Windows任務管理器開發原理與實現
摘自 好易教程網

　　Windows2000/XP內含的任務管理器（Taskmgr）相信大家都熟悉吧，相比之下XP里的要比2000功能更加強大，返回的信息也更加的詳細，不過您是否覺得還有很多希望獲得的消息沒有包含在里面嗎？您是否覺得 Windows的系統管理工具箱里的東西太分散了嗎？下面就讓我們看看它們的開發原理，并動手實現一個真正的任務管理器?，F在我們是調用Win32API來實現這些功能的，但是大家都說MS隱藏了太多的細節，以后我們將討論更多關于Windows內核的東東。
　　可能大家對任務管理器里最熟悉的功能要數進程管理了，常常我們在懷疑中了病毒/木馬的時候都會看看任務管理器里有沒有什么特別的進程在運行，所以進程查看器應該是一個非常重要的功能。我們除了需要獲得進程的名稱外，還有什么呢？當然包括它的進程標識符（ProcessID），用戶信息（UserName），CPU使用時間（CPUTime）和存儲器的使用情況（MemoryUsage），還有它的優先權（BasePriority）。CPU和Memory信息可以幫助我們分析進程的運行情況，而優先權可以表示進程在CPU分配處理器使用時的優先情況。這些都是通用的進程信息，讓我們再看看其他的信息吧。進程的父進程標識符（Parent Process ID），創建時間（Create Time），程序名稱等在很多情況下也是我們關心的信息。我們再看看進程相關的性能信息。在Windows下通常有兩種模式：內核模式（Kernel: Level 0）和用戶模式（User: Level 3），進程往往在兩種模式中來回切換，所以可以獲得進程在內核模式和用戶模式各自的使用時間。同時還包括進程相關的工作集（WorkingSet），分頁池（PagedPool），非分頁池（NonePagedPool）和頁面文件（PageFile）信息。進程相關的I/O操作包括讀/寫/其他等動作，我們可以獲得這些操作的次數和傳送數據的數量。

　　如果您懷疑某個進程是木馬，那您還想獲得哪些信息呢？簡單的進程名稱應該是不夠的吧！我們希望獲得進程的實際程序的路徑，這樣可以幫助我們判斷究竟是那個程序在運行。前段時間不是在討論什么進程隱藏的，其中一種就是“創建遠程線程”，而注體往往又是以動態鏈接庫（DLL）的形式存在的，我們就希望看到某個具體進程所包含的所有模塊（Module），常常是DLL也。“線程”是一個大家熟悉的名字，它是Windows系統中的實現體，而進程則是線程運行的環境。一個進程到底創建了多少線程了？我們同樣可以枚舉進程內部的所有線程信息。如果您發現一個木馬進程，下面的動作就應該是分析它的運行機制（如果您對它感興趣），不過最終您還是要將它結束吧。在Windows2k下，很多系統關鍵進程在TaskMgr里是不能被結束的，不過現在您不用擔心了。好的，對進程的操作當然就包括結束進程。如果您用過中文的XP，您是否常常遇到任務欄“假死”的情況，雖然您的電腦沒有掛掉，但卻動彈不得，那好我們也同樣可以將任意的進程掛起來，不管您對它做什么動作（除了結束），它都不會有任何的反應。有了掛起進程，同樣我們也可以將進程從“掛起”狀態激活。

　　桌面窗口是大家接觸得最多的交互界面了，您是否想獲得每個窗口的標題信息呢？當然我們還可以獲得與窗口關聯的進程，線程與窗口句柄屬性。如果大家對VC比較熟悉，就應該知道其中的一個SPY++工具吧，它就可以獲得桌面窗口，進程和線程的詳細信息，不過現在就不用打開這個，打開那個了，通通搞定了！

　　系統性能是每個用戶關心的話題。它包括整個系統當前創建的句柄，進程以及線程的數目。還有物理存儲器（Physical Memory）的總量和使用情況，系統高速緩存（System Cache）的大小，存儲器保留與提交（Commit Charge）狀況，當然還有核心分頁/非分頁池（Kernel Memory）的使用情況。幾乎包括了Windows系統下存儲器管理的大部分信息。

　　雖然現在硬盤的價格已經很低了，不過我還是在用6.4G的小東東，所以常常遇到“Low Disk”！我們常常要看看硬盤的使用情況，不過每次都要進入我的電腦，太麻煩了。而我們現在可以一次了解所有磁盤的容量和當前使用情況，同時還有它們的格式類型（如FAT,NTFS,CDFS等）和磁盤標簽。

