情況，雖然您的電腦沒有掛掉，但卻動(dòng)彈不得，那好我們也同樣可以將任意的進(jìn)程掛起來，不管您對(duì)它做什么動(dòng)作(除了結(jié)束)，它都不會(huì)有任何的反應(yīng)。有了掛起進(jìn)程，同樣我們也可以將進(jìn)程從“掛起”狀態(tài)激活哈。

    桌面窗口是大家接觸得最多的交互界面了，您是否想獲得每個(gè)窗口的標(biāo)題信息呢？當(dāng)然我們還可以獲得與窗口關(guān)聯(lián)的進(jìn)程，線程與窗口句柄屬性。如果大家對(duì)VC比較熟悉，就應(yīng)該知道其中的一個(gè)SPY++工具吧，它就可以獲得桌面窗口，進(jìn)程和線程的詳細(xì)信息，不過現(xiàn)在就不用打開這個(gè)，打開那個(gè)了，通通搞定了！

    系統(tǒng)性能是每個(gè)用戶關(guān)心的話題。它包括整個(gè)系統(tǒng)當(dāng)前創(chuàng)建的句柄，進(jìn)程以及線程的數(shù)目。還有物理存儲(chǔ)器(Physical Memory)的總量和使用情況，系統(tǒng)高速緩存(System Cache)的大小，存儲(chǔ)器保留與提交(Commit Charge)狀況，當(dāng)然還有核心分頁/非分頁池(Kernel Memory)的使用情況。幾乎包括了Windows系統(tǒng)下存儲(chǔ)器管理的大部分信息。

    雖然現(xiàn)在硬盤的價(jià)格已經(jīng)很低了，不過我還是在用6.4G的小東東，所以常常遇到“Low Disk”！我們常常要看看硬盤的使用情況，不過每次都要進(jìn)入我的電腦，太麻煩了。而我們現(xiàn)在可以一次了解所有磁盤的容量和當(dāng)前使用情況，同時(shí)還有它們的格式類型(如FAT,NTFS,CDFS等)和磁盤標(biāo)簽。

    說到環(huán)境塊，或許不是那么熟悉吧，它包含一些環(huán)境變量，而每個(gè)環(huán)境變量對(duì)應(yīng)一個(gè)/多個(gè)字符串，您可以在控制面板的SYSTEM/Advanced（系統(tǒng)/高級(jí)）里對(duì)它們進(jìn)行設(shè)置，包括添加新的環(huán)境變量，刪除和編輯系統(tǒng)環(huán)境變量。

    事件記錄對(duì)我們分析系統(tǒng)的使用情況有很大的幫助。事件記錄分為三種：應(yīng)用程序，系統(tǒng)和安全。而對(duì)應(yīng)的每種事件又可以分為幾種類型，它們分別是常規(guī)信息，警告和錯(cuò)誤。其中包括記錄序號(hào)(Record Number)，事件類型(Type)，標(biāo)識(shí)符(Event ID)，來源(Source)，產(chǎn)生時(shí)間(Time Generated)，用戶名(User)和相關(guān)描述信息(Description)。有時(shí)間大家可以多看看事件信息，當(dāng)然每個(gè)網(wǎng)絡(luò)管理員對(duì)它們應(yīng)該是很熟悉的，不過還包括其他的事件日志信息。

    Windows系統(tǒng)下的ipconfig /all這個(gè)命令我是常常用，因?yàn)槲覀兪褂玫氖荄HCP，沒事看看自己的IP地址變了沒有。其中包括詳細(xì)的網(wǎng)絡(luò)適配器的信息，包括適配器名稱，描述，硬件地址和類型，IP地址及相應(yīng)的子網(wǎng)掩碼，網(wǎng)關(guān)與DHCP服務(wù)器地址等。不過您是否對(duì)網(wǎng)絡(luò)流量也感興趣呢？我們當(dāng)然可以獲得主機(jī)接受/發(fā)送了多少（非）廣播數(shù)據(jù)報(bào)，出現(xiàn)了多少錯(cuò)誤，一共接受/發(fā)送了多少信息，這些對(duì)每個(gè)網(wǎng)友都是有用的信息喲。

    網(wǎng)絡(luò)共享往往是大家注意的地方，您究竟共享了多少信息，它們的文件路徑是什么，還有它們的共享類型信息。我們?cè)诓恍枰�某些共享資料時(shí)，當(dāng)然不要忘了將其刪除，以免泄露自己的機(jī)密信息。

