Windows工作管理員開發原理與實現

Windows2000/XP內含的工作管理員(Taskmgr)相信大家都熟悉吧，相比之下XP裡的要比2000功能更加強大，返回的資訊也更加的詳細，不過您是否覺得還有很多希望獲得的訊息沒有包含在裡面嗎？您是否覺得Windows的系統管理工具箱裡的東西太分散了嗎？下面就讓我們看看它們的開發原理，並動手實現一個真正的工作管理員。現在我們是調用Win32API來實現這些功能的，但是大家都說MS隱藏了太多的細節，以後我們將討論更多關於Windows核心的東東。

　　可能大家對工作管理員裡最熟悉的功能要數進程管理了，常常我們在懷疑中了病毒/木馬的時候都會看看工作管理員裡有沒有什麼特別的進程在運行，所以進程查看器應該是一個非常重要的功能。我們除了需要獲得進程的名稱外，還有什麼呢？當然包括它的進程標識符(ProcessID)，使用者資訊(UserName)，CPU使用時間(CPUTime)和儲存空間的使用方式(MemoryUsage)，還有它的優先權(BasePriority)。

　　CPU和Memory資訊可以協助我們分析進程的運行情況，而優先權可以表示進程在CPU分配處理器使用時的優先情況。這些都是通用的進程資訊，讓我們再看看其他的資訊吧。進程的父進程標識符(Parent Process ID)，建立時間(Create Time)，程式名稱等在很多情況下也是我們關心的資訊。我們再看看進程相關的效能資訊。在Windows下通常有兩種模式：核心模式(Kernel: Level 0)和使用者模式(User: Level 3)，進程往往在兩種模式中來回切換，所以可以獲得進程在核心模式和使用者模式各自的使用時間。同時還包括進程相關的工作集(WorkingSet)，分頁池(PagedPool)，非分頁池(NonePagedPool)和分頁檔(PageFile）資訊。進程相關的I/O操作包括讀/寫/其他等動作，我們可以獲得這些操作的次數和傳送資料的數量。

　　如果您懷疑某個進程是木馬，那您還想獲得哪些資訊呢？簡單的進程名稱應該是不夠的吧！我們希望獲得進程的實際程式的路徑，這樣可以協助我們判斷究竟是那個程式在運行。前段時間不是在討論什麼進程隱藏的，其中一種就是“建立遠程線程”，而注體往往又是以動態連結程式庫(DLL)的形式存在的，我們就希望看到某個具體進程所包含的所有模組(Module)，常常是DLL也。“線程”是一個大家熟悉的名字，它是Windows系統中的實現體，而進程則是線程啟動並執行環境。一個進程到底建立了多少線程了？我們同樣可以枚舉進程內部的所有線程資訊。如果您發現一個木馬進程，下面的動作就應該是分析它的運行機制(如果您對它感興趣)，不過最終您還是要將它結束吧。在Windows2k下，很多系統關鍵進程在TaskMgr裡是不能被結束的，不過現在您不用擔心了。好的，對進程的操作當然就包括結束進程。如果您用過中文的XP，您是否常常遇到工作列“假死”的情況，雖然您的電腦沒有掛掉，但卻動彈不得，那好我們也同樣可以將任意的進程掛起來，不管您對它做什麼動作(除了結束)，它都不會有任何的反應。有了掛起進程，同樣我們也可以將進程從“掛起”狀態啟用哈。

　　桌面視窗是大家接觸得最多的互動介面了，您是否想獲得每個視窗的標題資訊呢？當然我們還可以獲得與視窗關聯的進程，線程與視窗控制代碼屬性。如果大家對VC比較熟悉，就應該知道其中的一個SPY++工具吧，它就可以獲得桌面視窗，進程和線程的詳細資料，不過現在就不用開啟這個，開啟那個了，通通搞定了！ 系統效能是每個使用者關心的話題。(友情提醒：開發人員網路Windows開發專欄中還有大量技巧)它包括整個系統當前建立的控制代碼，進程以及線程的數目。還有實體儲存體器(Physical Memory)的總量和使用方式，系統快取(System Cache)的大小，儲存空間保留與提交(Commit Charge)狀況，當然還有核心分頁/非分頁池(Kernel Memory)的使用方式。幾乎包括了Windows系統下儲存空間管理的大部分資訊。

