进程遍历-WTSEnumerateProcesses枚举

原创 于 2024-06-07 12:29:36 发布
· 729 阅读 · 20 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #进程

文章目录

进程遍历-WTSEnumerateProcesses枚举

1. 相关函数及结构体

1.1 WTSEnumerateProcesses

​ 检索有关指定远程桌面会话主机 (RD 会话主机) 服务器上的活动进程的信息

BOOL WTSEnumerateProcessesA(
  [in]  HANDLE             hServer,
  [in]  DWORD              Reserved,
  [in]  DWORD              Version,
  [out] PWTS_PROCESS_INFOA *ppProcessInfo,
  [out] DWORD              *pCount
);

​ hServer RD 会话主机服务器的句柄。 指定由 WTSOpenServer 函数打开的句柄,或指定 WTS_CURRENT_SERVER_HANDLE 以指示运行应用程序的 RD 会话主机服务器

​ Reserved 必须为零

​ Version 指定枚举请求的版本,必须为 1。

​ ppProcessInfo 接收指向 WTS_PROCESS_INFO 结构的数组的指针。 数组中的每个结构都包含有关指定 RD 会话主机服务器上的活动进程的信息

​ pCount 接收 ppProcessInfo 缓冲区中返回的WTS_PROCESS_INFO结构的数目

1.2 WTS_PROCESS_INFOA

​ 包含有关远程桌面会话主机 (RD 会话主机) 服务器上运行的进程的信息

typedef struct _WTS_PROCESS_INFOA {
  DWORD SessionId;
  DWORD ProcessId;
  LPSTR pProcessName;
  PSID  pUserSid;
} WTS_PROCESS_INFOA, *PWTS_PROCESS_INFOA;

​ SessionId 与进程关联的会话的远程桌面服务会话标识符

​ ProcessId 唯一标识 RD 会话主机服务器上的进程的进程标识符

​ pProcessName 指向以 null 结尾的字符串的指针,其中包含与进程关联的可执行文件的名称

​ pUserSid 指向进程的主要访问令牌中的用户 安全标识符 的指针

2. 遍历进程

2.1 遍历进程思路分析

  1. 通过WTSEnumerateProcessesW 直接遍历相关信息
  2. 处理进程信息结构体

2.2 遍历进程具体实现

#include <windows.h>
#include <wtsapi32.h>
#include <stdio.h>
#include <locale.h>
#pragma comment(lib, "Wtsapi32.lib")

int main(int argc, char* argv[]) {
	setlocale(LC_ALL, "zh_CN.UTF-8");
	PWTS_PROCESS_INFOW processInfo;
	DWORD pCount;
	WTSEnumerateProcessesW(WTS_CURRENT_SERVER_HANDLE, 0, 1, &processInfo, &pCount);

	for (int index = 0; index < pCount; index++) {
		printf_s("%ws\n", processInfo[index].pProcessName);
	}

	WTSFreeMemory(processInfo);
	return 1;
}

在这里插入图片描述

关注我们,咱们在安全的路上,扬帆起航

在这里插入图片描述

参考文献

[1] https://learn.microsoft.com/zh-cn/windows/win32/api/wtsapi32/nf-wtsapi32-wtsenumerateprocessesa?redirectedfrom=MSDN

[2] https://learn.microsoft.com/zh-cn/windows/win32/api/wtsapi32/ns-wtsapi32-wts_process_infoa

