使用 Winsta API 结束进程句柄

已于 2023-10-12 23:02:51 修改
阅读量155 收藏 1
点赞数 2
分类专栏: Windows 基础编程 文章标签: windows 微软 visual studio
于 2023-10-12 23:01:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_59075481/article/details/133800875
版权

最近发现对于一些进程我们使用 taskkill 并不能终止进程(不是不能而是为了安全被拦截了),而使用 tskill.exe(win10之前系统有)可以直接终止进程,不需要管理员权限打开进程就可以直接结束进程,而且速度比taskkill 快得多。

于是我们拷贝了一份并利用 IDA 逆向分析了一下它是如何运作的,发现主要调用 WinStationTerminateProcess 来终止进程,查找进程我们改用 NtQuerySystemInformation 来完成,算是一种结束进程的方法吧,TerminateProcess 也可以终止进程。这里为了用 WinStationTerminateProcess 实现,遂简单写了一下实现代码。

函数定义:

BOOLEAN (WINAPI* WinStationTerminateProcess)(
    _In_opt_ HANDLE     hServer,
    _In_ ULONG              ProcessId,
    _In_ ULONG              ExitCode
);

我们发现只要提供进程的 PID 就可以结束进程,避免了调用 OpenProcess,第一个参数指定目标工作站,如果为 NULL,表示搜索所有工作站。

完整代码:

#include <iostream>
#include <windows.h>
#include <shellscalingapi.h>

#pragma comment(lib, "Shcore.lib")

typedef HANDLE (WINAPI* MyWinStationOpenServerW)(
    _In_ PWSTR 	ServerName
);

typedef BOOLEAN (WINAPI* MyWinStationTerminateProcess)(
    _In_opt_ HANDLE 	hServer,
    _In_ ULONG 	ProcessId,
    _In_ ULONG 	ExitCode
);

DWORD WinstaEnumerateProcess(PWSTR wsTargetProcess);
BOOL WinstaEnumerateSutdownProcess(PWSTR hServer, PWSTR wsTargetProcess, ULONG ExitCode);


PVOID fpWinStationOpenServerW = NULL;
PVOID fpWinStationTerminateProcess = NULL;
HANDLE hServerSign = NULL;


#define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0)
#define STATUS_SUCCESS ((NTSTATUS) 0x00000000)
#define SystemProcessInformation    5 // 功能号
#define NTAPI    __stdcall

typedef LONG   NTSTATUS;
typedef LONG    KPRIORITY;

typedef struct _UNICODE_STRING
{
    USHORT Length;
    USHORT MaximumLength;
    PWSTR  Buffer;
} UNICODE_STRING, * PUNICODE_STRING;

typedef struct _CLIENT_ID
{
    DWORD        UniqueProcess;
    DWORD        UniqueThread;
} CLIENT_ID, * PCLIENT_ID;


typedef struct _VM_COUNTERS
{
    SIZE_T        PeakVirtualSize;
    SIZE_T        VirtualSize;
    ULONG         PageFaultCount;
    SIZE_T        PeakWorkingSetSize;
    SIZE_T        WorkingSetSize;
    SIZE_T        QuotaPeakPagedPoolUsage;
    SIZE_T        QuotaPagedPoolUsage;
    SIZE_T        QuotaPeakNonPagedPoolUsage;
    SIZE_T        QuotaNonPagedPoolUsage;
    SIZE_T        PagefileUsage;
    SIZE_T        PeakPagefileUsage;
} VM_COUNTERS;

typedef enum _THREAD_STATE
{
    StateInitialized,
    StateReady,
    StateRunning,
    StateStandby,
    StateTerminated,
    StateWait,
    StateTransition,
    StateUnknown
} THREAD_STATE;

typedef enum _KWAIT_REASON
{
    Executive,
    FreePage,
    PageIn,
    PoolAllocation,
    DelayExecution,
    Suspended,
    UserRequest,
    WrExecutive,
    WrFreePage,
    WrPageIn,
    WrPoolAllocation,
    WrDelayExecution,
    WrSuspended,
    WrUserRequest,
    WrEventPair,
    WrQueue,
    WrLpcReceive,
    WrLpcReply,
    WrVirtualMemory,
    WrPageOut,
    WrRendezvous,
    Spare2,
    Spare3,
    Spare4,
    Spare5,
    Spare6,
    WrKernel
} KWAIT_REASON;