　　雖然現在硬碟的價格已經很低了，不過我還是在用6.4G的小東東，所以常常遇到“Low Disk”！我們常常要看看硬碟的使用方式，不過每次都要進入我的電腦，太麻煩了。而我們現在可以一次瞭解所有磁碟的容量和當前使用方式，同時還有它們的格式類型(如FAT,NTFS,CDFS等)和磁碟標籤。

　　說到環境塊，或許不是那麼熟悉吧，它包含一些環境變數，而每個環境變數對應一個/多個字串，您可以在控制台的SYSTEM/Advanced（系統/進階）裡對它們進行設定，包括添加新的環境變數，刪除和編輯系統內容變數。

　　事件記錄對我們分析系統的使用方式有很大的協助。事件記錄分為三種：應用程式，系統和安全。而對應的每種事件又可以分為幾種類型，它們分別是常規資訊，警告和錯誤。其中包括記錄序號(Record Number)，事件類型(Type)，標識符(Event ID)，來源(Source)，產生時間(Time Generated)，使用者名稱(User)和相關描述資訊(Description)。有時間大家可以多看看事件資訊，當然每個網路系統管理員對它們應該是很熟悉的，不過還包括其他的事件記錄資訊。

　　Windows系統下的ipconfig /all這個命令我是常常用，因為我們使用的是DHCP，沒事看看自己的IP地址變了沒有。其中包括詳細的網路介面卡的資訊，包括適配器名稱，描述，硬體地址和類型，IP地址及相應的子網路遮罩，網關與DHCP伺服器位址等。(友情提醒：開發人員網路Windows開發專欄中還有大量技巧)不過您是否對網路流量也感興趣呢？我們當然可以獲得主機接受/發送了多少（非）廣播資料報，出現了多少錯誤，一共接受/發送了多少資訊，這些對每個網友都是有用的資訊喲。

　　網際網路共用往往是大家注意的地方，您究竟共用了多少資訊，它們的檔案路徑是什麼，還有它們的共用類型資訊。我們在不需要某些共用資料時，當然不要忘了將其刪除，以免泄露自己的機密資訊。

　　Windows的NT是一個多使用者的系統，允許多種類型使用者的存在。我們希望獲得使用者帳號的使用到期日(Password Expired)，記住要不定時的修改使用者的密碼喲，以及使用者識別碼(User ID)，群組識別碼(Group ID)，還有使用者帳號的類型(Type)，不同的類型有不同的許可權，我們當然希望有最High的權力喲！看看系統對某個帳號的磁碟空間使用方式是否有限制(Max Storage)，帳號登入的次數(Number Of Logon)和登入時間資訊(Logon Hours)等，對我們分析使用者的使用方式也有協助的。

　　系統的Win32服務和裝置驅動資訊也是很重要的，我們希望探測每個服務/裝置啟動程式的具體路徑，狀態，類型，啟動方式等等資訊。我們還希望對服務進行控制，比如停止，啟動和刪除操作。大家可以參閱《淺析Windows2000/XP服務與後門技術》獲得更多關於Win32服務的資訊。

　　關機也不是那麼的單調的，您可以登出自己的系統，如果您要離開當然就需要鎖定了。最近大家都不喜歡關機，太麻煩了，所以都習慣使用冬眠，系統將會為我們保留當前資訊，不過還有支援電源管理的關機和休眠。Windows2000的使用者注意了，我們同樣可以使用XP系統下的帶有到記時與訊息提示的關機和重啟功能了。

　　系統的版本資訊是比較固定的，主要包括作業系統的指紋，註冊組織/使用者，主機名稱和系統相關目錄等資訊。

　　說了這麼多，我們也該談談如何?了。

　　1.視窗資訊

　　MS為我們提供了開啟特定案頭和枚舉桌面視窗的函數。

hDesk=OpenDesktop(lpszDesktop,0,FALSE,DESKTOP_ENUMERATE); //開啟我們預設的Default案頭； EnumDesktopWindows(hDesk,(WNDENUMPROC)EnumWindowProc,0); //枚舉開啟案頭上的所有視窗，由回呼函數實現。 BOOL __stdcall EnumWindowProc(HWND, LPARAM); //在回呼函數中，我們可以獲得視窗的標題和相關進程，線程資訊； GetWindowText(hWnd,szWindowText,dwMaxCount); GetWindowThreadProcessId(hWnd,&dwPID);

2.裝置磁碟機資訊(服務和裝置磁碟機差不多，在此不做重複)

