获取所有进程的用户名(包括NETWORK SERVICE和LOCAL SERVICE)

最新推荐文章于 2024-06-01 14:17:39 发布
最新推荐文章于 2024-06-01 14:17:39 发布
阅读量3.3k 收藏 2
点赞数
文章标签: service network integer winapi system null

以下代码实现获取某个进程所属的用户名,比如RavMonD.exe的进程PID是1300,那么修改这条语句就OK
GetProcessUser(1300,&bs);它的获取结果是:SYSTEM。
-----------------------------------------------------
#include <windows.h>
#include <iostream.h>
#include <COMDEF.H>
#include <stdio.h>

typedef struct _UNICODE_STRING {
         USHORT Length;        
         USHORT MaximumLength;
         PWSTR   Buffer;
} UNICODE_STRING, *PUNICODE_STRING;

//SystemProcessInformation
typedef struct _SYSTEM_PROCESS_INFORMATION
{
         DWORD             dwNextEntryOffset;
         DWORD             dwNumberOfThreads;
         LARGE_INTEGER     qSpareLi1;
         LARGE_INTEGER     qSpareLi2;
         LARGE_INTEGER     qSpareLi3;
         LARGE_INTEGER     qCreateTime;
         LARGE_INTEGER     qUserTime;
         LARGE_INTEGER     qKernelTime;
         UNICODE_STRING     ImageName;
         int                 nBasePriority;
         DWORD             dwProcessId;
         DWORD             dwInheritedFromUniqueProcessId;
         DWORD             dwHandleCount;
         DWORD             dwSessionId;
         ULONG             dwSpareUl3;
         SIZE_T             tPeakVirtualSize;
         SIZE_T             tVirtualSize;
         DWORD             dwPageFaultCount;
         DWORD             dwPeakWorkingSetSize;
         DWORD             dwWorkingSetSize;
         SIZE_T             tQuotaPeakPagedPoolUsage;
         SIZE_T             tQuotaPagedPoolUsage;
         SIZE_T             tQuotaPeakNonPagedPoolUsage;
         SIZE_T             tQuotaNonPagedPoolUsage;
         SIZE_T             tPagefileUsage;
         SIZE_T             tPeakPagefileUsage;
         SIZE_T             tPrivatePageCount;
         LARGE_INTEGER     qReadOperationCount;
         LARGE_INTEGER     qWriteOperationCount;
         LARGE_INTEGER     qOtherOperationCount;
         LARGE_INTEGER     qReadTransferCount;
         LARGE_INTEGER     qWriteTransferCount;
         LARGE_INTEGER     qOtherTransferCount;
}SYSTEM_PROCESS_INFORMATION;


/*----------------------------------------------------
       函数说明: 动态加载动库文件
           输入参数: pDllName 库文件名称,pProcName导出函数名字
           输出参数: 无
           返回值   : 返回函数的的地址
----------------------------------------------------*/
VOID *GetDllProc(CHAR * pDllName, CHAR *pProcName)
{
     HMODULE         hMod;
     hMod = LoadLibraryA(pDllName);
     if(hMod == NULL)
         return NULL;
        
     return GetProcAddress(hMod, pProcName);
}

//宏定义函数的指针
typedef LONG (WINAPI *Fun_NtQuerySystemInformation) (int   SystemInformationClass, 
                                                                                             OUT PVOID SystemInformation, 
                                                                                             IN ULONG SystemInformationLength, 
                                                                                             OUT ULONG * pReturnLength OPTIONAL);

typedef BYTE (WINAPI *Fun_WinStationGetProcessSid)(HANDLE hServer,DWORD   ProcessId ,

FILETIME   ProcessStartTime, PBYTE pProcessUserSid ,  PDWORD dwSidSize);

typedef VOID (WINAPI *Fun_CachedGetUserFromSid)( PSID pSid , PWCHAR pUserName,PULONG cbUserName);

#define STATUS_INFO_LENGTH_MISMATCH         ((LONG)0xC0000004L)

#define SystemProcessInformation         5


/*------------------------------------------------------------------
     函数说明: 获取系统进程的信息
         输入参数: SYSTEM_PROCESS_INFORMATION
         输出参数: 无

--------------------------------------------------------------------*/
BOOL GetSysProcInfo(SYSTEM_PROCESS_INFORMATION ** ppSysProcInfo)
{
     Fun_NtQuerySystemInformation     _NtQuerySystemInformation;
     _NtQuerySystemInformation = (Fun_NtQuerySystemInformation)::GetDllProc("NTDLL.DLL", "NtQuerySystemInformation");
     if(_NtQuerySystemInformation == NULL)
         return FALSE;
        
     DWORD         dwSize = 1024*1024;
     VOID         * pBuf = NULL;
     LONG         lRetVal;
        
     for(;;)
     {
         if(pBuf)
             free(pBuf);
         pBuf = (VOID *)malloc(dwSize);
         lRetVal = _NtQuerySystemInformation(SystemProcessInformation,
             pBuf, dwSize, NULL);
         if(STATUS_INFO_LENGTH_MISMATCH != lRetVal)
             break;
         dwSize *= 2;
     }
        
     if(lRetVal == 0)
     {
         *ppSysProcInfo = (SYSTEM_PROCESS_INFORMATION *)pBuf;
         return TRUE;
     }
     free(pBuf);
     return FALSE;
}