typedef struct _SYSTEM_THREAD_INFORMATION_X64
{
    LARGE_INTEGER KernelTime;
    LARGE_INTEGER UserTime;
    LARGE_INTEGER CreateTime;
    ULONG WaitTime;
    PVOID StartAddress;
    CLIENT_ID ClientId;
    KPRIORITY Priority;
    KPRIORITY BasePriority;
    ULONG ContextSwitchCount;
    THREAD_STATE ThreadState;
    KWAIT_REASON WaitReason;
    ULONG Reserved;
} SYSTEM_THREAD_INFORMATION_X64, * PSYSTEM_THREAD_INFORMATION_X64;



typedef struct _SYSTEM_PROCESS_INFORMATION
{
    ULONG            NextEntryDelta; // 指向下一个结构体的指针
    ULONG            ThreadCount; // 本进程的总线程数
    ULONG            Reserved1[6]; // 保留
    LARGE_INTEGER    CreateTime; // 进程的创建时间
    LARGE_INTEGER    UserTime; // 在用户层的使用时间
    LARGE_INTEGER    KernelTime; // 在内核层的使用时间
    UNICODE_STRING   ProcessName; // 进程名
    KPRIORITY        BasePriority; // 
    ULONG            ProcessId; // 进程ID
    ULONG            InheritedFromProcessId;
    ULONG            HandleCount; // 进程的句柄总数
    ULONG            Reserved2[2]; // 保留
    ULONG_PTR        PageDirectoryBase;
    VM_COUNTERS      VmCounters;
    SIZE_T           PrivatePageCount;
    IO_COUNTERS      IoCounters;
    SYSTEM_THREAD_INFORMATION_X64 Threads[1]; // 子线程信息数组
}SYSTEM_PROCESS_INFORMATION, * PSYSTEM_PROCESS_INFORMATION;

typedef DWORD(WINAPI* MyNtQuerySystemInformation)(
    UINT, PVOID, DWORD, PDWORD);

PVOID fpNtQuerySystemInformation = NULL;


int wmain(int argc, wchar_t* argv[])
{
    SetProcessDpiAwareness(PROCESS_PER_MONITOR_DPI_AWARE);

    if (argc != 2)
    {
        return MessageBoxW(NULL,
            L"参数错误",
            L"应用程序错误",
            MB_OK | MB_APPLMODAL | MB_ICONERROR);
    }
    WCHAR* wsTargetProcessName = argv[1];
    PWSTR hServer = new WCHAR[45];

    HMODULE hWinsta = LoadLibraryW(L"winsta.dll");
    if (!hWinsta)
        return MessageBoxW(NULL,  
            L"加载 winsta.dll 动态链接库失败。", 
            L"应用程序错误",
            MB_OK | MB_APPLMODAL | MB_ICONERROR);

    HMODULE hNtdll = LoadLibraryW(L"ntdll.dll");
    if (!hNtdll)
        return MessageBoxW(NULL,
            L"加载 ntdll.dll 动态链接库失败。",
            L"应用程序错误",
            MB_OK | MB_APPLMODAL | MB_ICONERROR);
    
    SetLastError(0);
    fpNtQuerySystemInformation = (MyNtQuerySystemInformation)GetProcAddress(
        hNtdll,"NtQuerySystemInformation");
    if (fpNtQuerySystemInformation == NULL || GetLastError() != 0)
        return MessageBoxW(NULL,
            L"无法定位函数 NtQuerySystemInformation 入口点位于动态链接库 ntdll.dll 上。",
            L"应用程序错误",
            MB_OK | MB_APPLMODAL | MB_ICONERROR);

    SetLastError(0);
    fpWinStationOpenServerW =
        (MyWinStationOpenServerW)
        GetProcAddress(hWinsta, "WinStationOpenServerW");
    if (fpWinStationOpenServerW == NULL || GetLastError() != 0)
        return MessageBoxW(NULL, 
            L"无法定位函数 WinStationOpenServerW 入口点位于动态链接库 winsta.dll 上。",
            L"应用程序错误",
            MB_OK | MB_APPLMODAL | MB_ICONERROR);

