遍历进程用户名

代码例子



#include <windows.h>

#include <iostream>

#include <COMDEF.H>

#include <stdio.h>

#include <Tlhelp32.h>

using namespace std;

typedef struct _UNICODE_STRING {

	USHORT Length;

	USHORT MaximumLength;

	PWSTR   Buffer;

} UNICODE_STRING, * PUNICODE_STRING;

//SystemProcessInformation

typedef struct _SYSTEM_PROCESS_INFORMATION

{

	DWORD             dwNextEntryOffset;

	DWORD             dwNumberOfThreads;

	LARGE_INTEGER     qSpareLi1;

	LARGE_INTEGER     qSpareLi2;

	LARGE_INTEGER     qSpareLi3;

	LARGE_INTEGER     qCreateTime;

	LARGE_INTEGER     qUserTime;

	LARGE_INTEGER     qKernelTime;

	UNICODE_STRING     ImageName;

	int                 nBasePriority;

	DWORD             dwProcessId;

	DWORD             dwInheritedFromUniqueProcessId;

	DWORD             dwHandleCount;

	DWORD             dwSessionId;

	ULONG             dwSpareUl3;

	SIZE_T             tPeakVirtualSize;

	SIZE_T             tVirtualSize;

	DWORD             dwPageFaultCount;

	DWORD             dwPeakWorkingSetSize;

	DWORD             dwWorkingSetSize;

	SIZE_T             tQuotaPeakPagedPoolUsage;

	SIZE_T             tQuotaPagedPoolUsage;

	SIZE_T             tQuotaPeakNonPagedPoolUsage;

	SIZE_T             tQuotaNonPagedPoolUsage;

	SIZE_T             tPagefileUsage;

	SIZE_T             tPeakPagefileUsage;

	SIZE_T             tPrivatePageCount;

	LARGE_INTEGER     qReadOperationCount;

	LARGE_INTEGER     qWriteOperationCount;

	LARGE_INTEGER     qOtherOperationCount;

	LARGE_INTEGER     qReadTransferCount;

	LARGE_INTEGER     qWriteTransferCount;

	LARGE_INTEGER     qOtherTransferCount;

}SYSTEM_PROCESS_INFORMATION;

/*----------------------------------------------------

	   函数说明: 动态加载动库文件

		   输入参数: pDllName 库文件名称,pProcName导出函数名字

		   输出参数: 无

		   返回值   : 返回函数的的地址

----------------------------------------------------*/

VOID* GetDllProc(const TCHAR* pDllName, const CHAR* pProcName)

{

	HMODULE         hMod;

	hMod = LoadLibrary(pDllName);

	if (hMod == NULL)

		return NULL;

	return GetProcAddress(hMod, pProcName);

}

//宏定义函数的指针

typedef LONG(WINAPI* Fun_NtQuerySystemInformation) (int   SystemInformationClass,

	OUT PVOID SystemInformation,

	IN ULONG SystemInformationLength,

	OUT ULONG* pReturnLength OPTIONAL);

typedef BYTE(WINAPI* Fun_WinStationGetProcessSid)(HANDLE hServer, DWORD   ProcessId,

	FILETIME   ProcessStartTime, PBYTE pProcessUserSid, PDWORD dwSidSize);

typedef VOID(WINAPI* Fun_CachedGetUserFromSid)(PSID pSid, PWCHAR pUserName, PULONG cbUserName);

#define STATUS_INFO_LENGTH_MISMATCH         ((LONG)0xC0000004L)

#define SystemProcessInformation         5 

/*------------------------------------------------------------------

	 函数说明: 获取系统进程的信息

		 输入参数: SYSTEM_PROCESS_INFORMATION

		 输出参数: 无

--------------------------------------------------------------------*/

BOOL GetSysProcInfo(SYSTEM_PROCESS_INFORMATION * *ppSysProcInfo)

{

	Fun_NtQuerySystemInformation     _NtQuerySystemInformation;

	_NtQuerySystemInformation = (Fun_NtQuerySystemInformation)::GetDllProc(TEXT("NTDLL.DLL"), "NtQuerySystemInformation");

	if (_NtQuerySystemInformation == NULL)

		return FALSE;

	DWORD         dwSize = 1024 * 1024;

	VOID* pBuf = NULL;

	LONG         lRetVal;

	while(true)