　　裝置驅動資訊有服務控制管理員(SCM)來管理的，我要開啟服務控制管理員，並枚舉所有的裝置磁碟機。

OpenSCManager(NULL,NULL,SC_MANAGER_ALL_ACCESS); //以所有許可權開啟服務控制管理員； EnumServicesStatus(schManager,dwDeviceType,dwDeviceState, EnumStatus,dwBufSize,&dwBytesNeeded, &dwDevicesReturned,&dwResumeHandle)) //枚舉所有裝置的目前狀態； CloseServiceHandle(schManager); //記住，在結束訪問後要關閉服務控制代碼； OpenService(schManager,szDeviceName,SERVICE_ALL_ACCESS); //開啟特定的裝置磁碟機； QueryServiceConfig(schDevice,lpDeviceConfig, 1024*8,&dwBytesNeeded)； //查詢磁碟機的服務配置資訊； QueryServiceStatus(schDevice,&DeviceStatus)； //查詢裝置磁碟機的目前狀態；(友情提醒：開發人員網路Windows開發專欄中還有大量技巧) QueryServiceConfig2(schDevice,SERVICE_CONFIG_DESCRIPTION, (LPBYTE)lpDeviceDescription,8*1024,&dwBytesNeeded) //查詢裝置的描述資訊； StartService(schDevice,0,NULL)； //啟動裝置； ControlService(schDevice,SERVICE_CONTROL_STOP,&DeviceStatus)； //停止裝置； DeleteService(schDevice)； //刪除裝置；

　　3.磁碟資訊

　　我們希望獲得系統所有磁碟的資訊，包括磁碟片，硬碟，光碟片等等；

GetLogicalDriveStrings(dwBufferLength,lpBuffer); //獲得邏輯裝置的資訊； GetVolumeInformation(lpRootPathName,lpVolumeNameBuffer, dwVolumeNameSize,&dwVolumeSerialNumber, &dwMaximumComponentLength,&dwFileSystemFlags, lpFileSystemNameBuffer,dwFileSystemNameSize); //獲得磁碟卷資訊，包括卷名稱和格式類型；(友情提醒：開發人員網路Windows開發專欄中還有大量技巧) GetDiskFreeSpaceEx(lpRootPathName,&FreeBytesAvailable, &TotalNumberOfBytes,&TotalNumberOfFreeBytes); //探測磁碟的空間使用方式；

　　4.環境變數

　　我們可以從註冊表中獲得環境塊的資訊：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment，當然要使用註冊表的函數。

RegOpenKeyEx(HKEY_LOCAL_MACHINE,RegKey,0,KEY_QUERY_VALUE,&hKey); //開啟註冊表的鍵； RegEnumValue(hKey,dwIndex,EnvironVariable, &dwVariableLength,NULL,NULL,NULL,NULL); //查詢我們需要的資訊值； GetEnvironmentVariable(EnvironVariable,EnvironString,1024); //獲得環境變數的字串資訊；

　　5.事件記錄資訊

OpenEventLog(NULL,szLog); //開啟時間日誌記錄； GetOldestEventLogRecord(hEvent,&dwThisRecord); //獲得最新的日誌資訊，以便繼續尋找； ReadEventLog(hEvent,EVENTLOG_FORWARDS_READ │ EVENTLOG_SEQUENTIAL_READ, 0,pEventLogRecord,1024*32,&dwRead,&dwNeeded) //讀去日誌資訊； LookupAccountSid(NULL,pSid,szName,&dwName,szDomain,&dwDomain,&SNU)； //擷取賬戶的SID，以便獲得賬戶的使用者名稱稱； GetNumberOfEventLogRecords(hEvent,&dwTotal)； //獲得事件記錄的總數； CloseEventLog(hEvent); //不要忘記關閉事件控制代碼；

　　6.網際網路共用

　　我們使用第二等級的網際網路共用搜尋；

NetShareEnum(NULL,dwLevel,(PBYTE *)&pBuf,MAX_PREFERRED_LENGTH,&entriesread,&totalentries,&resume); //列舉所有的共用目錄及相關資訊； NetApiBufferFree(pBuf); //釋放緩衝區；(友情提醒：開發人員網路Windows開發專欄中還有大量技巧) NetShareDel(NULL,(char *)lpShareNameW,0); //刪除網際網路共用目錄；