    SetLastError(0);
    fpWinStationTerminateProcess =
        (MyWinStationTerminateProcess)
        GetProcAddress(hWinsta, "WinStationTerminateProcess");
    if (fpWinStationTerminateProcess == NULL || GetLastError() != 0)
        return MessageBoxW(NULL,
            L"无法定位函数 WinStationTerminateProcess 入口点位于动态链接库 winsta.dll 上。",
            L"应用程序错误", 
            MB_OK | MB_APPLMODAL | MB_ICONERROR);

    wcscpy_s(hServer, 45 * sizeof(WCHAR), L"(null)");

    if (!WinstaEnumerateSutdownProcess(hServer, wsTargetProcessName, 0))
    {
        return MessageBoxW(NULL,
            L"调用 WinstaEnumerateSutdownProcess 时失败。",
            L"应用程序错误",
            MB_OK | MB_APPLMODAL | MB_ICONERROR);
    }
    else {
        printf("操作成功完成!\n");
    }

    //system("pause");
    return 0;
}


BOOL WinstaEnumerateSutdownProcess(
    PWSTR hServer, 
    PWSTR wsTargetProcess, 
    ULONG ExitCode)
{
    BOOLEAN Ret = (unsigned)0;
    DWORD dwProcessId = 0;
    BOOLEAN ret = (unsigned)0;
    if(!wcscmp(hServer, L"(null)"))
        hServerSign = NULL;
    else 
        hServerSign = 
        ((MyWinStationOpenServerW)fpWinStationOpenServerW)
        (hServer);

    
    if (wsTargetProcess == NULL)
    {
        printf("错误:内存不足。\n");
        return 0;
    }
           
    dwProcessId = WinstaEnumerateProcess(wsTargetProcess);

    if (dwProcessId == 0)
    {
        printf("错误:找不到进程名\"%ws\"。\n", wsTargetProcess);
        return FALSE;
    }
    SetLastError(0);
    ret = ((MyWinStationTerminateProcess)fpWinStationTerminateProcess)
        (hServerSign, dwProcessId, ExitCode);

    if (ret == (unsigned)0)
    {
        DWORD Lasterror = GetLastError();
        if (Lasterror == 5)
        {
            printf("错误:结束进程 \"%ws\" 时失败。\n原因:拒绝访问[%d]。\n",
                wsTargetProcess, Lasterror);
            MessageBoxW(NULL,
                L"调用 WinStationTerminateProcess 时失败。",
                L"应用程序错误",
                MB_OK | MB_APPLMODAL | MB_ICONERROR);
        }
        else {
            printf("错误:结束进程 \"%ws\" 时失败。\n原因:[%d]。\n",
                wsTargetProcess, Lasterror);
            MessageBoxW(NULL,
                L"调用 WinStationTerminateProcess 时失败。",
                L"应用程序错误",
                MB_OK | MB_APPLMODAL | MB_ICONERROR);
        }
        return FALSE;// TODO: GetLastError();FormatMessage() Ntdll;MessageBox()
    }
    else return TRUE;
}


DWORD WinstaEnumerateProcess(PWSTR wsTargetProcess)
{
    NTSTATUS status = STATUS_SUCCESS;
    DWORD   dwSize = 0xFFFFF;
    
    DWORD dwNameSize = (DWORD)wcslen(wsTargetProcess) + 1;
    if (dwNameSize <= 0) return FALSE;

    WCHAR* wsTargetName = new WCHAR[dwNameSize];
    WCHAR* wsCurrentName = new WCHAR[MAX_PATH];
    
    PSYSTEM_PROCESS_INFORMATION pInfo = { 0 };
    LPTSTR pBuf = NULL;
    

    pBuf = new TCHAR[dwSize];
    if (NULL == pBuf)
    {
        return FALSE;
    }
    pInfo = (PSYSTEM_PROCESS_INFORMATION)pBuf;

    status = ((MyNtQuerySystemInformation)fpNtQuerySystemInformation)
        (
            SystemProcessInformation,
            pInfo,
            dwSize,
            &dwSize
            );
    if (!NT_SUCCESS(status)) {/*如果函数执行失败*/
        return FALSE;
    }
    // 遍历结构体,找到对应的进程
    while (pInfo->NextEntryDelta)
    {
        if (0 != pInfo->InheritedFromProcessId)
        {
            //printf("进程名: %wZ, PID: %d\n", &(pInfo->ProcessName), pInfo->ProcessId);
            PWSTR curpoint = pInfo->ProcessName.Buffer;
            wcscpy_s(wsCurrentName, MAX_PATH * sizeof(WCHAR), curpoint);
            wcscpy_s(wsTargetName, MAX_PATH * sizeof(WCHAR), wsTargetProcess);

            if (!_wcsicmp(curpoint, wsTargetProcess))
            {
                
                return pInfo->InheritedFromProcessId;
            }
        }
        pInfo = (PSYSTEM_PROCESS_INFORMATION)(((PUCHAR)pInfo) + pInfo->NextEntryDelta);
    }

    if (NULL != pBuf)
    {
        delete[] pBuf;
        pBuf = NULL;
    }
    
    return FALSE;
        