	{

		if (pBuf)

			free(pBuf);

		pBuf = (VOID*)malloc(dwSize);

		lRetVal = _NtQuerySystemInformation(SystemProcessInformation,pBuf, dwSize, NULL);

		if (STATUS_INFO_LENGTH_MISMATCH != lRetVal)

			break;

		dwSize *= 2;

	}

	if (lRetVal == 0)

	{

		*ppSysProcInfo = (SYSTEM_PROCESS_INFORMATION*)pBuf;

		return TRUE;

	}

	free(pBuf);

	return FALSE;

}

BOOL GetProcessUser(DWORD dwPid, _bstr_t* pbStrUser)

{

	Fun_WinStationGetProcessSid         _WinStationGetProcessSid;

	Fun_CachedGetUserFromSid         _CachedGetUserFromSid;

	_WinStationGetProcessSid = (Fun_WinStationGetProcessSid)

		GetDllProc(TEXT("Winsta.dll"), "WinStationGetProcessSid");

	_CachedGetUserFromSid = (Fun_CachedGetUserFromSid)

		GetDllProc(TEXT("utildll.dll"), "CachedGetUserFromSid");

	if (_WinStationGetProcessSid == NULL || _CachedGetUserFromSid == NULL)

		return FALSE;

	BYTE         cRetVal;

	FILETIME     ftStartTime;

	DWORD         dwSize;

	BYTE* pSid;

	BOOL         bRetVal, bFind;

	SYSTEM_PROCESS_INFORMATION* pProcInfo, * pCurProcInfo;

	bRetVal = GetSysProcInfo(&pProcInfo);

	if (bRetVal == FALSE || pProcInfo == NULL)

		return FALSE;

	bFind = FALSE;

	pCurProcInfo = pProcInfo;

	for (;;)

	{

		if (pCurProcInfo->dwProcessId == dwPid)

		{

			memcpy(&ftStartTime, &pCurProcInfo->qCreateTime, sizeof(ftStartTime));

			bFind = TRUE;

			break;

		}

		if (pCurProcInfo->dwNextEntryOffset == 0)

			break;

		pCurProcInfo = (SYSTEM_PROCESS_INFORMATION*)((BYTE*)pCurProcInfo +

			pCurProcInfo->dwNextEntryOffset);

	}

	if (bFind == FALSE)

	{

		free(pProcInfo);

		return FALSE;

	}

	cRetVal = _WinStationGetProcessSid(NULL, dwPid, ftStartTime, NULL, &dwSize);

	if (cRetVal != 0)

		return FALSE;

	pSid = new BYTE[dwSize];

	cRetVal = _WinStationGetProcessSid(NULL, dwPid, ftStartTime, pSid, &dwSize);

	if (cRetVal == 0)

	{

		delete[] pSid;

		return FALSE;

	}

	WCHAR   szUserName[1024];

	_CachedGetUserFromSid(pSid, szUserName, &dwSize);

	delete[] pSid;

	if (dwSize == 0)

		return FALSE;

	*pbStrUser = szUserName;

	return TRUE;

}

int main()

{

	/*

	1.遍历所有进程.

	2.遍历这个进程下的所有模块.

	3.读取模块特征.

	4.结束掉这个进程.

	*/

	//services.exe conhost.exe

	TCHAR szProcessName[] = TEXT("services.exe");

	BOOL bFind = FALSE;

	TCHAR ch[256] = { 0 };

	_bstr_t bs;

	memcpy(&bs, ch, sizeof(bs));

			GetProcessUser(pi.th32ProcessID, &bs); //第一个参数写的是你的进程ID 

}

未公开函数 NtQuerySystemInfoMation 遍历进程信息,获得进程的用户名(如: system,Admin..)的更多相关文章

  1. PowerBuilder -- 未公开函数

    原文:http://blog.csdn.net/happymagic/article/details/51077322 @.已知一个DW中的某列的列名(在字符串变量中),以获得这个列对象的DWO 方法 ...

  2. 未公开函数MessageBoxTimeOut 实现定时消息(ZT) MFC实现MessageBox自动消失

    http://www.blogjava.net/baicker/archive/2007/07/13/130072.html #include <windows.h> #include & ...

  3. (转载)MS SQL Server 未公开的加密函数有哪些?

    MS SQL Server 未公开的加密函数有哪些? 以下的文章是对MS SQL Server 未公开的加密函数的具体操作,如果你对其相关的实际操作有兴趣的话,你就可以点击了. MS SQL Serv ...