　　說到環境塊，或許不是那么熟悉吧，它包含一些環境變量，而每個環境變量對應一個/多個字符串，您可以在控制面板的SYSTEM/Advanced（系統/高級）里對它們進行設置，包括添加新的環境變量，刪除和編輯系統環境變量。

　　事件記錄對我們分析系統的使用情況有很大的幫助。事件記錄分為三種：應用程序，系統和安全。而對應的每種事件又可以分為幾種類型，它們分別是常規信息，警告和錯誤。其中包括記錄序號（Record Number），事件類型（Type），標識符（Event ID），來源（Source），產生時間（Time Generated），用戶名（User）和相關描述信息（Description）。有時間大家可以多看看事件信息，當然每個網絡管理員對它們應該是很熟悉的，不過還包括其他的事件日志信息。

　　Windows系統下的ipconfig /all這個命令我是常常用，因為我們使用的是DHCP，沒事看看自己的IP地址變了沒有。其中包括詳細的網絡適配器的信息，包括適配器名稱，描述，硬件地址和類型，IP地址及相應的子網掩碼，網關與DHCP服務器地址等。不過您是否對網絡流量也感興趣呢？我們當然可以獲得主機接受/發送了多少（非）廣播數據報，出現了多少錯誤，一共接受/發送了多少信息，這些對每個網友都是有用的信息喲。

　　網絡共享往往是大家注意的地方，您究竟共享了多少信息，它們的文件路徑是什么，還有它們的共享類型信息。我們在不需要某些共享資料時，當然不要忘了將其刪除，以免泄露自己的機密信息。

　　Windows的NT是一個多用戶的系統，允許多種類型用戶的存在。我們希望獲得用戶賬號的使用期限（Password Expired），記住要不定時的修改用戶的密碼喲，以及用戶標識符（User ID），組標識符（Group ID），還有用戶賬號的類型（Type），不同的類型有不同的權限，我們當然希望有最High的權力喲！看看系統對某個賬號的磁盤空間使用情況是否有限制（Max Storage），賬號登錄的次數（Number Of Logon）和登錄時間信息（Logon Hours）等，對我們分析用戶的使用情況也有幫助的。

　　系統的Win32服務和設備驅動信息也是很重要的，我們希望探測每個服務/設備啟動程序的具體路徑，狀態，類型，啟動方式等等信息。我們還希望對服務進行控制，比如停止，啟動和刪除操作。

　　關機也不是那么的單調的，您可以注銷自己的系統，如果您要離開當然就需要鎖定了。最近大家都不喜歡關機，太麻煩了，所以都習慣使用冬眠，系統將會為我們保留當前信息，不過還有支持電源管理的關機和休眠。Windows2000的用戶注意了，我們同樣可以使用XP系統下的帶有到記時與消息提示的關機和重啟功能了。

　　系統的版本信息是比較固定的，主要包括操作系統的指紋，注冊組織/用戶，主機名和系統相關目錄等信息。   


　　說了這么多，我們也該談談如何實現了。

　　1.窗口信息

　　MS為我們提供了打開特定桌面和枚舉桌面窗口的函數。
　　hDesk=OpenDesktop（lpszDesktop,0,FALSE,DESKTOP_ENUMERATE）；
　　//打開我們默認的Default桌面；
　　EnumDesktopWindows（hDesk,（WNDENUMPROC）EnumWindowProc,0）；
　　//枚舉打開桌面上的所有窗口，由回調函數實現。
　　BOOL __stdcall EnumWindowProc（HWND, LPARAM）；
　　//在回調函數中，我們可以獲得窗口的標題和相關進程，線程信息；
　　GetWindowText（hWnd,szWindowText,dwMaxCount）；
　　GetWindowThreadProcessId（hWnd,&dwPID）；