    Windows的NT是一個(gè)多用戶的系統(tǒng)，允許多種類型用戶的存在。我們希望獲得用戶賬號(hào)的使用期限(Password Expired)，記住要不定時(shí)的修改用戶的密碼喲，以及用戶標(biāo)識(shí)符(User ID)，組標(biāo)識(shí)符(Group ID)，還有用戶賬號(hào)的類型(Type)，不同的類型有不同的權(quán)限，我們當(dāng)然希望有最High的權(quán)力喲！看看系統(tǒng)對(duì)某個(gè)賬號(hào)的磁盤空間使用情況是否有限制(Max Storage)，賬號(hào)登錄的次數(shù)(Number Of Logon)和登錄時(shí)間信息(Logon Hours)等，對(duì)我們分析用戶的使用情況也有幫助的。

    系統(tǒng)的Win32服務(wù)和設(shè)備驅(qū)動(dòng)信息也是很重要的，我們希望探測(cè)每個(gè)服務(wù)/設(shè)備啟動(dòng)程序的具體路徑，狀態(tài)，類型，啟動(dòng)方式等等信息。我們還希望對(duì)服務(wù)進(jìn)行控制，比如停止，啟動(dòng)和刪除操作。大家可以參閱《淺析Windows2000/XP服務(wù)與后門技術(shù)》獲得更多關(guān)于Win32服務(wù)的信息。

    關(guān)機(jī)也不是那么的單調(diào)的，您可以注銷自己的系統(tǒng)，如果您要離開當(dāng)然就需要鎖定了。最近大家都不喜歡關(guān)機(jī)，太麻煩了，所以都習(xí)慣使用冬眠，系統(tǒng)將會(huì)為我們保留當(dāng)前信息，不過還有支持電源管理的關(guān)機(jī)和休眠。Windows2000的用戶注意了，我們同樣可以使用XP系統(tǒng)下的帶有到記時(shí)與消息提示的關(guān)機(jī)和重啟功能了。

    系統(tǒng)的版本信息是比較固定的，主要包括操作系統(tǒng)的指紋，注冊(cè)組織/用戶，主機(jī)名和系統(tǒng)相關(guān)目錄等信息。   

    說了這么多，我們也該談?wù)勅绾螌?shí)現(xiàn)了。

    1.窗口信息
    MS為我們提供了打開特定桌面和枚舉桌面窗口的函數(shù)。
    hDesk=OpenDesktop(lpszDesktop,0,FALSE,DESKTOP_ENUMERATE);
    //打開我們默認(rèn)的Default桌面；
    EnumDesktopWindows(hDesk,(WNDENUMPROC)EnumWindowProc,0);
    //枚舉打開桌面上的所有窗口，由回調(diào)函數(shù)實(shí)現(xiàn)。
    BOOL __stdcall EnumWindowProc(HWND, LPARAM);
    //在回調(diào)函數(shù)中，我們可以獲得窗口的標(biāo)題和相關(guān)進(jìn)程，線程信息；
    GetWindowText(hWnd,szWindowText,dwMaxCount);
    GetWindowThreadProcessId(hWnd,&dwPID);

    2.設(shè)備驅(qū)動(dòng)器信息(服務(wù)和設(shè)備驅(qū)動(dòng)器差不多，在此不做重復(fù))
    設(shè)備驅(qū)動(dòng)信息有服務(wù)控制管理器(SCM)來管理的，我要打開服務(wù)控制管理器，并枚舉所有的設(shè)備驅(qū)動(dòng)器。
    OpenSCManager(NULL,NULL,SC_MANAGER_ALL_ACCESS);
    //以所有權(quán)限打開服務(wù)控制管理器；
    EnumServicesStatus(schManager,dwDeviceType,dwDeviceState,
                EnumStatus,dwBufSize,&dwBytesNeeded,
             &dwDevicesReturned,&dwResumeHandle))
    //枚舉所有設(shè)備的當(dāng)前狀態(tài)；
    CloseServiceHandle(schManager);
    //記住，在結(jié)束訪問后要關(guān)閉服務(wù)句柄；
    OpenService(schManager,szDeviceName,SERVICE_ALL_ACCESS);
    //打開特定的設(shè)備驅(qū)動(dòng)器；
    QueryServiceConfig(schDevice,lpDeviceConfig,
                       1024*8,&dwBytesNeeded)；
    //查詢驅(qū)動(dòng)器的服務(wù)配置信息；
    QueryServiceStatus(schDevice,&DeviceStatus)；
    //查詢?cè)O(shè)備驅(qū)動(dòng)器的當(dāng)前狀態(tài)；
    QueryServiceConfig2(schDevice,SERVICE_CONFIG_DESCRIPTION,
    (LPBYTE)lpDeviceDescription,8*1024,&dwBytesNeeded)
    //查詢?cè)O(shè)備的描述信息；
    StartService(schDevice,0,NULL)；
    //啟動(dòng)設(shè)備；
    ControlService(schDevice,SERVICE_CONTROL_STOP,&DeviceStatus)；
    //停止設(shè)備；
    DeleteService(schDevice)；
    //刪除設(shè)備；

