Windows任務管理器開發原理與實現    http://www.yesky.com/SoftChannel/72342376189788160/20050120/1903533.shtml    下載本文源代碼
http://dl6.mydown.com/test/ziliao/26204148758T-PsKitSrc.rar    Windows2000/XP內含的任務管理器(Taskmgr)相信大家都熟悉吧，相比之下XP裏的要比2000功能更加強大，
返回的資訊也更加的詳細，不過您是否覺得還有很多希望獲得的消息沒有包含在裏面嗎？
您是否覺得Windows的系統管理工具箱裏的東西太分散了嗎？下面就讓我們看看它們的開發原理，並動手實現一個真正的任務管理器。
現在我們是調用Win32API來實現這些功能的，但是大家都說MS隱藏了太多的細節，以後我們將討論更多關於Windows內核的東東。     可能大家對任務管理器裏最熟悉的功能要數進程管理了，常常我們在懷疑中了病毒/木馬的時候都會看看任務管理器裏有沒有什麼特別的進程在運行，
所以進程查看器應該是一個非常重要的功能。
我們除了需要獲得進程的名稱外，還有什麼呢？
當然包括它的進程識別字(ProcessID)，用戶資訊(UserName)，CPU使用時間
(CPUTime)和記憶體的使用情況(MemoryUsage)，還有它的優先權(BasePriority)。    CPU和Memory資訊可以幫助我們分析進程的運行情況，而優先權可以表示進程在CPU分配處理器使用時的優先情況。
這些都是通用的進程資訊，讓我們再看看其他的資訊吧。
進程的父進程識別字(Parent Process ID)，創建時間(Create Time)，程式名稱等在很多情況下也是我們關心的資訊。
我們再看看進程相關的性能資訊。在Windows下通常有兩種模式：內核模式(Kernel: Level 0)和用戶模式(User: Level 3)，
進程往往在兩種模式中來回切換，所以可以獲得進程在內核模式和用戶模式各自的使用時間。
同時還包括進程相關的工作集(WorkingSet)，分頁池(PagedPool)，非分頁池(NonePagedPool)和頁面檔(PageFile）資訊。
進程相關的I/O操作包括讀/寫/其他等動作，我們可以獲得這些操作的次數和傳送資料的數量。      如果您懷疑某個進程是木馬，那您還想獲得哪些資訊呢？簡單的進程名稱應該是不夠的吧！
我們希望獲得進程的實際程式的路徑，這樣可以幫助我們判斷究竟是那個程式在運行。
前段時間不是在討論什麼進程隱藏的，其中一種就是“創建遠端線程”，而注體往往又是以動態連結程式庫(DLL)的形式存在的，
我們就希望看到某個具體進程所包含的所有模組(Module)，常常是DLL也。“線程”是一個大家熟悉的名字，
它是Windows系統中的實現體，而進程則是線程運行的環境。
一個進程到底創建了多少線程了？我們同樣可以枚舉進程內部的所有線程資訊。如果您發現一個木馬進程，
下面的動作就應該是分析它的運行機制(如果您對它感興趣)，不過最終您還是要將它結束吧。在Windows2k下，
很多系統關鍵進程在TaskMgr裏是不能被結束的，不過現在您不用擔心了。    好的，對進程的操作當然就包括結束進程。
如果您用過中文的XP，您是否常常遇到任務欄“假死”的情況，雖然您的電腦沒有掛掉，但卻動彈不得，
那好我們也同樣可以將任意的進程掛起來，不管您對它做什麼動作
(除了結束)，它都不會有任何的反應。
有了掛起進程，同樣我們也可以將進程從“掛起”狀態啟動哈。      桌面視窗是大家接觸得最多的交互介面了，您是否想獲得每個視窗的標題資訊呢？
當然我們還可以獲得與視窗關聯的進程，線程與視窗控制碼屬性。
如果大家對VC比較熟悉，就應該知道其中的一個SPY  工具吧，它就可以獲得桌面視窗，
進程和線程的詳細資訊，不過現在就不用打開這個，打開那個了，通通搞定了！ 系統性能是每個用戶關心的話題。    (友情提醒：開發者網路Windows開發專欄中還有大量技巧)它包括整個系統當前創建的控制碼，進程以及線程的數目。    還有物理記憶體(Physical Memory)的總量和使用情況，系統快取記憶體    (System Cache)的大小，記憶體保留與提交(Commit Charge)狀況，當然還有核心分頁/非分頁池(Kernel Memory)的使用情況。
幾乎包括了Windows系統下記憶體管理的大部分資訊。      雖然現在硬碟的價格已經很低了，不過我還是在用6.4G的小東東，所以常常遇到“Low Disk”！
我們常常要看看硬碟的使用情況，不過每次都要進入我的電腦，太麻煩了。而我們現在可以一次瞭解所有磁片的容量和當前使用情況，
同時還有它們的格式類型(如FAT,NTFS,CDFS等)和磁片標籤。      說到環境塊，或許不是那麼熟悉吧，它包含一些環境變數，而每個環境變數對應一個/多個字串，
您可以在控制面板的SYSTEM/Advanced（系統/高級）裏對它們進行設置，包括添加新的環境變數，刪除和編輯系統環境變數。      事件記錄對我們分析系統的使用情況有很大的幫助。事件記錄分為三種：應用程式，系統和安全。    而對應的每種事件又可以分為幾種類型，它們分別是常規資訊，警告和錯誤。