使用WTSEnumerateProcesses枚举进程--Ring3枚举进程
KOOKNUT的博客
05-09 1191
接下来介绍的这种枚举当前系统进程的方法是通过wtsapi32.dll提供的API来实现。主要用到了以下两个函数: WTSOpenServerA WTSEnumerateProcessesA 我们来简单介绍一下这两个函数: /*************************************** *WTSOpenServer函数打开指定终端服务器的句柄 *pServerName:指向终端服务器的NetBIOS名称的指针。 **************************************
枚举系统中正在运行的进程
02-06
`WTSQuerySessionInformation`和`WTSEnumerateProcesses`函数可以帮助我们在远程会话中枚举进程。特别是当需要处理多用户环境下的进程管理时,`wtsapi32.dll`的API显得尤为重要。 最后,`ntdll.dll`是Windows操作...
通过WTSEnumerateProcesses获取进程列表
10-26
通过WTSEnumerateProcesses获取进程列表源代码。 包含一个dpr项目,一个源代码文件。
Window API 第五篇 WTSEnumerateProcesses
10-08 408
这个函数可用来枚举系统进程,先来看定义: BOOL WTSEnumerateProcesses( _In_HANDLE hServer, _In_DWORD Reserved, _In_DWORD Version, _Out_PWTS_PROCESS_INFO *ppProces...
利用WTSEnumerateProcesses枚举进程
05-25 2450
const  wtsapi=Wtsapi32.dll; WTS_CURRENT_SERVER_HANDLE=0;//定义数据结构type _WTS_PROCESS_INFO =record    //进程信息  SessionId:DWORD ;  ProcessId:DWORD ;  pProcessName:LPTSTR ;  pUserSid:PSID;end; WTS_PROC
WTSEnumerateProcesses WTSFreeMemory函数在win7\vista下内存泄漏的问题
12-24 1385
最近头都搞大了,不管什么内存泄漏工具都检查不出来程序有问题。后来决定自己动手测试,找到的严重问题如下: 在win7、vista及以上系统中,调用WTSEnumerateProcesses函数后,使用传统的WTSFreeMemory来释放内存无用,此函数在WINXP以上系统中屁用都没有!! 后来在MDSN在线查找相关函数,发现了WTSFreeMemoryEx,使用此函数来释放内存就OK!
掌握系统进程枚举的多种方法
- WTSEnumerateProcesses枚举指定终端服务器上的进程- WTSQuerySessionInformation:获取特定会话的信息,包括会话中的进程列表。 Wtsapi32.dll适用于需要特定于远程桌面服务的进程信息的应用场景。 **Ntdll....
WTSEnumerateProcesses实现进程列表获取技术解析
WTSEnumerateProcessesWindows API 中用于枚举在指定的终端服务上运行的所有进程的函数。该函数通常在编写需要与远程终端服务交互的应用程序时使用,尤其是在需要识别和管理远程桌面会话中运行的进程时。在本...
进程用户名思路.txt
11-03
`WTSEnumerateProcesses`是wtsapi32.dll中提供的一个函数,用于枚举远程桌面会话中运行的所有进程的信息。函数原型如下所示: ```cpp BOOL WTSEnumerateProcesses( HANDLE hServer, DWORD Reserved, DWORD ...
枚举系统进程的学习
走出憧憬的专栏
01-31 2820
    昨天在对Windows服务学习的时候突然想到编写一个在一段时间间隔后对系统进程进行列举,从而可以根据查看输出内容判断系统是否出现了异常,但以回忆自己以前对进程的学习都忘完了,只好又从新在网上搜查一番,看看各位的高招。然后为了不在犯同样的错误,把它记录下来吧。恩,只要CSDN一天还在,这些东西应该是会在的吧。 还真别说,在网上一搜的话,各位大侠的文章确实写得很好,本来我觉得他们的水平
Ring3枚举进程
VSavitar的博客
03-24 510
在Ring3枚举进程通常有一下几种方法:ToolHelper32PsapiZwQuerySystemInformationWTSEnumerateProcesses一、ToolHelper32头文件:TlHelp32.h关键函数:CreateToolhelp32Snapshot,Process32NextBOOL EnumProcessesByToolHelper32(){    PROCESSE...
进程遍历模块遍历
weixin_30664051的博客
03-22 174
// 遍历进程Dlg.cpp : 实现文件 // #include "stdafx.h" #include "遍历进程.h" #include "遍历进程Dlg.h" #include "afxdialogex.h" #include <windows.h> #include <TlHelp32.h> #include <locale.h&gt...
遍历进程,查找自己想要的进程
mynameisxxx的专栏
08-11 502
相关函数名: 1.为指定的进程进程使用的堆[HEAP]、模块[MODULE]、线程[THREAD])建立一个快照[snapshot] HANDLE WINAPI CreateToolhelp32Snapshot ( __i
补:PE文件遍历导出表——有人为你哭,说明你还是个东西
4SecNet团队专栏
04-16 677
之前一直要写的遍历导出表,一直没写,最近回去复习了一下PE结构关于IAT和EAT的内容,写了个遍历导出表的程序,也算是结了之前文章里说的话吧。 源码: // ExportTable.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include <iostream> #include<windows.h> using namespace s...
Windows核心编程 进程遍历与文件加密
最新发布
qq_61553520的博客
11-25 1234
Windows核心编程 进程遍历 文件加密
关于WTSAPI32
weixin_30475039的博客
02-27 789
  一般在windows编程都是用用从ntdll导出的Native API,现在看到一点COM编程或者其他的一些不常用的接口函数总觉得蛮有意思,准备以后多积累一下。 先简单总结WTSAPI32。以下实在Win7x64下的WTSAPI32中得到的导出函数。 WTSCloseServer 0x3fd03292 0x00003292 1 (0x1) wtsapi...
遍历进程的4种方法
windless0530的专栏
04-17 1万+
原贴也是转帖,只不过此人没给原链接……http://pegasus827.bokee.com/6213525.html P.S. 在98系统上,估计只有第一种方法有效。  方法一 第一种方法是大家比较熟悉的通过ToolHelp Service提供的API函数来实现。这里用到了3个关键的函数:CreateToolhelp32Snapshot(),Process32Fi
C/C++ 进程/线程/模块遍历
热门推荐
CSDN
06-09 1万+
另外,Windows系统的进程和模块信息可能因系统版本和配置不同而有所差异,可能无法获取某些系统进程的信息。需要注意的是,要获取指定进程的模块列表,当前进程需要有足够的权限。注意,该代码只能在Windows系统上运行,并需要以管理员权限运行,以获取完整的进程信息。注意,该代码只能在Windows系统上运行,并需要以管理员权限运行,以获取完整的进程信息。注意,该代码只能在Windows系统上运行,并需要以管理员权限运行,以获取完整的模块信息。表示获取进程信息的快照,第二个参数0表示获取当前系统的进程信息。
PE文件格式概述
bairny的专栏
05-22 1万+
本章提要·           PE文件格式概述·           PE文件结构·           如何获取PE文件中的OEP·           如何获取PE文件中的资源·           如何修改PE文件使其显示MessageBox的实例2.1  引言通常Windows下的EXE文件都采用PE格式。PE是英文Portable Executable的缩写
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值