进程遍历-WTSEnumerateProcesses枚举

于 2024-06-07 12:29:36 发布
阅读量580 收藏 18
点赞数 16
分类专栏: windows 文章标签: windows 进程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hide_in_darkness/article/details/139523788
版权

文章目录

进程遍历-WTSEnumerateProcesses枚举

1. 相关函数及结构体

1.1 WTSEnumerateProcesses

​ 检索有关指定远程桌面会话主机 (RD 会话主机) 服务器上的活动进程的信息

BOOL WTSEnumerateProcessesA(
  [in]  HANDLE             hServer,
  [in]  DWORD              Reserved,
  [in]  DWORD              Version,
  [out] PWTS_PROCESS_INFOA *ppProcessInfo,
  [out] DWORD              *pCount
);

​ hServer RD 会话主机服务器的句柄。 指定由 WTSOpenServer 函数打开的句柄,或指定 WTS_CURRENT_SERVER_HANDLE 以指示运行应用程序的 RD 会话主机服务器

​ Reserved 必须为零

​ Version 指定枚举请求的版本,必须为 1。

​ ppProcessInfo 接收指向 WTS_PROCESS_INFO 结构的数组的指针。 数组中的每个结构都包含有关指定 RD 会话主机服务器上的活动进程的信息

​ pCount 接收 ppProcessInfo 缓冲区中返回的WTS_PROCESS_INFO结构的数目

1.2 WTS_PROCESS_INFOA

​ 包含有关远程桌面会话主机 (RD 会话主机) 服务器上运行的进程的信息

typedef struct _WTS_PROCESS_INFOA {
  DWORD SessionId;
  DWORD ProcessId;
  LPSTR pProcessName;
  PSID  pUserSid;
} WTS_PROCESS_INFOA, *PWTS_PROCESS_INFOA;

​ SessionId 与进程关联的会话的远程桌面服务会话标识符

​ ProcessId 唯一标识 RD 会话主机服务器上的进程的进程标识符

​ pProcessName 指向以 null 结尾的字符串的指针,其中包含与进程关联的可执行文件的名称

​ pUserSid 指向进程的主要访问令牌中的用户 安全标识符 的指针

2. 遍历进程

2.1 遍历进程思路分析

  1. 通过WTSEnumerateProcessesW 直接遍历相关信息
  2. 处理进程信息结构体

2.2 遍历进程具体实现

#include <windows.h>
#include <wtsapi32.h>
#include <stdio.h>
#include <locale.h>
#pragma comment(lib, "Wtsapi32.lib")

int main(int argc, char* argv[]) {
	setlocale(LC_ALL, "zh_CN.UTF-8");
	PWTS_PROCESS_INFOW processInfo;
	DWORD pCount;
	WTSEnumerateProcessesW(WTS_CURRENT_SERVER_HANDLE, 0, 1, &processInfo, &pCount);

	for (int index = 0; index < pCount; index++) {
		printf_s("%ws\n", processInfo[index].pProcessName);
	}

	WTSFreeMemory(processInfo);
	return 1;
}

在这里插入图片描述

关注我们,咱们在安全的路上,扬帆起航

在这里插入图片描述

参考文献

[1] https://learn.microsoft.com/zh-cn/windows/win32/api/wtsapi32/nf-wtsapi32-wtsenumerateprocessesa?redirectedfrom=MSDN

[2] https://learn.microsoft.com/zh-cn/windows/win32/api/wtsapi32/ns-wtsapi32-wts_process_infoa