　　2.設備驅動器信息（服務和設備驅動器差不多，在此不做重復）

　　設備驅動信息有服務控制管理器（SCM）來管理的，我要打開服務控制管理器，并枚舉所有的設備驅動器。
　　OpenSCManager（NULL,NULL,SC_MANAGER_ALL_ACCESS）；
　　//以所有權限打開服務控制管理器；
　　EnumServicesStatus（schManager,dwDeviceType,dwDeviceState,
　　　　　　　　EnumStatus,dwBufSize,&dwBytesNeeded,
　　　　　　 &dwDevicesReturned,&dwResumeHandle））
　　//枚舉所有設備的當前狀態；
　　CloseServiceHandle（schManager）；
　　//記住，在結束訪問后要關閉服務句柄；
　　OpenService（schManager,szDeviceName,SERVICE_ALL_ACCESS）；
　　//打開特定的設備驅動器；
　　QueryServiceConfig（schDevice,lpDeviceConfig,
　　　　　　　　　　   1024*8,&dwBytesNeeded）；
　　//查詢驅動器的服務配置信息；
　　QueryServiceStatus（schDevice,&DeviceStatus）；
　　//查詢設備驅動器的當前狀態；
　　QueryServiceConfig2（schDevice,SERVICE_CONFIG_DESCRIPTION,
　?。↙PBYTE）lpDeviceDescription,8*1024,&dwBytesNeeded）
　　//查詢設備的描述信息；
　　StartService（schDevice,0,NULL）；
　　//啟動設備；
　　ControlService（schDevice,SERVICE_CONTROL_STOP,&DeviceStatus）；
　　//停止設備；
　　DeleteService（schDevice）；
　　//刪除設備；

　　3.磁盤信息

　　我們希望獲得系統所有磁盤的信息，包括軟盤，硬盤，光盤等等；
　　GetLogicalDriveStrings（dwBufferLength,lpBuffer）；
　　//獲得邏輯設備的信息；
　　GetVolumeInformation（lpRootPathName,lpVolumeNameBuffer,
　　 dwVolumeNameSize,&dwVolumeSerialNumber,
　　 &dwMaximumComponentLength,&dwFileSystemFlags,
　　　　　　lpFileSystemNameBuffer,dwFileSystemNameSize）；
　　//獲得磁盤卷信息，包括卷名稱和格式類型；
　　GetDiskFreeSpaceEx（lpRootPathName,&FreeBytesAvailable,
　　　　　　　　  &TotalNumberOfBytes,&TotalNumberOfFreeBytes）；
　　//探測磁盤的空間使用情況；

　　4.環境變量

　　我們可以從注冊表中獲得環境塊的信息：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment，當然要使用注冊表的函數。
　　RegOpenKeyEx（HKEY_LOCAL_MACHINE,RegKey,0,KEY_QUERY_VALUE,&hKey）；
　　//打開注冊表的鍵；
　　RegEnumValue（hKey,dwIndex,EnvironVariable,
　　　　　　　　 &dwVariableLength,NULL,NULL,NULL,NULL）；
　　//查詢我們需要的信息值；
　　GetEnvironmentVariable（EnvironVariable,EnvironString,1024）；
　　//獲得環境變量的字符串信息；

　　5.事件記錄信息

　　OpenEventLog（NULL,szLog）；
　　//打開時間日志記錄；
　　GetOldestEventLogRecord（hEvent,&dwThisRecord）；
　　//獲得最新的日志信息，以便繼續查找；
　　ReadEventLog（hEvent,EVENTLOG_FORWARDS_READ │ EVENTLOG_SEQUENTIAL_READ,
   0,pEventLogRecord,1024*32,&dwRead,&dwNeeded）
　　//讀去日志信息；
　　LookupAccountSid（NULL,pSid,szName,&dwName,szDomain,&dwDomain,&SNU）；
　　//獲取賬戶的SID，以便獲得賬戶的用戶名稱；
　　GetNumberOfEventLogRecords（hEvent,&dwTotal）；
　　//獲得事件日志的總數；
　　CloseEventLog（hEvent）；
　　//不要忘記關閉事件句柄；
　　
　　6.網絡共享

　　我們使用第二等級的網絡共享搜索；
　　NetShareEnum（NULL,dwLevel,（PBYTE *）&pBuf,MAX_PREFERRED_LENGTH,&entriesread,&totalentries,&resume）；
　　//列舉所有的共享目錄及相關信息；
　　NetApiBufferFree（pBuf）；
　　//釋放緩沖區；
　　NetShareDel（NULL,（char *）lpShareNameW,0）；
　　//刪除網絡共享目錄；
　　
　　7.網絡適配器信息

　　我們要探測NIC的信息和網絡流量；
　　GetAdaptersInfo（&AdapterInfo,&OutBufLen）；
　　//獲取適配器信息；
　　
　　8.系統性能

　　獲取系統的存儲器使用情況；
　　GetPerformanceInfo（&PerfInfo,sizeof（PERFORMACE_INFORMATION））
　　//獲取系統性能信息；