　　7.網路介面卡資訊

　　我們要探測NIC的資訊和網路流量；

GetAdaptersInfo(&AdapterInfo,&OutBufLen); //擷取適配器資訊；

　　8.系統效能

　　擷取系統的儲存空間使用方式；

GetPerformanceInfo(&PerfInfo,sizeof(PERFORMACE_INFORMATION)) //擷取系統效能資訊；

9.進程/線程/模組資訊

　　在此我們使用工具協助函數(ToolHelp32)和系統

OpenProcessToken(GetCurrentProcess(),TOKEN_QUERY │ TOKEN_ADJUST_PRIVILEGES,&hToken)； //開啟進程的令牌，提升許可權； AdjustTokenPrivileges(hToken,FALSE,&TokenPrivileges,sizeof(TOKEN_PRIVILEGES),NULL,NULL); //將進程的許可權提升到支援調試(Debug)； CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); //建立進程的快照； Process32First(hProcessSnap,&ProcessEntry32)； Process32First(hProcessSnap,&ProcessEntry32)； //枚舉所有進程； OpenProcess(PROCESS_QUERY_INFORMATION,FALSE,ProcessEntry32.th32ProcessID); //開啟特定進程，以查詢進程相關資訊； GetProcessTimes(hProcess,&CreateTime,&ExitTime,&KernelTime,&UserTime)； //擷取進程的時間資訊； GetProcessMemoryInfo(hProcess,&PMCounter,sizeof(PMCounter))； //擷取進程的儲存區資訊； GetPriorityClass(hProcess); //擷取進程的優先權； GetProcessIoCounters(hProcess,&IoCounters)； //擷取進程的IO使用方式； CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProcessID); //建立模組快照；(友情提醒：開發人員網路Windows開發專欄中還有大量技巧) Module32First(hModuleSnap, &ModuleEntry32)； Module32Next(hModuleSnap, &ModuleEntry32)； //枚舉進程模組資訊； CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0); //建立線程快照； Thread32First(hThreadSnap, &ThreadEntry32)； Thread32Next(hThreadSnap, &ThreadEntry32)； //枚舉線程資訊； OpenThread(THREAD_ALL_ACCESS,FALSE,ThreadEntry32.th32ThreadID); //開啟線程，須自己獲得此函數地址； TerminateProcess(hProcess,0)； //終止進程； SuspendThread(hThread); //懸掛線程； ResumeThread(hThread); //啟用線程；

　　10.關機

AdjustTokenPrivileges(hToken,FALSE,&TokenPrivileges,sizeof(TOKEN_PRIVILEGES),NULL,NULL); //調整進程令牌，使其支援關機； ExitWindowsEx(EWX_LOGOFF,0)； //登出系統； LockWorkStation()； //鎖定系統； InitiateSystemShutdown(NULL,szMessage,dwTimeout,FALSE,bSig)； //支援到記時和訊息顯示的關機/重啟； SetSystemPowerState(bSig,FALSE)； //系統休眠/冬眠；

　　11.使用者資訊

NetUserEnum(NULL,dwLevel,FILTER_NORMAL_ACCOUNT,(LPBYTE*)&pBuf, dwPrefMaxLen,&dwEntriesRead,&dwTotalEntries,&dwResumeHandle); //枚舉系統使用者資訊； NetUserDel(NULL,lpUserNameW)； //刪除指定使用者；

　　12.系統版本資訊

GetVersionEx((LPOSVERSIONINFO)&osviex)； //擷取作業系統的版本資訊； 我們也可以通過註冊表(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion)擷取相關資訊： GetTickCount(); //擷取開機時間； GetComputerName(szInfo,&dwInfo); //擷取電腦名稱； GetUserName(szInfo,&dwInfo); //擷取電腦使用者名稱； GetWindowsDirectory(szInfo,MAX_PATH+1); //擷取Windows目錄； GetSystemDirectory(szInfo,MAX_PATH+1); //擷取系統目錄；

　　小結：

　　雖然我們現在已經實現了工作管理員的各項功能，甚至比Windows內建的功能還要強大，不過卻沒有什麼興奮的感覺。因為看看我們的代碼，您就會發現那些都是直接調用的Win32API函數，但是我們清楚系統底層究竟是怎麼實現的嗎？不管我們是否只是為了實現一個功能，還是對作業系統感興趣，我們都應該更多的對系統底層進行研究，而不僅僅是只會使用高層函數的程式員。雖然微軟為我們隱藏了很多的內部細節，但正是這種底層的秘密激發了我們對其進行深入研究的興趣和動力。