hide_in_darkness
关注
  • 16
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用WTSEnumerateProcesses枚举进程--Ring3枚举进程
KOOKNUT的博客
05-09 1120
接下来介绍的这种枚举当前系统进程的方法是通过wtsapi32.dll提供的API来实现。主要用到了以下两个函数: WTSOpenServerA WTSEnumerateProcessesA 我们来简单介绍一下这两个函数: /*************************************** *WTSOpenServer函数打开指定终端服务器的句柄 *pServerName:指向终端服务器的NetBIOS名称的指针。 **************************************
C++ 进程遍历(最简单)
墨鱼菜鸡
07-30 186
方法一: HANDLE hProcessSnap= CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); PROCESSENTRY32 process = {sizeof(PRO...
通过WTSEnumerateProcesses获取进程列表
10-26
通过WTSEnumerateProcesses获取进程列表源代码。 包含一个dpr项目,一个源代码文件。
Window API 第五篇 WTSEnumerateProcesses
10-08 352
这个函数可用来枚举系统进程,先来看定义: BOOL WTSEnumerateProcesses( _In_HANDLE hServer, _In_DWORD Reserved, _In_DWORD Version, _Out_PWTS_PROCESS_INFO *ppProces...
利用WTSEnumerateProcesses枚举进程
05-25 2400
const  wtsapi=Wtsapi32.dll; WTS_CURRENT_SERVER_HANDLE=0;//定义数据结构type _WTS_PROCESS_INFO =record    //进程信息  SessionId:DWORD ;  ProcessId:DWORD ;  pProcessName:LPTSTR ;  pUserSid:PSID;end; WTS_PROC
WTSEnumerateProcesses WTSFreeMemory函数在win7\vista下内存泄漏的问题
12-24 1304
最近头都搞大了,不管什么内存泄漏工具都检查不出来程序有问题。后来决定自己动手测试,找到的严重问题如下: 在win7、vista及以上系统中,调用WTSEnumerateProcesses函数后,使用传统的WTSFreeMemory来释放内存无用,此函数在WINXP以上系统中屁用都没有!! 后来在MDSN在线查找相关函数,发现了WTSFreeMemoryEx,使用此函数来释放内存就OK!
遍历进程
折翼飞翔
08-27 1070
procedure GetCurrentApps; { 返回当前运行的进程的可执行文件名称列表 } var ContinueLoop: BOOL; SnapshotHandle: THandle; ProcessEntry32: TProcessEntry32; hProcess: THandle; Buffer: array [0 .. MAX_PATH
枚举系统中正在运行的进程
02-06
`WTSQuerySessionInformation`和`WTSEnumerateProcesses`函数可以帮助我们在远程会话中枚举进程。特别是当需要处理多用户环境下的进程管理时,`wtsapi32.dll`的API显得尤为重要。 最后,`ntdll.dll`是Windows操作...
枚举系统进程的学习
走出憧憬的专栏
01-31 2766
    昨天在对Windows服务学习的时候突然想到编写一个在一段时间间隔后对系统进程进行列举,从而可以根据查看输出内容判断系统是否出现了异常,但以回忆自己以前对进程的学习都忘完了,只好又从新在网上搜查一番,看看各位的高招。然后为了不在犯同样的错误,把它记录下来吧。恩,只要CSDN一天还在,这些东西应该是会在的吧。 还真别说,在网上一搜的话,各位大侠的文章确实写得很好,本来我觉得他们的水平
Ring3枚举进程
VSavitar的博客
03-24 445
在Ring3枚举进程通常有一下几种方法:ToolHelper32PsapiZwQuerySystemInformationWTSEnumerateProcesses一、ToolHelper32头文件:TlHelp32.h关键函数:CreateToolhelp32Snapshot,Process32NextBOOL EnumProcessesByToolHelper32(){    PROCESSE...
vc获取进程名和PID的程序源码
03-13
关键函数 CreateToolhelp32Snapshot Process32First Process32Next
【游戏逆向】常见锁定目标进程的方法分享
douluo998的博客
04-09 1321
当我们分析完游戏逻辑,收集了足够的游戏数据之后就可以动手开发一款专属于自己的辅助工具。而开发辅助的第一步就是先找到游戏进程,锁定游戏进程之后接下来才能在考虑辅助功能的实现是选择改数据、改代码还是CALL函数。锁定目标进程从实现上来讲可以分为三类:1、根据进程名或进程路径锁定目标进程;2、根据窗口名锁定目标进程;3、无脑全系统注入所有进程,在进程内在判断是否为目标进程。所谓根据进程名锁定目标进程说的直白一些就是先枚举系统进程得到当前系统中运行的所有进程信息,然后对比进程名称或者进程路径来判断是不是目标进程