BOOL GetProcessUser(DWORD dwPid, _bstr_t *pbStrUser)
{         Fun_WinStationGetProcessSid         _WinStationGetProcessSid;
     Fun_CachedGetUserFromSid         _CachedGetUserFromSid;
        
     _WinStationGetProcessSid = (Fun_WinStationGetProcessSid)
         GetDllProc("Winsta.dll", "WinStationGetProcessSid");
     _CachedGetUserFromSid = (Fun_CachedGetUserFromSid)
         GetDllProc("utildll.dll", "CachedGetUserFromSid");
        
     if(_WinStationGetProcessSid == NULL || _CachedGetUserFromSid == NULL)
         return FALSE;
        
     BYTE         cRetVal;
     FILETIME     ftStartTime;
     DWORD         dwSize;
     BYTE         * pSid;
     BOOL         bRetVal, bFind;
     SYSTEM_PROCESS_INFORMATION     *     pProcInfo, * pCurProcInfo;
        
     bRetVal = GetSysProcInfo(&pProcInfo);
     if(bRetVal == FALSE || pProcInfo == NULL)
         return FALSE;
        
     bFind = FALSE;
     pCurProcInfo = pProcInfo;
     for(;;)
     {
         if(pCurProcInfo->dwProcessId == dwPid)
         {
             memcpy(&ftStartTime, &pCurProcInfo->qCreateTime, sizeof(ftStartTime));
             bFind = TRUE;
             break;
         }
                
         if(pCurProcInfo->dwNextEntryOffset == 0)
             break;
         pCurProcInfo = (SYSTEM_PROCESS_INFORMATION *)((BYTE *)pCurProcInfo +
             pCurProcInfo->dwNextEntryOffset);
     }
     if(bFind == FALSE)
     {
         free(pProcInfo);
         return FALSE;
     }
        
     cRetVal = _WinStationGetProcessSid(NULL, dwPid, ftStartTime, NULL, &dwSize);
     if(cRetVal != 0)
         return FALSE;
        
     pSid = new BYTE[dwSize];
     cRetVal = _WinStationGetProcessSid(NULL, dwPid, ftStartTime, pSid, &dwSize);
     if(cRetVal == 0)
     {
         delete [] pSid;
         return FALSE;
     }
        
     WCHAR   szUserName[1024];
     dwSize = 1024;
     _CachedGetUserFromSid(pSid, szUserName, &dwSize);
     delete [] pSid;
     if(dwSize == 0)
         return FALSE;
        
     *pbStrUser = szUserName;
     return TRUE;
}

int main()
{
        
         char ch[256] = {0};
         _bstr_t bs;
        
         memcpy(&bs,ch,sizeof(bs));
        