　　9.進程/線程/模塊信息

　　在此我們使用工具幫助函數（ToolHelp32）和系統
　　OpenProcessToken（GetCurrentProcess（）,TOKEN_QUERY │ TOKEN_ADJUST_PRIVILEGES,&hToken）；
　　//打開進程的令牌，提升權限；
　　AdjustTokenPrivileges（hToken,FALSE,&TokenPrivileges,sizeof（TOKEN_PRIVILEGES）,NULL,NULL）；
　　//將進程的權限提升到支持調試（Debug）；
　　CreateToolhelp32Snapshot（TH32CS_SNAPPROCESS,0）；
　　//創建進程的快照；
　　Process32First（hProcessSnap,&ProcessEntry32）；
　　Process32First（hProcessSnap,&ProcessEntry32）；
　　//枚舉所有進程；
　　OpenProcess（PROCESS_QUERY_INFORMATION,FALSE,ProcessEntry32.th32ProcessID）；
　　//打開特定進程，以查詢進程相關信息；
　　GetProcessTimes（hProcess,&CreateTime,&ExitTime,&KernelTime,&UserTime）；
　　//獲取進程的時間信息；
　　GetProcessMemoryInfo（hProcess,&PMCounter,sizeof（PMCounter））；
　　//獲取進程的存儲區信息；
　　GetPriorityClass（hProcess）；
　　//獲取進程的優先權；
　　GetProcessIoCounters（hProcess,&IoCounters）；
　　//獲取進程的IO使用情況；
　　CreateToolhelp32Snapshot（TH32CS_SNAPMODULE, dwProcessID）；
　　//創建模塊快照；
　　Module32First（hModuleSnap, &ModuleEntry32）；
　　Module32Next（hModuleSnap, &ModuleEntry32）；
　　//枚舉進程模塊信息；
　　CreateToolhelp32Snapshot（TH32CS_SNAPTHREAD, 0）；
　　//創建線程快照；
　　Thread32First（hThreadSnap, &ThreadEntry32）；
　　Thread32Next（hThreadSnap, &ThreadEntry32）；
　　//枚舉線程信息；
　　OpenThread（THREAD_ALL_ACCESS,FALSE,ThreadEntry32.th32ThreadID）；
　　//打開線程，須自己獲得此函數地址；
　　TerminateProcess（hProcess,0）；
　　//終止進程；
　　SuspendThread（hThread）；
　　//懸掛線程；
　　ResumeThread（hThread）；
　　//激活線程；

　　10.關機

　　AdjustTokenPrivileges（hToken,FALSE,&TokenPrivileges,sizeof（TOKEN_PRIVILEGES）,NULL,NULL）；
　　//調整進程令牌，使其支持關機；
　　ExitWindowsEx（EWX_LOGOFF,0）；
　　//注銷系統；
　　LockWorkStation（）；
　　//鎖定系統；
　　InitiateSystemShutdown（NULL,szMessage,dwTimeout,FALSE,bSig）；
　　//支持到記時和消息顯示的關機/重啟；
　　SetSystemPowerState（bSig,FALSE）；
　　//系統休眠/冬眠；


　　11.用戶信息

　　NetUserEnum（NULL,dwLevel,FILTER_NORMAL_ACCOUNT,（LPBYTE*）&pBuf,　　　　　　　dwPrefMaxLen,&dwEntriesRead,&dwTotalEntries,&dwResumeHandle）；
　　//枚舉系統用戶信息；
　　NetUserDel（NULL,lpUserNameW）；
　　//刪除指定用戶；
  
　　12.系統版本信息

　　GetVersionEx（（LPOSVERSIONINFO）&osviex）；
　　//獲取操作系統的版本信息；
　　我們也可以通過注冊表（HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion）獲取相關信息：
　　GetTickCount（）；
　　//獲取開機時間；
　　GetComputerName（szInfo,&dwInfo）；
　　//獲取計算機名稱；
　　GetUserName（szInfo,&dwInfo）；
　　//獲取計算機用戶名；
　　GetWindowsDirectory（szInfo,MAX_PATH+1）；
　　//獲取Windows目錄；
　　GetSystemDirectory（szInfo,MAX_PATH+1）；
　　//獲取系統目錄；

　　小結：

　　雖然我們現在已經實現了任務管理器的各項功能，甚至比Windows自帶的功能還要強大，不過卻沒有什么興奮的感覺。因為看看我們的代碼，您就會發現那些都是直接調用的Win32API函數，但是我們清楚系統底層究竟是怎么實現的嗎？不管我們是否只是為了實現一個功能，還是對操作系統感興趣，我們都應該更多的對系統底層進行研究，而不僅僅是只會使用高層函數的程序員。雖然微軟為我們隱藏了很多的內部細節，但正是這種底層的秘密激發了我們對其進行深入研究的興趣和動力。