    3.磁盤信息
    我們希望獲得系統(tǒng)所有磁盤的信息，包括軟盤，硬盤，光盤等等；
    GetLogicalDriveStrings(dwBufferLength,lpBuffer);
    //獲得邏輯設(shè)備的信息；
    GetVolumeInformation(lpRootPathName,lpVolumeNameBuffer,
     dwVolumeNameSize,&dwVolumeSerialNumber,
     &dwMaximumComponentLength,&dwFileSystemFlags,
            lpFileSystemNameBuffer,dwFileSystemNameSize);
    //獲得磁盤卷信息，包括卷名稱和格式類型；
    GetDiskFreeSpaceEx(lpRootPathName,&FreeBytesAvailable,
                  &TotalNumberOfBytes,&TotalNumberOfFreeBytes);
    //探測(cè)磁盤的空間使用情況；

    4.環(huán)境變量
    我們可以從注冊(cè)表中獲得環(huán)境塊的信息：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment，當(dāng)然要使用注冊(cè)表的函數(shù)。
    RegOpenKeyEx(HKEY_LOCAL_MACHINE,RegKey,0,KEY_QUERY_VALUE,&hKey);
    //打開注冊(cè)表的鍵；
    RegEnumValue(hKey,dwIndex,EnvironVariable,
                 &dwVariableLength,NULL,NULL,NULL,NULL);
    //查詢我們需要的信息值；
    GetEnvironmentVariable(EnvironVariable,EnvironString,1024);
    //獲得環(huán)境變量的字符串信息；
    
    5.事件記錄信息
    OpenEventLog(NULL,szLog);
    //打開時(shí)間日志記錄；
    GetOldestEventLogRecord(hEvent,&dwThisRecord);
    //獲得最新的日志信息，以便繼續(xù)查找；
    ReadEventLog(hEvent,EVENTLOG_FORWARDS_READ │ EVENTLOG_SEQUENTIAL_READ,
   0,pEventLogRecord,1024*32,&dwRead,&dwNeeded)
    //讀去日志信息；
    LookupAccountSid(NULL,pSid,szName,&dwName,szDomain,&dwDomain,&SNU)；
    //獲取賬戶的SID，以便獲得賬戶的用戶名稱；
    GetNumberOfEventLogRecords(hEvent,&dwTotal)；
    //獲得事件日志的總數(shù)；
    CloseEventLog(hEvent);
    //不要忘記關(guān)閉事件句柄；
    
    6.網(wǎng)絡(luò)共享
    我們使用第二等級(jí)的網(wǎng)絡(luò)共享搜索；
    NetShareEnum(NULL,dwLevel,(PBYTE *)&pBuf,MAX_PREFERRED_LENGTH,&entriesread,&totalentries,&resume);
    //列舉所有的共享目錄及相關(guān)信息；
    NetApiBufferFree(pBuf);
    //釋放緩沖區(qū)；
    NetShareDel(NULL,(char *)lpShareNameW,0);
    //刪除網(wǎng)絡(luò)共享目錄；
    
    7.網(wǎng)絡(luò)適配器信息
    我們要探測(cè)NIC的信息和網(wǎng)絡(luò)流量；
    GetAdaptersInfo(&AdapterInfo,&OutBufLen);
    //獲取適配器信息；
    
    8.系統(tǒng)性能
    獲取系統(tǒng)的存儲(chǔ)器使用情況；
    GetPerformanceInfo(&PerfInfo,sizeof(PERFORMACE_INFORMATION))
    //獲取系統(tǒng)性能信息；