}

效果如图:

 可以在不提权的情况下结束管理员权限的进程。

后记

Winsta 有好几个有意思的函数,比如可以用其中的函数结束工作站强制注销或关机等等。

涟幽516
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
关闭进程打开的句柄
07-27
模仿Process Explorer列举+关闭由其他程序创建的句柄的功能,感谢chenhui530给出关键部分的提示
php关闭软件进程,通过进程句柄关闭某个程序的进程
weixin_32798919的博客
03-12 246
下面是具体代码总共分为两个过程EnumProcTree 主要用来枚举句柄树KillProc 关闭某个程序的进程procedure EnumProcTree(const PID: DWORD;out PID_Tree: TPIDTree);procedure ListTree(RootPID: DWORD);varhP_Root: THandle;Found: Boolean;Pn: TProces...
windows API学习笔记 之 结束进程
vawter_gu的博客
01-18 2828
代码没有做判断,简单记录结束进程的步骤。 #include #include int main() { HWND hwnd; HANDLE pHandle; DWORD pid; hwnd = FindWindow(NULL, "无标题 - 记事本"); GetWindowThreadProcessId(hwnd, &pid); pHandle = Ope
简易任务管理器(附带源码)可枚举、关闭进程句柄、线程等
03-13
简易任务管理器 可枚举、关闭进程句柄、线程等 附带易语言源码 效果图 http://bbs.eyuyan.com/UploadFile/2010-2/201021519265860568.gif
使用Win32 API获得端口占用列表并关闭对应进程
tomwillow的博客
08-13 1678
获得端口占用可以用命令netstat -ab实现,结束进程可以用taskkill,但是用C++怎么实现呢? 答案是Windows已经提供了API实现功能。GetTcpTable可以得到当前占用的端口数量以及具体的ip和端口,但是得不到对应的进程。GetTcpTable2可以额外获得占用端口对应进程的pid,拿到pid,后面问题就好办了。 下面是效果图: 源码: #define _WINSOCK_DEPRECATED_NO_WARNINGS #include <iostream> #inclu
包含ntdll中Windows内部UserMode API的定义。dll、samlib.dll和winsta.dll。- Chuyu-Team /薄荷
01-27
Mouri's Internal NT API Collections (MINT) Mouri's Internal NT API ...Windows Internal UserMode API from ntdll.dll, samlib.dll and winsta.dll. This project is based on a modified fork of , you can br
Api-MINT.zip
09-18
Api-MINT.zip,包含来自nt dll.dll、samlib.dll和winsta.dll.mouri的内部nt api集合(mint)的windows内部usermode api的定义。,一个api可以被认为是多个软件设备之间通信的指导手册。例如,api可用于web应用程序之间...
winsta.dll
最新发布
12-27
winsta
winsta_wireless_
10-02
crack for spotify poremium version 2021
未公开函数终止进程WinStationTerminateProcess
11-04
未公开函数终止进程WinStationTerminateProcess 整理硬盘时看到的.拿出来分享
windows API 强制杀死进程
01-24
https://blog.csdn.net/qq_18286031/article/details/86607462 使用ntsd.exe 和windows API来杀死进程,其中用好几种方法,开发环境:VS2015+Qt5.9.1
进程保护】让程序禁止结束进程并提示拒绝访问,可调用API
05-10
类似于360,腾讯管家等在任务管理器中无法结束提示拒绝访问 使用驱动写的,支持WIN10,WIN8,WIN7等系统。所有程序都可调用,有API帮助教程 由于是驱动,所以打开的时候杀毒软件会报毒 可以用程序调用并且传入要保护的进程名即可,保护完成后程序自动退出(但是无法取消保护,不过程序自己可以正常退出) 压缩包里有GIF教程图片
通过WinStationTerminateProcess终止指定进程
05-25 1548
{  *通过WinStationTerminateProcess终止指定进程*  作者: JJony  联系方式: jzj_jony@126.com  QQ: 254706028}unit JJony_Unit;interfaceuses  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,  D
终极结束进程方法API
王乐平 技术博客
03-21 6171
引言最近在机房里上课的时候,学生的电脑上都安装了相应的学生端软件,而这些软件并没法正常关闭,用任务管理器也无法关闭,下面我说一下如何用Windows API对这类顽固程序进行终结。福利方法由于相关方面的规定,这里我只列出相应的操作函数和一些实现原理,具体程序代码我就不贴上了,想深入了解的,可以私信我。方法一. 消息投递这里用到的方法就是获取要关闭进程的窗口句柄,然后发送关闭消息到进程的消息队列中,让
TerminateProcess Function
cnhome的专栏
