遍历进程用户名

代码例子



#include <windows.h>

#include <iostream>

#include <COMDEF.H>

#include <stdio.h>

#include <Tlhelp32.h>

using namespace std;

typedef struct _UNICODE_STRING {

	USHORT Length;

	USHORT MaximumLength;

	PWSTR   Buffer;

} UNICODE_STRING, * PUNICODE_STRING;

//SystemProcessInformation

typedef struct _SYSTEM_PROCESS_INFORMATION

{

	DWORD             dwNextEntryOffset;

	DWORD             dwNumberOfThreads;

	LARGE_INTEGER     qSpareLi1;

	LARGE_INTEGER     qSpareLi2;

	LARGE_INTEGER     qSpareLi3;

	LARGE_INTEGER     qCreateTime;

	LARGE_INTEGER     qUserTime;

	LARGE_INTEGER     qKernelTime;

	UNICODE_STRING     ImageName;

	int                 nBasePriority;

	DWORD             dwProcessId;

	DWORD             dwInheritedFromUniqueProcessId;

	DWORD             dwHandleCount;

	DWORD             dwSessionId;

	ULONG             dwSpareUl3;

	SIZE_T             tPeakVirtualSize;

	SIZE_T             tVirtualSize;

	DWORD             dwPageFaultCount;

	DWORD             dwPeakWorkingSetSize;

	DWORD             dwWorkingSetSize;

	SIZE_T             tQuotaPeakPagedPoolUsage;

	SIZE_T             tQuotaPagedPoolUsage;

	SIZE_T             tQuotaPeakNonPagedPoolUsage;

	SIZE_T             tQuotaNonPagedPoolUsage;

	SIZE_T             tPagefileUsage;

	SIZE_T             tPeakPagefileUsage;

	SIZE_T             tPrivatePageCount;

	LARGE_INTEGER     qReadOperationCount;

	LARGE_INTEGER     qWriteOperationCount;

	LARGE_INTEGER     qOtherOperationCount;

	LARGE_INTEGER     qReadTransferCount;

	LARGE_INTEGER     qWriteTransferCount;

	LARGE_INTEGER     qOtherTransferCount;

}SYSTEM_PROCESS_INFORMATION;

/*----------------------------------------------------

	   函数说明: 动态加载动库文件

		   输入参数: pDllName 库文件名称,pProcName导出函数名字

		   输出参数: 无

		   返回值   : 返回函数的的地址

----------------------------------------------------*/

VOID* GetDllProc(const TCHAR* pDllName, const CHAR* pProcName)

{

	HMODULE         hMod;

	hMod = LoadLibrary(pDllName);

	if (hMod == NULL)

		return NULL;

	return GetProcAddress(hMod, pProcName);

}

//宏定义函数的指针

typedef LONG(WINAPI* Fun_NtQuerySystemInformation) (int   SystemInformationClass,

	OUT PVOID SystemInformation,

	IN ULONG SystemInformationLength,

	OUT ULONG* pReturnLength OPTIONAL);

typedef BYTE(WINAPI* Fun_WinStationGetProcessSid)(HANDLE hServer, DWORD   ProcessId,

	FILETIME   ProcessStartTime, PBYTE pProcessUserSid, PDWORD dwSidSize);

typedef VOID(WINAPI* Fun_CachedGetUserFromSid)(PSID pSid, PWCHAR pUserName, PULONG cbUserName);

#define STATUS_INFO_LENGTH_MISMATCH         ((LONG)0xC0000004L)

#define SystemProcessInformation         5 

/*------------------------------------------------------------------

	 函数说明: 获取系统进程的信息

		 输入参数: SYSTEM_PROCESS_INFORMATION

		 输出参数: 无

--------------------------------------------------------------------*/

BOOL GetSysProcInfo(SYSTEM_PROCESS_INFORMATION * *ppSysProcInfo)

{

	Fun_NtQuerySystemInformation     _NtQuerySystemInformation;

	_NtQuerySystemInformation = (Fun_NtQuerySystemInformation)::GetDllProc(TEXT("NTDLL.DLL"), "NtQuerySystemInformation");

	if (_NtQuerySystemInformation == NULL)

		return FALSE;

	DWORD         dwSize = 1024 * 1024;

	VOID* pBuf = NULL;

	LONG         lRetVal;

	while(true)

