本地机系统端口查看程序

本文作者：WY.lslrt 文章出处：未知 文章性质：原创 阅读次数：105 发布日期：2005-07-31

技术要点： 1。通过NTQuerySystemInforamtion函数获得系统所有句柄，来获得SOCKET句柄。 2．通过CreateToolhelp32Snapshot函数获得系统进程快照，获得进程详细信息。 实现细节1 NTQuerySystemInformation(DWORD,PDWORD,DWORD,PDWORD)是Windows未公开的API函数，它包含四个参数第一个参数指定了我们所查询的系统信息类型，它能够查询56种系统信息，为了查询系统HANDLE列表，我们定义一个常量 #define NT_HANDLE_LIST　　　　16（这个数值我是查资料得到的）； 第二个参数是一个指针，这个指针用来返回系统句柄列表，在调用NtQuerySystemInformation函数之前，必须为这个指针分配足够的内存空间，否则函数调用会出错； 第三个参数是指定你为系统句柄列表所分配的内存空间大小，单位是byte； 第四个参数是NtQuerySystemInformation返回的系统句柄列表的大小； 一旦NtQuerySystemInformation函数调用成功，系统中所有的句柄将被存放在第二个参数所指向内存空间中，其中，第二个参数所指向的第一个32位数，是这个buf所包含的句柄数量，之后是顺序排列的句柄指针pHandleInfo，指向的是_HANDLEINFO结构： typedef struct _HandleInfo { 　　　 USHORT dwPid; 　　　 USHORT CreatorBackTraceIndex; 　　　 BYTE　 ObjType; 　　　 BYTE　 HandleAttributes; 　　　 USHORT HndlOffset; 　　　 DWORD　dwKeObject; 　　　 ULONG　GrantedAccess; }HandleInfo, *pHandleInfo; 句柄信息中包括了句柄所属进程的PID，这样就可以关联进程和SOCKET了，SOCKET句柄的类型值为0x1A(26)，所以，将所有类型为0x1A的句柄取出 方法:SOCKET s = (SOCKET)handle; 进行getsockname操作就可以得到当前的进程/端口对应列表，实际上并不然，得到的句柄都属于其他的进程，在NT中根据进程保护的原则，一个进程没有办法直接得到其他进程的各种信息，特别是句柄，不同进程中的同一句柄(句柄的数值相同)根本就不是同样的东西，因此，还必须进行一次转换，将其他进程的句柄转换为本进程的句柄，这个转换工作只要简单地调用DuplicateHandle函数就可以完成了： DuplicateHandle(HANDLE,HANDLE,HANDLE,LPHANDLE,DWORD,BOOL,DWORD); 之后就可以通过getsockname、getsockopt等函数来获得SOCKET的各种属性了. 至此，进程和端口关联的工作已经基本完成，可是，还有一些不足的地方，因为权限问题所以不能够查看系统进程 附代码： void GetSocketHandle(){     HANDLE hCurrentProcess = GetCurrentProcess();     HANDLE hToken;     /*获得当前进程级别句柄*/     if(!::OpenProcessToken(hCurrentProcess,TOKEN_QUERY|TOKEN_ADJUST_PRIVILEGES,&hToken)){         MessageBox("Open Process Token Failed!","ERROR",0);         return FALSE;     }     if(!RaisePrivileges(hToken,SE_DEBUG_NAME)){//提升进程级别         MessageBox("Raise Process Failed!","ERROR");         return FALSE;     }     if(hToken) CloseHandle(hToken); //     PDWORD pdwHandleList = (PDWORD)malloc(MAX_HANDLE_LIST_BUF);//临时缓冲区     if(!pdwHandleList){         MessageBox("No Enough Memory for Handle List!","ERROR");         return FALSE;     }     DWORD dwNumBytesRet = 0;     //获得系统所有句柄     if(NtQuerySystemInformation(NT_HANDLE_LIST,pdwHandleList,MAX_HANDLE_LIST_BUF,&dwNumBytesRet)){         MessageBox("NtQuerySystemInformation Return Error!","ERROR");         return FALSE;     } //        DWORD dwNumEntries;//句柄数          HANDLE hProc;     pHandleInfo pHandle;     dwNumEntries = pdwHandleList[0];//缓冲区的第一项为句柄数               pHandle = (pHandleInfo)(pdwHandleList+1);      /枚举句柄获得相应信息            //获得各个进程的信息     for(DWORD i=0;i<dwNumEntries;i++){//1                                  if((pHandle->objType == OBJECT_TYPE_SOCKET) && (pHandle->dwPid) ){//2//判断是否为                     //SOCKET类型                     //OBJECT_TYPE_SOCKET 是定义的常量值为0x1a                 if(pHandle->dwPid == m_nMyPID){//如果是本进程跳过                                                                                            //获得进程的句柄                 hProc = OpenProcess(WRITE_DAC,FALSE,pHandle->dwPid);                 if(hProc){//3                     AdjustDacl(hProc);//调整目标句柄的访问控制属性                     CloseHandle(hProc);                 }//3                 else{//4                     break;                     }//4                 HANDLE hMyHandle = NULL;                 hProc = OpenProcess(PROCESS_DUP_HANDLE,TRUE,pHandle->dwPid);                                  if(hProc){//5                     //将获得进程句柄复制到本进程句柄                     DuplicateHandle(hProc,(HANDLE)pHandle->HandOffset,hCurrentProcess,                         &hMyHandle,STANDARD_RIGHTS_REQUIRED,TRUE,0);                     if(hMyHandle != NULL){//6                         SocketInfo(hMyHandle,pHandle);//获得SOCKET信息                     }//6                     CloseHandle(hMyHandle);                 }//5                 //CloseHandle(hProc);                 }             }//2                               pHandle++;                                          }//1              if(pdwHandleList){         free(pdwHandleList);     }     if(hCurrentProcess){         CloseHandle(hCurrentProcess);     }          return TRUE; } void SocketInfo(HANDLE RequireHandle,pHandleInfo pHandleBuf) {     sockaddr_in name = ;     name.sin_family = AF_INET;     int namelen = sizeof(sockaddr_in);     SOCKET s = (SOCKET)RequireHandle;                         //获得SOCKET进程的详细消息，由Process ID通过系统快照找到Process的详细信息                         //系统快照可以在kernel32.dll里调用，此功能稍后补加     if(getsockname(s,(sockaddr*)&name,&namelen) != SOCKET_ERROR){//7         TargetHandle[++THIndex].m_hHandle = *pHandleBuf;         TargetHandle[THIndex].m_addr = name;         TargetHandle[THIndex].sockettype = 4;         int optlen = 4;         getsockopt(s,SOL_SOCKET,SO_TYPE,(char*)&TargetHandle[THIndex].sockettype,&optlen);              }//7     else CloseHandle(RequireHandle); }     void AdjustDacl(HANDLE hProcess)//调整目标进程的DACL，数据结构，函数定义参考AclAPI.h {     SID world = ;     LPTSTR ptstrName = (LPTSTR)&world;     EXPLICIT_ACCESS ea={//进程访问控制信息         STANDARD_RIGHTS_ALL|SPECIFIC_RIGHTS_ALL,         SET_ACCESS,         NO_INHERITANCE,         {             0,NO_MULTIPLE_TRUSTEE,             TRUSTEE_IS_SID,             TRUSTEE_IS_USER,             ptstrName         }     };          ACL *pdacl = 0;     if(SetEntriesInAcl(1,&ea,0,&pdacl)!=ERROR_SUCCESS){         MessageBox("SetEntriesInAcl Failed!","ERROR");         return;     }     if(SetSecurityInfo(hProcess,SE_KERNEL_OBJECT,DACL_SECURITY_INFORMATION,0,0,pdacl,0)){         MessageBox("SetSecurity Failed!","ERROR");     }     LocalFree(pdacl); } BOOL CLocalscanDlg::RaisePrivileges(HANDLE hToken,char *pPriv)//提升自己的进程级别 {     TOKEN_PRIVILEGES tkp;     if(!::LookupPrivilegeValue(NULL,pPriv,&tkp.Privileges[0].Luid)){//获得当前级别         MessageBox("Look Up PrivilegeValue Failed!","NULL");         return FALSE;     }//修改进程级别     tkp.PrivilegeCount = 1;     tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;     if(!::AdjustTokenPrivileges(hToken,FALSE,&tkp,0,NULL,NULL)){//调整进程级别         MessageBox("Adjust Privileges Failed!","ERROR");         return FALSE;     }     return TRUE; } 2. 从第一步已经可以获得打开的窗口和及占用端口进程的PID,可以通过Kernel32.dll中的CreateToolhelp32Snapshot（DWORD dwFlags，DWORD th32ProcessID)来获得系统中进程快照，进一步获得详细信息(需包含头文件tlhelp32.h) 第一个参数是系统快照的类型在这里选择TH32CS_SNAPPROCESS,此时第二个参数必须为NULL. 若调用成功便返回系统快照的句柄,然后通过 Process32First(HANDLE hSnapshot,LPPROCESSENTRY32 lppe)和 Process32Next(HANDLE hSnapshot,LPPROCESSENTRY32 lppe)函数获得进程的详细信息 LPPROCESSENTRY32的结构 typedef struct tagPROCESSENTRY32 {     DWORD dwSize; //此为结构大小,使用上面两函数前必须先赋值sizeof(PROCESSENTRY32)     DWORD cntUsage;     DWORD th32ProcessID; //进程PID     DWORD th32DefaultHeapID;     DWORD th32ModuleID;     DWORD cntThreads; //线程数     DWORD th32ParentProcessID;     LONG  pcPriClassBase;     DWORD dwFlags;     char szExeFile[MAX_PATH]; //进程名 } PROCESSENTRY32; typedef PROCESSENTRY32 *  PPROCESSENTRY32; typedef PROCESSENTRY32 *  LPPROCESSENTRY32; 附代码: BOOL GetSocketProcInfo() {     int           i;     HANDLE        hSnapShot;     PROCESSENTRY32 lppe;     hSnapShot = ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);//获得系统快照          lppe.dwSize = sizeof(lppe);//赋值     int ret = ::Process32First(hSnapShot,&lppe);     if(ret){         do {             for(i=0;i<=THIndex;i++){                 if(TargetHandle[ i ].m_hHandle.dwPid == lppe.th32ProcessID){                                              strcpy(TargetHandle[ i ].m_hProcList.ExeName,lppe.szExeFile);                         TargetHandle[ i ].m_hProcList.cntThreads = lppe.cntThreads;                                      }             }         }while(::Process32Next(hSnapShot,&lppe));     }     CloseHandle(hSnapShot);          return TRUE; } 不足: 因为刷新时不断将目标进程的句柄复制所以会造成系统句柄增多.会占用系统内存,和将事先给结构分配给的内存用完,会导致NTQuerySystemInformation函数错误 解决:     建立PID链表，将PID记录下来，对出现的PID赋于不同的属性BOOL isNew，来防止重复复制。