四种方法实现VC枚举系统当前进程
weixin_33912445的博客
08-30 288
    在Windows 2000以上的MS操作系统,通过Windows的任务管理器可以列出当前系统的所有活动进程(如图1所示),在Windows XP中,更是在控制台下增加了一条Tasklist命令,让系统下的所有进程无所遁行(如图2所示)。这一切是怎么实现的呢?  图 1  图 2 引用侯捷大师在《深入浅出MFC》的一句话,“知其然而不知其所以然,真不是个好办法”。既然如此,我们干脆自己...
WTS APIs(Windows终端服务API)获取进程信息
尘埃落定
08-27 4465
WTS APIs(Windows终端服务API)获取进程信息  Windows XP 有一个新特性叫做“快速用户转换——Fast UserSwitching”,这个特性允许多个用户同时在一台机器上登陆。当一个用户登陆后,另一个用户启动的进程仍然能够运行。这个神奇的特性所倚仗的是WTS APIs。如果你想了解更多有关 WTS 的内容,可以参考 MSJ Oct99 的一篇文章:“Windo
Ring 3层枚举进程的四种方法
weixin_33858485的博客
01-08 246
1.CreateToolhelp32Snapshot()。这一种是比较常见的,利用进程快照进行枚举进程,主要利用CreateToolhelp32Snapshot()、Process32First()和Process32Next()三个函数。下面直接上代码: // CreateToolhelp32Snapshot.cpp : 定义控制台应用程序的入口点。 // #include "std...
C# 获取进程信息并进行进程的终止
Super毛毛虫的博客
02-26 7878
1.获得进程列表(包括进程用户名) /// &lt;summary&gt; /// 获得进程列表 /// &lt;/summary&gt; public List&lt;ProcessesInfo&gt; GetProcessesInfo(out string ErrorMessage) { List&lt;ProcessesInfo&gt; pIn...
#include <windows.h> #include <QString> #include <QMessageBox> int main(int argc, char *argv[]) { HANDLE mutex = ::CreateMutex(Q_NULLPTR, true, (LPCWSTR)qApp->applicationName().toStdWString().c_str()); if (GetLastError() == ERROR_ALREADY_EXISTS) { QMessageBox waringBox(QMessageBox::Warning, QStringLiteral("警告"), QStringLiteral("当前程序已运行,不能再次运行!")); waringBox.setButtonText(QMessageBox::Ok, QStringLiteral("确定")); waringBox.setStandardButtons(QMessageBox::Ok); waringBox.exec(); ::CloseHandle(mutex); return 0; } // 获取当前登录用户的会话ID DWORD sessionId; ProcessIdToSessionId(GetCurrentProcessId(), &sessionId); // 遍历所有用户会话,关闭其他用户会话中的该程序进程 DWORD sessionCount; if (ProcessIdToSessionId(GetCurrentProcessId(), &sessionId) && WTSQuerySessionInformationW(WTS_CURRENT_SERVER_HANDLE, WTS_CURRENT_SESSION, WTS_INFO_CLASS::WTS_SESSION, (LPWSTR*)&sessionCount, &sessionId)) { WTS_SESSION_INFO* pSessionInfo = NULL; if (WTSEnumerateSessions(WTS_CURRENT_SERVER_HANDLE, 0, 1, &pSessionInfo, &sessionCount)) { for (DWORD i = 0; i < sessionCount; i++) { DWORD processCount; if (WTSEnumerateProcesses(pSessionInfo[i].hServer, pSessionInfo[i].SessionId, 1, (PWTS_PROCESS_INFO*)&processCount)) { WTS_PROCESS_INFO* pProcessInfo = NULL; if (WTSEnumerateProcesses(pSessionInfo[i].hServer, pSessionInfo[i].SessionId, 1, &pProcessInfo, &processCount)) { for (DWORD j = 0; j < processCount; j++) { if (pProcessInfo[j].SessionId != sessionId && wcsstr(pProcessInfo[j].pProcessName, qApp->applicationName().toStdWString().c_str())) { HANDLE