	{

		if (pBuf)

			free(pBuf);

		pBuf = (VOID*)malloc(dwSize);

		lRetVal = _NtQuerySystemInformation(SystemProcessInformation,pBuf, dwSize, NULL);

		if (STATUS_INFO_LENGTH_MISMATCH != lRetVal)

			break;

		dwSize *= 2;

	}

	if (lRetVal == 0)

	{

		*ppSysProcInfo = (SYSTEM_PROCESS_INFORMATION*)pBuf;

		return TRUE;

	}

	free(pBuf);

	return FALSE;

}

BOOL GetProcessUser(DWORD dwPid, _bstr_t* pbStrUser)

{

	Fun_WinStationGetProcessSid         _WinStationGetProcessSid;

	Fun_CachedGetUserFromSid         _CachedGetUserFromSid;

	_WinStationGetProcessSid = (Fun_WinStationGetProcessSid)

		GetDllProc(TEXT("Winsta.dll"), "WinStationGetProcessSid");

	_CachedGetUserFromSid = (Fun_CachedGetUserFromSid)

		GetDllProc(TEXT("utildll.dll"), "CachedGetUserFromSid");

	if (_WinStationGetProcessSid == NULL || _CachedGetUserFromSid == NULL)

		return FALSE;

	BYTE         cRetVal;

	FILETIME     ftStartTime;

	DWORD         dwSize;

	BYTE* pSid;

	BOOL         bRetVal, bFind;

	SYSTEM_PROCESS_INFORMATION* pProcInfo, * pCurProcInfo;

	bRetVal = GetSysProcInfo(&pProcInfo);

	if (bRetVal == FALSE || pProcInfo == NULL)

		return FALSE;

	bFind = FALSE;

	pCurProcInfo = pProcInfo;

	for (;;)

	{

		if (pCurProcInfo->dwProcessId == dwPid)

		{

			memcpy(&ftStartTime, &pCurProcInfo->qCreateTime, sizeof(ftStartTime));

			bFind = TRUE;

			break;

		}

		if (pCurProcInfo->dwNextEntryOffset == 0)

			break;

		pCurProcInfo = (SYSTEM_PROCESS_INFORMATION*)((BYTE*)pCurProcInfo +

			pCurProcInfo->dwNextEntryOffset);

	}

	if (bFind == FALSE)

	{

		free(pProcInfo);

		return FALSE;

	}

	cRetVal = _WinStationGetProcessSid(NULL, dwPid, ftStartTime, NULL, &dwSize);

	if (cRetVal != 0)

		return FALSE;

	pSid = new BYTE[dwSize];

	cRetVal = _WinStationGetProcessSid(NULL, dwPid, ftStartTime, pSid, &dwSize);

	if (cRetVal == 0)

	{

		delete[] pSid;

		return FALSE;

	}

	WCHAR   szUserName[1024];

	_CachedGetUserFromSid(pSid, szUserName, &dwSize);

	delete[] pSid;

	if (dwSize == 0)

		return FALSE;

	*pbStrUser = szUserName;

	return TRUE;

}

int main()

{

	/*

	1.遍历所有进程.

	2.遍历这个进程下的所有模块.

	3.读取模块特征.

	4.结束掉这个进程.

	*/

	//services.exe conhost.exe

	TCHAR szProcessName[] = TEXT("services.exe");

	BOOL bFind = FALSE;

	TCHAR ch[256] = { 0 };

	_bstr_t bs;

	memcpy(&bs, ch, sizeof(bs));

			GetProcessUser(pi.th32ProcessID, &bs); //第一个参数写的是你的进程ID 

}

未公开函数 NtQuerySystemInfoMation 遍历进程信息,获得进程的用户名(如: system,Admin..)的更多相关文章

  1. PowerBuilder -- 未公开函数

    原文:http://blog.csdn.net/happymagic/article/details/51077322 @.已知一个DW中的某列的列名(在字符串变量中),以获得这个列对象的DWO 方法 ...

  2. 未公开函数MessageBoxTimeOut 实现定时消息(ZT) MFC实现MessageBox自动消失

    http://www.blogjava.net/baicker/archive/2007/07/13/130072.html #include <windows.h> #include & ...

  3. (转载)MS SQL Server 未公开的加密函数有哪些?

    MS SQL Server 未公开的加密函数有哪些? 以下的文章是对MS SQL Server 未公开的加密函数的具体操作,如果你对其相关的实际操作有兴趣的话,你就可以点击了. MS SQL Serv ...