    9.進(jìn)程/線程/模塊信息
    在此我們使用工具幫助函數(shù)(ToolHelp32)和系統(tǒng)
    OpenProcessToken(GetCurrentProcess(),TOKEN_QUERY │ TOKEN_ADJUST_PRIVILEGES,&hToken)；
    //打開進(jìn)程的令牌，提升權(quán)限；
    AdjustTokenPrivileges(hToken,FALSE,&TokenPrivileges,sizeof(TOKEN_PRIVILEGES),NULL,NULL);
    //將進(jìn)程的權(quán)限提升到支持調(diào)試(Debug)；
    CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
    //創(chuàng)建進(jìn)程的快照；
    Process32First(hProcessSnap,&ProcessEntry32)；
    Process32First(hProcessSnap,&ProcessEntry32)；
    //枚舉所有進(jìn)程；
    OpenProcess(PROCESS_QUERY_INFORMATION,FALSE,ProcessEntry32.th32ProcessID);
    //打開特定進(jìn)程，以查詢進(jìn)程相關(guān)信息；
    GetProcessTimes(hProcess,&CreateTime,&ExitTime,&KernelTime,&UserTime)；
    //獲取進(jìn)程的時(shí)間信息； 
    GetProcessMemoryInfo(hProcess,&PMCounter,sizeof(PMCounter))；
    //獲取進(jìn)程的存儲(chǔ)區(qū)信息；
    GetPriorityClass(hProcess);
    //獲取進(jìn)程的優(yōu)先權(quán)；
    GetProcessIoCounters(hProcess,&IoCounters)；
    //獲取進(jìn)程的IO使用情況；
    CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProcessID);
    //創(chuàng)建模塊快照；
    Module32First(hModuleSnap, &ModuleEntry32)；
    Module32Next(hModuleSnap, &ModuleEntry32)；
    //枚舉進(jìn)程模塊信息；
    CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);
    //創(chuàng)建線程快照；
    Thread32First(hThreadSnap, &ThreadEntry32)；
    Thread32Next(hThreadSnap, &ThreadEntry32)；
    //枚舉線程信息；
    OpenThread(THREAD_ALL_ACCESS,FALSE,ThreadEntry32.th32ThreadID);
    //打開線程，須自己獲得此函數(shù)地址；
    TerminateProcess(hProcess,0)；
    //終止進(jìn)程；
    SuspendThread(hThread);
    //懸掛線程；
    ResumeThread(hThread);
    //激活線程；

    10.關(guān)機(jī)
    AdjustTokenPrivileges(hToken,FALSE,&TokenPrivileges,sizeof(TOKEN_PRIVILEGES),NULL,NULL);
    //調(diào)整進(jìn)程令牌，使其支持關(guān)機(jī)；
    ExitWindowsEx(EWX_LOGOFF,0)；
    //注銷系統(tǒng)；
    LockWorkStation()；
    //鎖定系統(tǒng)；
    InitiateSystemShutdown(NULL,szMessage,dwTimeout,FALSE,bSig)；
    //支持到記時(shí)和消息顯示的關(guān)機(jī)/重啟；
    SetSystemPowerState(bSig,FALSE)；
    //系統(tǒng)休眠/冬眠；

    11.用戶信息
    NetUserEnum(NULL,dwLevel,FILTER_NORMAL_ACCOUNT,(LPBYTE*)&pBuf,
                dwPrefMaxLen,&dwEntriesRead,&dwTotalEntries,&dwResumeHandle);
    //枚舉系統(tǒng)用戶信息；
    NetUserDel(NULL,lpUserNameW)； 
    //刪除指定用戶；
  
    12.系統(tǒng)版本信息
    GetVersionEx((LPOSVERSIONINFO)&osviex)；
    //獲取操作系統(tǒng)的版本信息；
    我們也可以通過注冊(cè)表(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion)獲取相關(guān)信息：
    GetTickCount();
    //獲取開機(jī)時(shí)間；
    GetComputerName(szInfo,&dwInfo);
    //獲取計(jì)算機(jī)名稱；
    GetUserName(szInfo,&dwInfo);
    //獲取計(jì)算機(jī)用戶名；
    GetWindowsDirectory(szInfo,MAX_PATH+1);
    //獲取Windows目錄；
    GetSystemDirectory(szInfo,MAX_PATH+1);
    //獲取系統(tǒng)目錄；

小結(jié)：
    雖然我們現(xiàn)在已經(jīng)實(shí)現(xiàn)了任務(wù)管理器的各項(xiàng)功能，甚至比Windows自帶的功能還要強(qiáng)大，不過卻沒有什么興奮的感覺。因?yàn)榭纯次覀兊拇�碼，您就會(huì)發(fā)現(xiàn)那些都是直接調(diào)用的Win32API函數(shù)，但是我們清楚系統(tǒng)底層究竟是怎么實(shí)現(xiàn)的嗎？不管我們是否只是為了實(shí)現(xiàn)一個(gè)功能，還是對(duì)操作系統(tǒng)感興趣，我們都應(yīng)該更多的對(duì)系統(tǒng)底層進(jìn)行研究，而不僅僅是只會(huì)使用高層函數(shù)的程序員。雖然微軟為我們隱藏了很多的內(nèi)部細(xì)節(jié)，但正是這種底層的秘密激發(fā)了我們對(duì)其進(jìn)行深入研究的興趣和動(dòng)力。

注：
    本文相關(guān)程序代碼過長(zhǎng)，所以不在此一并給出，如果你對(duì)其比較感興趣，請(qǐng)到FZ5FZ主頁下載~