其中包括記錄序號(Record Number)，事件類型(Type)，識別字(Event ID)，來源(Source)，
產生時間(Time Generated)，用戶名(User)和相關描述資訊(Description)。有時間大家可以多看看事件資訊，當然每個網路管理員對它們應該是很熟悉的，不過還包括其他的事件日誌資訊。      Windows系統下的ipconfig /all這個命令我是常常用，因為我們使用的是DHCP，沒事看看自己的IP位址變了沒有。
其中包括詳細的網路適配器的資訊，包括適配器名稱，描述，硬體位址和類型，IP地址及相應的子網路遮罩，閘道與DHCP伺服器位址等。    (友情提醒：開發者網路Windows開發專欄中還有大量技巧)不過您是否對網路流量也感興趣呢？我們當然可以獲得主機接受/發送了多少
（非）廣播資料報，出現了多少錯誤，一共接受/發送了多少資訊，這些對每個網友都是有用的資訊喲。      網路共用往往是大家注意的地方，您究竟共用了多少資訊，它們的檔路徑是什麼，還有它們的共用類型資訊。
我們在不需要某些共用資料時，當然不要忘了將其刪除，以免洩露自己的機密資訊。      Windows的NT是一個多用戶的系統，允許多種類型用戶的存在。我們希望獲得用戶帳號的使用期限(Password Expired)，
記住要不定時的修改用戶的密碼喲，以及用戶識別字(User ID)，組識別字(Group ID)，還有用戶帳號的類型(Type)，
不同的類型有不同的許可權，我們當然希望有最High的權力喲！看看系統對某個帳號的磁碟空間使用情況是否有限制(Max Storage)，
帳號登錄的次數(Number Of Logon)和登錄時間資訊(Logon Hours)等，對我們分析用戶的使用情況也有幫助的。      系統的Win32服務和設備驅動資訊也是很重要的，我們希望探測每個服務/設備啟動程式的具體路徑，狀態，類型，啟動方式等等資訊。
我們還希望對服務進行控制，比如停止，啟動和刪除操作。大家可以參閱
《淺析Windows2000/XP服務與後門技術》獲得更多關於Win32服務的資訊。      關機也不是那麼的單調的，您可以登出自己的系統，如果您要離開當然就需要鎖定了。    最近大家都不喜歡關機，太麻煩了，所以都習慣使用冬眠，系統將會為我們保留當前資訊，不過還有支援電源管理的關機和休眠。
Windows2000的用戶注意了，我們同樣可以使用XP系統下的帶有到記時與消息提示的關機和重啟功能了。      系統的版本資訊是比較固定的，主要包括作業系統的指紋，註冊組織/用戶，主機名和系統相關目錄等資訊。       說了這麼多，我們也該談談如何實現了。      1.視窗資訊      MS為我們提供了打開特定桌面和枚舉桌面視窗的函數                   hDesk=OpenDesktop(lpszDesktop,0,FALSE,DESKTOP_ENUMERATE);
//打開我們默認的Default桌面；
EnumDesktopWindows(hDesk,(WNDENUMPROC)EnumWindowProc,0);
//枚舉打開桌面上的所有視窗，由回調函數實現。
BOOL __stdcall EnumWindowProc(HWND, LPARAM);
//在回調函數中，我們可以獲得視窗的標題和相關進程，線程資訊；
GetWindowText(hWnd,szWindowText,dwMaxCount);
GetWindowThreadProcessId(hWnd,&dwPID);    http://www.yesky.com/SoftChannel/72342376189788160/20050120/1903533_1.shtml    2.設備驅動器資訊(服務和設備驅動器差不多，在此不做重複)      設備驅動資訊有服務控制管理器(SCM)來管理的，我要打開服務控制管理器，並枚舉所有的設備驅動器。    OpenSCManager(NULL,NULL,SC_MANAGER_ALL_ACCESS);
//以所有權限打開服務控制管理器；
EnumServicesStatus(schManager,dwDeviceType,dwDeviceState,
EnumStatus,dwBufSize,&dwBytesNeeded,
&dwDevicesReturned,&dwResumeHandle))
//枚舉所有設備的當前狀態；
CloseServiceHandle(schManager);
//記住，在結束訪問後要關閉服務控制碼；
OpenService(schManager,szDeviceName,SERVICE_ALL_ACCESS);
//打開特定的設備驅動器；
QueryServiceConfig(schDevice,lpDeviceConfig,
1024*8,&dwBytesNeeded)；
//查詢驅動器的服務配置資訊；