  4. VC中遍历进程并获取进程信息

    代码如下: /***************************************************/ /* 函数: 遍历进程信息 /* 参数:进程名称 例如: aaa.exe /* ...

  5. CListCtrlEx:一个支持文件拖放和实时监视的列表控件——用未公开API函数实现Shell实时监视

    一.需求无论何时,当你在Explorer窗口中创建.删除或重命名一个文件夹/文件,或者插入拔除移动存储器时,Windows总是能非常快速地更新它所有的视图.有时候我们的程序中也需要这样的功能,以便当用 ...

  6. 进程(WINAPI),遍历并查找树状的进程信息,实现控制系统进程

    #include <TlHelp32.h> //检索系统全部进程 void showall() { PROCESSENTRY32 pe32 = {0}; pe32.dwSize = siz ...

  7. 微软未公开的 SP

    一些用在SQL 2000的企业管理GUI中,并且不打算用于其他的流程.微软已预计将其中的一些存储过程从未来的SQL Server版本中删除(或已经删除了).虽然这些存储过程可能很有用并为你节省了很多时 ...

  8. 利用未公开API获取终端会话闲置时间(Idle Time)和登入时间(Logon Time)

    利用未公开API获取终端会话闲置时间(Idle Time)和登入时间(Logon Time)作者:Tuuzed(土仔)   发表于:2008年3月3日23:12:38 版权声明:可以任意转载,转载时请 ...

  9. Linux基础命令---top显示进程信息

    top top指令用来显示Linux的进程信息,这是一个动态显示的过程.top提供运行系统的动态实时视图.它可以显示系统摘要信息以及当前由Linux内核管理的任务列表.所显示的系统摘要信息的类型以及为 ...

随机推荐

  1. iOS - WebRTC 自编译(音视频即时通讯开源库)

    什么是WebRTC? WebRTC,名称源自网页实时通信(Web Real-Time Communication)的缩写,简而言之它是一个支持网页浏览器进行实时语音对话或视频对话的技术.是谷歌2010 ...

  2. 【转载】C#中Add方法将往List集合末尾添加相应元素对象

    在C#的List集合操作中,有时候需要将符合条件的对象添加到已有List集合中的末尾,此时就需要使用到List集合的Add方法,Add方法的作用为将对应的元素添加到List集合末尾,Add方法签名为v ...

  3. 【kafka】安装部署kafka集群(kafka版本:kafka_2.12-2.3.0)

    3.2.1 下载kafka并安装kafka_2.12-2.3.0.tgz tar -zxvf kafka_2.12-2.3.0.tgz 3.2.2 配置kafka集群 在config/server.p ...

  4. 全局唯一ID生成器(Snowflake ID组成) 分析

    Snowflake ID组成 Snowflake ID有64bits长,由以下三部分组成: time—42bits,精确到ms,那就意味着其可以表示长达(2^42-1)/(1000360024*365 ...

  5. java写入内容到本地文件 -读取文件内容

    /** 日志记录 * @author sys * @param content 要写入的类容 * @param path 目标路径 c:/log/ * @param filename 文件名 log. ...

  6. DNS BIND配置 配置基本缓存服务器 DNS正向解析 DNS反向解析

    一. 缓存服务器配置 1.DNS:BIND    Berkeley Internet Name Domain    版本bind97: RPM服务器端包的名字  安装bind-libs    bind ...

  7. Codeforces C. A Simple Task(状态压缩dp)

    题目描述:  A Simple Task time limit per test 2 seconds memory limit per test 256 megabytes input standar ...

  8. 个性化排序算法实践(四)——GBDT+LR

    本质上GBDT+LR是一种具有stacking思想的二分类器模型,所以可以用来解决二分类问题.这个方法出自于Facebook 2014年的论文 Practical Lessons from Predi ...

  9. 《你们都是魔鬼吗》第八次团队作业:第一天Alpha冲刺

    <你们都是魔鬼吗>第八次团队作业:Alpha冲刺 项目 内容 这个作业属于哪个课程 任课教师博客主页链接 这个作业的要求在哪里 作业链接地址 团队名称 你们都是魔鬼吗 作业学习目标 完成最 ...

  10. test20190814 NOIP2019 模拟题

    二叉树 [问题描述] 从前有一棵二叉树,我们用如下方式来表示这棵二叉树. 如果一个节点没有儿子,我们用"0"来表示他. 如果一个节点有一个儿子,我们对它的表示以"1&qu ...