  4. VC中遍历进程并获取进程信息

    代码如下: /***************************************************/ /* 函数: 遍历进程信息 /* 参数:进程名称 例如: aaa.exe /* ...

  5. CListCtrlEx:一个支持文件拖放和实时监视的列表控件——用未公开API函数实现Shell实时监视

    一.需求无论何时,当你在Explorer窗口中创建.删除或重命名一个文件夹/文件,或者插入拔除移动存储器时,Windows总是能非常快速地更新它所有的视图.有时候我们的程序中也需要这样的功能,以便当用 ...

  6. 进程(WINAPI),遍历并查找树状的进程信息,实现控制系统进程

    #include <TlHelp32.h> //检索系统全部进程 void showall() { PROCESSENTRY32 pe32 = {0}; pe32.dwSize = siz ...

  7. 微软未公开的 SP

    一些用在SQL 2000的企业管理GUI中,并且不打算用于其他的流程.微软已预计将其中的一些存储过程从未来的SQL Server版本中删除(或已经删除了).虽然这些存储过程可能很有用并为你节省了很多时 ...

  8. 利用未公开API获取终端会话闲置时间(Idle Time)和登入时间(Logon Time)

    利用未公开API获取终端会话闲置时间(Idle Time)和登入时间(Logon Time)作者:Tuuzed(土仔)   发表于:2008年3月3日23:12:38 版权声明:可以任意转载,转载时请 ...

  9. Linux基础命令---top显示进程信息

    top top指令用来显示Linux的进程信息,这是一个动态显示的过程.top提供运行系统的动态实时视图.它可以显示系统摘要信息以及当前由Linux内核管理的任务列表.所显示的系统摘要信息的类型以及为 ...

随机推荐

  1. MSMQ消息加密

    证书实现非对称加密/解密的代码如下 //非对称加密密钥 static byte[] RSAEncrypt(byte[] enkey, X509Certificate2 Certificate) { R ...

  2. 【洛谷 P2597】 [ZJOI2012]灾难(LCA)

    题目链接 考虑建一棵树,使一个生物灭绝时他的子树都会灭绝,显然这样答案就是以每个点为根的子树大小-1. 为什么原图不是一棵树,因为一个生物可能会以多个生物为食,所以按拓扑序来建树,把每个遍历到的点的父 ...

  3. 基于【 springBoot +springCloud+vue 项目】一 || 后端搭建

    缘起 本项目是基于之前学习的一个Dubbo+SSM分布式项目进行升级,基于此项目对前后端分离项目.微服务项目进一步深入学习.之前学习了vue.springBoot.springCloud后,没有进行更 ...

  4. C++线程同步与互斥之互斥体

    抢红包练习 第一步:在第一个文本框中输入一个值,比如1000: 第二步:点击抢红包,同时创建3个线程,每个线程循环进行抢红包的操作,每次抢50; 第三步:使用Mutex进行线程控制,当第一个文本框中的 ...

  5. 几种常见的Preference总结

    DialogPreference共性 DialogPreference通用属性 说明 android:dialogIco 对话框的icon android:dialogLayout dialog的co ...

  6. springBoot集成Redis,RedisTmple操作redis和注解实现添加和清空缓存功能

    配置 maven项目进入相关配置 <dependency>    <groupId>org.springframework.boot</groupId>    &l ...

  7. c# String类

  8. AxureRP分页签 / Tab选项卡切换功能~

    最终结果图如下: 实现过程: 1.从元件库中拖一个动态面板,调整所需大小,接下来的步骤都通过双击动态面板来完成. 2.双击动态面板,弹出框“面板状态管理”,新建状态并命名.此处新建了TAB1.TAB2 ...

  9. 调试freeradius 3.0 与microsoft AD通过LDAP认证的笔记

    首先来参考文章: a.https://blog.51cto.com/liqingbiao/2146832?utm_source=oschina-app 这个主要参考了基本安装.配置.测试 b.http ...

  10. altium designer(AD13)隐藏敷铜的方法

    覆铜,就是将PCB上闲置的空间作为基准面,然后用固体铜填充,这些铜区又称为灌铜.敷铜的意义在于,减小地线阻抗,提高抗干扰能力;降低压降,提高电源效率;还有,与地线相连,减小环路面积. 如果拿到别人的P ...