QueryServiceStatus(schDevice,&DeviceStatus)；
//查詢設備驅動器的當前狀態；(友情提醒：開發者網路Windows開發專欄中還有大量技巧)
QueryServiceConfig2(schDevice,SERVICE_CONFIG_DESCRIPTION,
(LPBYTE)lpDeviceDescription,8*1024,&dwBytesNeeded)
//查詢設備的描述資訊；
StartService(schDevice,0,NULL)；
//啟動設備；
ControlService(schDevice,SERVICE_CONTROL_STOP,&DeviceStatus)；
//停止設備；
DeleteService(schDevice)；
//刪除設備；    3.磁片資訊      我們希望獲得系統所有磁片的資訊，包括軟碟，硬碟，光碟等等；    GetLogicalDriveStrings(dwBufferLength,lpBuffer);
//獲得邏輯設備的資訊；
GetVolumeInformation(lpRootPathName,lpVolumeNameBuffer,
dwVolumeNameSize,&dwVolumeSerialNumber,
&dwMaximumComponentLength,&dwFileSystemFlags,
lpFileSystemNameBuffer,dwFileSystemNameSize);
//獲得磁片卷資訊，包括卷名稱和格式類型；(友情提醒：開發者網路Windows開發專欄中還有大量技巧)
GetDiskFreeSpaceEx(lpRootPathName,&FreeBytesAvailable,
&TotalNumberOfBytes,&TotalNumberOfFreeBytes);
//探測磁片的空間使用情況；    4.環境變數    我們可以從註冊表中獲得環境塊的資訊：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment，當然要使用註冊表的函數    RegOpenKeyEx(HKEY_LOCAL_MACHINE,RegKey,0,KEY_QUERY_VALUE,&hKey);
//打開註冊表的鍵；
RegEnumValue(hKey,dwIndex,EnvironVariable,
&dwVariableLength,NULL,NULL,NULL,NULL);
//查詢我們需要的資訊值；
GetEnvironmentVariable(EnvironVariable,EnvironString,1024);
//獲得環境變數的字串資訊；    5.事件記錄資訊    OpenEventLog(NULL,szLog);
//打開時間日誌記錄；
GetOldestEventLogRecord(hEvent,&dwThisRecord);
//獲得最新的日誌資訊，以便繼續查找；
ReadEventLog(hEvent,EVENTLOG_FORWARDS_READ │ EVENTLOG_SEQUENTIAL_READ,
0,pEventLogRecord,1024*32,&dwRead,&dwNeeded)
//讀去日誌資訊；
LookupAccountSid(NULL,pSid,szName,&dwName,szDomain,&dwDomain,&SNU)；
//獲取帳戶的SID，以便獲得帳戶的用戶名稱；
GetNumberOfEventLogRecords(hEvent,&dwTotal)；
//獲得事件日誌的總數；
CloseEventLog(hEvent);
//不要忘記關閉事件控制碼；    6.網路共用      我們使用第二等級的網路共用搜索；    NetShareEnum(NULL,dwLevel,(PBYTE *)&pBuf,MAX_PREFERRED_LENGTH,&entriesread,&totalentries,&resume);
//列舉所有的共用目錄及相關資訊；
NetApiBufferFree(pBuf);
//釋放緩衝區；(友情提醒：開發者網路Windows開發專欄中還有大量技巧)
NetShareDel(NULL,(char *)lpShareNameW,0);
//刪除網路共用目錄；    7.網路適配器資訊      我們要探測NIC的資訊和網路流量；    GetAdaptersInfo(&AdapterInfo,&OutBufLen);
//獲取適配器資訊；    9.進程/線程/模組資訊      在此我們使用工具幫助函數(ToolHelp32)和系統    OpenProcessToken(GetCurrentProcess(),TOKEN_QUERY │ TOKEN_ADJUST_PRIVILEGES,&hToken)；
//打開進程的權杖，提升許可權；
AdjustTokenPrivileges(hToken,FALSE,&TokenPrivileges,sizeof(TOKEN_PRIVILEGES),NULL,NULL);