         GetProcessUser(1300,&bs); //第一个参数写的是你的进程ID

         printf(bs);
         printf("/n");
         return 0;
}

oldmtn
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
根据进程ID获取进程用户名
07-06
根据进程ID号,获取进程用户名包括系统用户名,系统登录这用户名LOCALSERVICE NETWORKSERVICE 都可以获取
获取进程用户名
01-08
VB利用API函数获取进程用户名。感兴趣的朋友可以交流
C# 查看所有进程,并关闭进程操作
最新发布
zd8766zd的博客
06-01 335
C# 使用Process类查看进程并操作进程
通过进程id获取用户名
pureman_mega的博客
12-24 910
可以看到,User name这一栏里面,有NT AUTHORITY\SYSTEM,NT AUTHORITY\LOCAL SERVICE,HKS\1909等。不同的用户名拥有不同的权限。下面的代码获取用户名与ProcessHacker的结果有一点不同。在一个样本中看到的:通过进程id获取对应的用户名,来确定需要注入的目标进程。实际结果中SYSTEM对应的是HKS$(HKS是设备名称,后面跟着'$‘,来表示SYSTEM);其他的LOCAL SERVICE,1909是一样的。
获取进程所属用户名
IT男也疯狂
09-02 4285
引用库 #include #pragma comment( lib, "Wtsapi32.lib" ) 直接给出遍历函数 void EnumProcessUserName(){ DWORD dwCount = 0; PWTS_PROCESS_INFO pi = { 0 }; int i = 0; DWORD dwSize = 0; char
powershell脚本:获取svchost进程列表,过滤出用户名非“Local Service”,"NETWORK SERVICE","SYSTEM"的PID
05-20
以下是获取svchost进程...该脚本使用`Get-Process`命令获取所有svchost进程,并使用`Where-Object`过滤出用户名非“Local Service”,"NETWORK SERVICE","SYSTEM"的进程。最后,`Select-Object`命令选择PID属性并输出。
使用 Get-WmiObject 命令列出所有用户名非"local service","system","network service" 的svchost进程列表。
05-20
可以使用以下命令来列出所有用户名非"local service",...然后使用 Where-Object 过滤出用户名不是 "local service","system","network service" 的实例,并使用 Select-Object 选择进程名、进程 ID 和所有者用户名
任务管理器-----获取进程对应的用户名
oldmtn的专栏
02-18 6629
LPCTSTR GetProcessUserName(DWORD dwID)     // 进程ID { HANDLE hProcess=OpenProcess(PROCESS_QUERY_INFORMATION,FALSE,dwID); if( hProcess==NULL ) return NULL; HANDLE hToken    =NULL; BOOL bResult    =FALSE; DWORD dwSize    =0; static TCHAR szUserName[256]={0};
【API】获取所有进程用户名
weixin_34343689的博客
02-01 484
#include <WtsApi32.h> #pragma comment(lib,"WtsApi32.lib") SID_NAME_USE sUse; WTS_PROCESS_INFO *pProInfo,*pTemp; DWORD dwRes; DWORD dwSize = MAX_PATH; WCH...
获取进程用户
chenhui530的专栏
12-10 3120
网上有个代码可以获取进程用户,但是当用户为 非System和Admin用户的时候没发获取进程用户。跟踪程序最后发现关键在Sid上后面查了相关API查了很久才发现WTSEnumerateProcesses可以获取,效率不是很高,希望能找到更好的获取进程sid的函数。 Private Type WTS_PROCESS_INFO   SessionID As Long   ProcessID
C# 获取系统进程用户名
12-31
需要添加对 System.Management.dll 的引用 代码如下:using System.Diagnostics; using System.Management;static void Main(string[] args) { foreach (Process p in Process.GetProcesses()) { Console.Write(p.ProcessName); Console.Write(“—-“); Console.WriteLine(GetProcessUserName(p.Id)); } Console.ReadKey(); }private stat
【PB代码】获取Windows当前用户权限下所有正在运行程序
09-16
PB 11.5做的当前用户权限下所有正在运行程序,主要代码: Function Long EnumProcesses(Ref ULong lpidProcess[], Long cb, Ref Long cbNeeded) Library 'psapi.dll ' Function Long OpenProcess(Long dwDesiredAccess, Int bInheritHandle, Long dwProcessId) Library 'kernel32.dll ' Function Long GetModuleFileNameEx(Long hProcess, Long hModule, Ref String ModuleName, Long nSize) Library 'psapi.dll ' Alias For "GetModuleFileNameExA;ansi" Function Long EnumProcessModules(Long hProcess, Ref ULong lphModule[], Long cb, Ref Long cbNeeded) Library 'psapi.dll ' Function Long GetModuleBaseName(Long hProcess, Long hModule, Ref String lpBaseName, Long nSize) Library 'psapi.dll ' Alias For "GetModuleBaseNameA;ansi" Function Long CloseHandle(Long Handle) Library 'kernel32.dll ' FUNCTION ulong IsWindow(ulong hwnd) LIBRARY "user32.dll " FUNCTION ulong GetWindowText(ulong hwnd,ref string lpString,ulong cch) LIBRARY "user32.dll " ALIAS FOR "GetWindowTextA;ansi"
进程的用户(所有进程)
zzz3265的专栏
11-13 3896
    typedef struct _UNICODE_STRING {        USHORT Length;                USHORT MaximumLength;         PWSTR  Buffer;    } UNICODE_STRING, *PUNICODE_STRING;    //SystemProcessInformation    typedef
c语言查看管理员用户名,任务管理器-----获取进程对应的用户名 C
weixin_35843812的博客
05-22 554
LPCTSTRGetProcessUserName(DWORDdwID)// 进程ID{HANDLEhProcess=OpenProcess(PROCESS_QUERY_INFORMATION,FALSE,dwID);if( hProcess==NULL )return NULL;HANDLEhToken=NULL;BOOL bResult=FALSE;DWORD dwSize...
WMI和API方式获取进程用户名
cqwei2013的专栏
10-27 1680
首先是WMI方式:
进程处理】2,枚举进程方法二,可获取进程用户名
逆枫 -- C++/Qt工程师、创业者
02-28 1899
1,目的 在第一篇介绍了枚举当前进程及关闭进程的方法。 这里介绍另一种方法,枚举的同时我们能获取到更多信息。比如是用户名(System或Administrator等) 2,代码 #include "stdafx.h" #include #include #pragma comment( lib, "Wtsapi32.lib" ) int main(int argc,
如何获取当前进程的执行用户名
在白天行尸走肉虚渡这不会再来的年华,天黑却开始感情丰富无病呻吟喜怒无常
05-31 1809
SelectQuery query1 = new SelectQuery("Select * from Win32_Process"); ManagementObjectSearcher search1 = new ManagementObjectSearcher(query1); string text1 = null; t
获取运行当前进程用户名
thanklife的专栏
09-18 4054
CString GetCurrProcessUser() { CString strName; DWORD dwSize = MAX_PATH; TCHAR *pszName = new TCHAR[dwSize]; if (!GetUserName(pszName, &dwSize)) { delete[] pszName; pszName = new TCHAR[dwSi
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值