windows任務(wù)管理器開(kāi)發(fā)原理與實(shí)現(xiàn)05596

1、Windows任務(wù)管理器開(kāi)發(fā)原理與實(shí)現(xiàn)任務(wù)管理器開(kāi)發(fā)原理與實(shí)現(xiàn)Windows2000XP內(nèi)含的任務(wù)管理器(Taskmgr)相信大家都熟悉吧，相比之下XP里的要比2000功能更加強(qiáng)大，返回的信息也更加的詳細(xì)，不過(guò)您是否覺(jué)得還有很多希望獲得的消息沒(méi)有包含在里面嗎？您是否覺(jué)得Windows的系統(tǒng)管理工具箱里的東西太分散了嗎？下面就讓我們看看它們的開(kāi)發(fā)原理，并動(dòng)手實(shí)現(xiàn)一個(gè)真正的任務(wù)管理器?，F(xiàn)在我們是調(diào)用Win32API來(lái)實(shí)現(xiàn)這些功能的，但是大家

2、都說(shuō)MS隱藏了太多的細(xì)節(jié)，以后我們將討論更多關(guān)于Windows內(nèi)核的東東?？赡艽蠹覍?duì)任務(wù)管理器里最熟悉的功能要數(shù)進(jìn)程管理了，常常我們?cè)趹岩芍辛瞬《灸抉R的時(shí)候都會(huì)看看任務(wù)管理器里有沒(méi)有什么特別的進(jìn)程在運(yùn)行，所以進(jìn)程查看器應(yīng)該是一個(gè)非常重要的功能。我們除了需要獲得進(jìn)程的名稱外，還有什么呢？當(dāng)然包括它的進(jìn)程標(biāo)識(shí)符(ProcessID)，用戶信息(UserName)，CPU使用時(shí)間(CPUTime)和存儲(chǔ)器的使用情況(MemyUsage)，還有

3、它的優(yōu)先權(quán)(BasePriity)。CPU和Memy信息可以幫助我們分析進(jìn)程的運(yùn)行情況，而優(yōu)先權(quán)可以表示進(jìn)程在CPU分配處理器使用時(shí)的優(yōu)先情況。這些都是通用的進(jìn)程信息，讓我們?cè)倏纯雌渌男畔?。進(jìn)程的父進(jìn)程標(biāo)識(shí)符(ParentProcessID)，創(chuàng)建時(shí)間(CreateTime)，程序名稱等在很多情況下也是我們關(guān)心的信息。我們?cè)倏纯催M(jìn)程相關(guān)的性能信息。在Windows下通常有兩種模式：內(nèi)核模式(Kernel:Level0)和用戶模式(U

4、ser:Level3)，進(jìn)程往往在兩種模式中來(lái)回切換，所以可以獲得進(jìn)程在內(nèi)核模式和用戶模式各自的使用時(shí)間。同時(shí)還包括進(jìn)程相關(guān)的工作集(WkingSet)，分頁(yè)池(PagedPool)，非分頁(yè)池(NonePagedPool)和頁(yè)面文件(PageFile）信息。進(jìn)程相關(guān)的IO操作包括讀寫(xiě)其他等動(dòng)作，我們可以獲得這些操作的次數(shù)和傳送數(shù)據(jù)的數(shù)量。如果您懷疑某個(gè)進(jìn)程是木馬，那您還想獲得哪些信息呢？簡(jiǎn)單的進(jìn)程名稱應(yīng)該是不夠的吧！我們希望獲得進(jìn)程的實(shí)

5、際程序的路徑，這樣可以幫助我們判斷究竟是那個(gè)程序在運(yùn)行。前段時(shí)間不是在討論什么進(jìn)程隱藏的，其中一種就是“創(chuàng)建遠(yuǎn)程線程”，而注體往往又是以動(dòng)態(tài)鏈接庫(kù)(DLL)的形式存在的，我們就希望看到某個(gè)具體進(jìn)程所包含的所有模塊(Module)，常常是DLL也?！熬€程”是一個(gè)大家熟悉的名字，它是Windows系統(tǒng)中的實(shí)現(xiàn)體，而進(jìn)程則是線程運(yùn)行的環(huán)境。一個(gè)進(jìn)程到底創(chuàng)建了多少線程了？我們同樣可以枚舉進(jìn)程內(nèi)部的所有線程信息。如果您發(fā)現(xiàn)一個(gè)木馬進(jìn)程，下面的動(dòng)作