04-19 1125
 Terminates the specified process and all of its threads. BOOL WINAPI TerminateProcess( __in HANDLE hProcess, __in UINT uExitCode);ParametershProcess A hand
结束进程方法
wxdvc的专栏
12-08 4400
方法一针对有窗口的消息攻击法void main(void){   HWND hwnd = FindWindow(NULL, "sai";   SendMessage(hwnd,WM_CLOSE,0,0);//PostMessage(hwnd,WM_CLOSE,0,0);//SendMessage(hwnd,WM_SYSCOMMAND,SC_CLOSE,0);//PostMessage(hwnd,W
TerminateProcess 终止|杀死其它进程
wuqiyinglang的专栏
10-09 3355
这个函数可以用来终止或者说杀死一个进程,它不会留给进程及其所有线程清理的时间,系统会马上终止(杀死)这个进程的所有线程,致使进程终止。在使用此函数前我们必须要调用OpenProcess函数来获得我们要终止(杀死)进程句柄,并且要获得进程的PROCESS_TERMINATE权限。 函数原型: BOOL TerminateProcess(HANDLE hProcess,UINT uExi
Win32 - 进程相关API
stmlg的博客
05-13 400
进程相关API 1.PID 与 句柄 上节课,我们知道. 每一个进程 都有自己的 私有的一张 句柄表. ​ 然而我们的操作系统(Windows)也有一张句柄表 , 叫做全局句柄表 这张表 包含了所有的进程 线程 事件 等 接下来分析 我们创建子进程返回来的Process_Information typedef struct _PROCESS_INFORMATION { HANDLE hProcess; //本身进程句柄表编号 HANDLE hThread; DWOR
杀死进程API
学习笔记
06-09 364
当应用不再使用时,通常需要关闭应用,可以使用以下三种方法关闭android应用:   第一种方法:首先获取当前进程的id,然后杀死该进程。 android.os.Process.killProcess(android.os.Process.myPid()) 只能杀死自己   第二种方法:终止当前正在运行的Java虚拟机,导致程序终止 System.exit(0);   第三种...
c++ windows后台服务,使用CreateProcessAsUser()打开带界面的进程
05-19
Windows下,一个服务是没有桌面交互权限的,因此无法直接打开带界面的进程。但是,你可以通过使用CreateProcessAsUser()函数来创建一个新的进程,并将其运行在指定用户的会话中,该用户的会话必须已经登录。下面是一个简单的示例: ```c++ #include <Windows.h> #include <WtsApi32.h> #include <UserEnv.h> #pragma comment(lib, "WtsApi32.lib") #pragma comment(lib, "UserEnv.lib") void runProcessAsUser(LPCWSTR username, LPCWSTR password, LPCWSTR domain, LPCWSTR application) { HANDLE token; DWORD session_id = WTSGetActiveConsoleSessionId(); WTSQueryUserToken(session_id, &token); LPVOID environment; CreateEnvironmentBlock(&environment, token, FALSE); PROCESS_INFORMATION process_info; STARTUPINFO startup_info; ZeroMemory(&startup_info, sizeof(startup_info)); startup_info.cb = sizeof(startup_info); startup_info.lpDesktop = L"winsta0\\default"; startup_info.lpEnvironment = environment; startup_info.dwFlags |= STARTF_USESHOWWINDOW; startup_info.wShowWindow = SW_SHOW; CreateProcessAsUser(token, application, NULL, NULL, NULL, FALSE, 0, environment, NULL, &startup_info, &process_info); CloseHandle(process_info.hProcess); CloseHandle(process_info.hThread); DestroyEnvironmentBlock(environment); CloseHandle(token); } int main() { runProcessAsUser(L"username", L"password", L"domain", L"path/to/application.exe"); return 0; } ``` 注意,这个示例仅适用于当前用户会话已经登录的情况。如果要在服务启动时启动带界面的进程,你需要在服务启动时等待用户登录,并在用户登录后再使用上述代码来打开进程
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

涟幽516

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值