//將進程的許可權提升到支援調試(Debug)；
CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
//創建進程的快照；
Process32First(hProcessSnap,&ProcessEntry32)；
Process32First(hProcessSnap,&ProcessEntry32)；
//枚舉所有進程；
OpenProcess(PROCESS_QUERY_INFORMATION,FALSE,ProcessEntry32.th32ProcessID);
//打開特定進程，以查詢進程相關資訊；
GetProcessTimes(hProcess,&CreateTime,&ExitTime,&KernelTime,&UserTime)；
//獲取進程的時間資訊； 
GetProcessMemoryInfo(hProcess,&PMCounter,sizeof(PMCounter))；
//獲取進程的存儲區資訊；
GetPriorityClass(hProcess);
//獲取進程的優先權；
GetProcessIoCounters(hProcess,&IoCounters)；
//獲取進程的IO使用情況；
CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProcessID);
//創建模組快照；(友情提醒：開發者網路Windows開發專欄中還有大量技巧)
Module32First(hModuleSnap, &ModuleEntry32)；
Module32Next(hModuleSnap, &ModuleEntry32)；
//枚舉進程模組資訊；
CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);
//創建線程快照；
Thread32First(hThreadSnap, &ThreadEntry32)；
Thread32Next(hThreadSnap, &ThreadEntry32)；
//枚舉線程信息；
OpenThread(THREAD_ALL_ACCESS,FALSE,ThreadEntry32.th32ThreadID);
//打開線程，須自己獲得此函數位址；
TerminateProcess(hProcess,0)；
//終止進程；
SuspendThread(hThread);
//懸掛線程；
ResumeThread(hThread);
//啟動線程；     10.關機    AdjustTokenPrivileges(hToken,FALSE,&TokenPrivileges,sizeof(TOKEN_PRIVILEGES),NULL,NULL);
//調整進程權杖，使其支援關機；
ExitWindowsEx(EWX_LOGOFF,0)；
//登出系統；
LockWorkStation()；
//鎖定系統；
InitiateSystemShutdown(NULL,szMessage,dwTimeout,FALSE,bSig)；
//支援到記時和消息顯示的關機/重啟；
SetSystemPowerState(bSig,FALSE)；
//系統休眠/冬眠；    11.用戶資訊    NetUserEnum(NULL,dwLevel,FILTER_NORMAL_ACCOUNT,(LPBYTE*)&pBuf,
dwPrefMaxLen,&dwEntriesRead,&dwTotalEntries,&dwResumeHandle);
//枚舉系統用戶資訊；
NetUserDel(NULL,lpUserNameW)； 
//刪除指定用戶；    12.系統版本資訊    GetVersionEx((LPOSVERSIONINFO)&osviex)；
//獲取作業系統的版本資訊；
我們也可以通過註冊表(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion)獲取相關資訊：
GetTickCount();
//獲取開機時間；
GetComputerName(szInfo,&dwInfo);
//獲取電腦名稱；
GetUserName(szInfo,&dwInfo);
//獲取電腦用戶名；
GetWindowsDirectory(szInfo,MAX_PATH 1);
//獲取Windows目錄；
GetSystemDirectory(szInfo,MAX_PATH 1);
//獲取系統目錄；    小結：      雖然我們現在已經實現了任務管理器的各項功能，甚至比Windows自帶的功能還要強大，不過卻沒有什麼興奮的感覺。
因為看看我們的代碼，您就會發現那些都是直接調用的Win32API函數，但是我們清楚系統底層究竟是怎麼實現的嗎？
不管我們是否只是為了實現一個功能，還是對作業系統感興趣，我們都應該更多的對系統底層進行研究，而不僅僅是只會使用高層函數的程式師。
雖然微軟為我們隱藏了很多的內部細節，但正是這種底層的秘密激發了我們對其進行深入研究的興趣和動力