6、就應(yīng)該是分析它的運(yùn)行機(jī)制(如果您對(duì)它感興趣)，不過(guò)最終您還是要將它結(jié)束吧。在Windows2k下，很多系統(tǒng)關(guān)鍵進(jìn)程在TaskMgr里是不能被結(jié)束的，不過(guò)現(xiàn)在您不用擔(dān)心了。好的，對(duì)進(jìn)程的操作當(dāng)然就包括結(jié)束進(jìn)程。如果您用過(guò)中文的XP，您是否常常遇到任務(wù)欄“假死”的情況，雖然您的電腦沒(méi)有掛掉，但卻動(dòng)彈不得，那好我們也同樣可以將任意的進(jìn)程掛起來(lái)，不管您對(duì)它做什么動(dòng)作(除了結(jié)束)，它都不會(huì)有任何的反應(yīng)。有了掛起進(jìn)程，同樣我們也可以將進(jìn)程從“掛起”

7、狀態(tài)激活哈。桌面窗口是大家接觸得最多的交互界面了，您是否想獲得每個(gè)窗口的標(biāo)題信息呢？當(dāng)然我們還可以獲得與窗口關(guān)聯(lián)的進(jìn)程，線程與窗口句柄屬性。如果大家對(duì)VC比較熟悉，就應(yīng)該知道其中的一個(gè)SPY工具吧，它就可以獲得桌面窗口，進(jìn)程和線程的詳細(xì)信息，不過(guò)現(xiàn)在就不用打開(kāi)這個(gè)，打開(kāi)那個(gè)了，通通搞定了！系統(tǒng)性能是每個(gè)用戶關(guān)心的話題。(友情提醒：開(kāi)發(fā)者網(wǎng)絡(luò)Windows開(kāi)發(fā)專欄中還有大量技巧)它包括整個(gè)系統(tǒng)當(dāng)前創(chuàng)建的句關(guān)機(jī)也不是那么的單調(diào)的，您可以注銷(xiāo)

8、自己的系統(tǒng)，如果您要離開(kāi)當(dāng)然就需要鎖定了。最近大家都不喜歡關(guān)機(jī)，太麻煩了，所以都習(xí)慣使用冬眠，系統(tǒng)將會(huì)為我們保留當(dāng)前信息，不過(guò)還有支持電源管理的關(guān)機(jī)和休眠。Windows2000的用戶注意了，我們同樣可以使用XP系統(tǒng)下的帶有到記時(shí)與消息提示的關(guān)機(jī)和重啟功能了。系統(tǒng)的版本信息是比較固定的，主要包括操作系統(tǒng)的指紋，注冊(cè)組織用戶，主機(jī)名和系統(tǒng)相關(guān)目錄等信息。說(shuō)了這么多，我們也該談?wù)勅绾螌?shí)現(xiàn)了。1.窗口信息MS為我們提供了打開(kāi)特定桌面和枚舉桌面

9、窗口的函數(shù)。hDesk=OpenDesktop(lpszDesktop0FALSEDESKTOP_ENUMERATE)打開(kāi)我們默認(rèn)的Default桌面；EnumDesktopWindows(hDesk(WNDENUMPROC)EnumWindowProc0)枚舉打開(kāi)桌面上的所有窗口，由回調(diào)函數(shù)實(shí)現(xiàn)。BOOL__stdcallEnumWindowProc(HWNDLPARAM)在回調(diào)函數(shù)中，我們可以獲得窗口的標(biāo)題和相關(guān)進(jìn)程，線程信息；Ge

10、tWindowText(hWndszWindowTextdwMaxCount)GetWindowThreadProcessId(hWnd2.設(shè)備驅(qū)動(dòng)器信息(服務(wù)和設(shè)備驅(qū)動(dòng)器差不多，在此不做重復(fù))設(shè)備驅(qū)動(dòng)信息有服務(wù)控制管理器(SCM)來(lái)管理的，我要打開(kāi)服務(wù)控制管理器，并枚舉所有的設(shè)備驅(qū)動(dòng)器。OpenSCManager(NULLNULLSC_MANAGER_ALL_ACCESS)以所有權(quán)限打開(kāi)服務(wù)控制管理器；EnumServicesStat

11、us(schManagerdwDeviceTypedwDeviceStateEnumStatusdwBufSize記住，在結(jié)束訪問(wèn)后要關(guān)閉服務(wù)句柄；OpenService(schManagerszDeviceNameSERVICE_ALL_ACCESS)打開(kāi)特定的設(shè)備驅(qū)動(dòng)器；QueryServiceConfig(schDevicelpDeviceConfig10248&dwBytesNeeded)；查詢驅(qū)動(dòng)器的服務(wù)配置信息；QueryS