hProcess = ::OpenProcess(PROCESS_TERMINATE, FALSE, pProcessInfo[j].ProcessId); if (hProcess) { ::TerminateProcess(hProcess, 0); ::CloseHandle(hProcess); } } } ::WTSFreeMemory(pProcessInfo); } } } ::WTSFreeMemory(pSessionInfo); } } // 正常执行程序 QApplication a(argc, argv); MainWindow w; w.show(); return a.exec(); } 上面代码会报出 error: 'WTS_CURRENT_SERVER_HANDLE' was not declared in this scope错误,请修复后给我完整代码
最新发布
05-30
好的,根据您提供的代码,我发现需要添加一个头文件 `wtsapi32.h` 来解决该错误。修改后的完整代码如下: ``` #include <windows.h> #include <wtsapi32.h> #include <QString> #include <QMessageBox> int main(int argc, char *argv[]) { HANDLE mutex = ::CreateMutex(Q_NULLPTR, true, (LPCWSTR)qApp->applicationName().toStdWString().c_str()); if (GetLastError() == ERROR_ALREADY_EXISTS) { QMessageBox waringBox(QMessageBox::Warning, QStringLiteral("警告"), QStringLiteral("当前程序已运行,不能再次运行!")); waringBox.setButtonText(QMessageBox::Ok, QStringLiteral("确定")); waringBox.setStandardButtons(QMessageBox::Ok); waringBox.exec(); ::CloseHandle(mutex); return 0; } // 获取当前登录用户的会话ID DWORD sessionId; ProcessIdToSessionId(GetCurrentProcessId(), &sessionId); // 遍历所有用户会话,关闭其他用户会话中的该程序进程 DWORD sessionCount; if (ProcessIdToSessionId(GetCurrentProcessId(), &sessionId) && WTSQuerySessionInformationW(WTS_CURRENT_SERVER_HANDLE, WTS_CURRENT_SESSION, WTS_INFO_CLASS::WTS_SESSION, (LPWSTR*)&sessionCount, &sessionId)) { WTS_SESSION_INFO* pSessionInfo = NULL; if (WTSEnumerateSessions(WTS_CURRENT_SERVER_HANDLE, 0, 1, &pSessionInfo, &sessionCount)) { for (DWORD i = 0; i < sessionCount; i++) { DWORD processCount; if (WTSEnumerateProcesses(pSessionInfo[i].hServer, pSessionInfo[i].SessionId, 1, (PWTS_PROCESS_INFO*)&processCount)) { WTS_PROCESS_INFO* pProcessInfo = NULL; if (WTSEnumerateProcesses(pSessionInfo[i].hServer, pSessionInfo[i].SessionId, 1, &pProcessInfo, &processCount)) { for (DWORD j = 0; j < processCount; j++) { if (pProcessInfo[j].SessionId != sessionId && wcsstr(pProcessInfo[j].pProcessName, qApp->applicationName().toStdWString().c_str())) { HANDLE hProcess = ::OpenProcess(PROCESS_TERMINATE, FALSE, pProcessInfo[j].ProcessId); if (hProcess) { ::TerminateProcess(hProcess, 0); ::CloseHandle(hProcess); } } } ::WTSFreeMemory(pProcessInfo); } } } ::WTSFreeMemory(pSessionInfo); } } // 正常执行程序 QApplication a(argc, argv); MainWindow w; w.show(); return a.exec(); } ``` 需要注意的是,添加了 `wtsapi32.h` 的头文件之后,编译时需要链接该库文件 `wtsapi32.lib`,否则会出现 `LNK2019` 错误。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值