进程相关基础编程(2)

2.常见进程相关编程实例

（1）提升进程权限级别

OpenProcess只能打开普通的进程，而无法打开系统安全进程或服务进程，解决这个问题只是当前进程具有SeDebugPrivilege权限就可以了。如何使当前进程具有这样的权限呢？

在默认情况下，有些进程的访问权限没有被打开，所以首先要做的是打开这个进程的权限。由此有关的API函数有：

OpenProcessToken(),LookupPrivilegeValue(),AdjustTokenPrivileges()。如果要修改进程的访问令牌，首先必须获得进程该进程访问令牌的句柄，这可以通过函数OpenProcessToken(),其原型为：

BOOL OpenProcessToken(

__in HANDLE ProcessHandle, //要修改访问权限的进程句柄

__in DWORD DesiredAccess, //指定你要进行的操作类型

__out PHANDLE TokenHandle //返回的访问令牌 指针

)；

第一参数是要修改访问权限的进程句柄；第三个参数就是返回的访问令牌 指针；第二个参数指定你要进行的操作类型，如要修改访问令牌的特权，我们要指定第二个参数为TOKEN_ADJUST_PRIVILEGES = &H20（其它一些参数可参考Platform SDK）。通过这个函数我们就可以得到当前进程的访问令牌的句柄（指定函数的第一个参数为GetCurrentProcess()就可以了）。接着我们可以调用AdjustTokenPrivileges对这个访问令牌进行修改。AdjustTokenPrivileges的原型如下：

BOOL AdjustTokenPrivileges(

HANDLE TokenHandle, // handle to token

BOOL DisableAllPrivileges, // disabling option

PTOKEN_PRIVILEGES NewState, // privilege information

DWORD BufferLength, // size of buffer

PTOKEN_PRIVILEGES PreviousState, // original state buffer

PDWORD ReturnLength // required buffer size

);

第一个参数是访问令牌的句柄；第二个参数决定是进行权限修改还是丧失（Disable）所有权限；第三个参数指明要修改的权限，是一个指向TOKEN_PRIVILEGES结构的指针，该结构包含一个 数组，数据组的每个项指明了权限的类型和要进行的操作; 第四个参数是结构PreviousState的长度，如果PreviousState为空，该参数应为NULL；第五个参数也是一个指向TOKEN_PRIVILEGES结构的指针，存放修改前的访问权限的信息，可空；最后一个参数为实际PreviousState结构返回的大小。在使用这个函数前再看一下TOKEN_PRIVILEGES这个结构，其声明如下：

typedef struct _TOKEN_PRIVILEGES {

DWORD PrivilegeCount;

LUID_AND_ATTRIBUTES Privileges[];

} TOKEN_PRIVILEGES, *PTOKEN_PRIVILEGES;

PrivilegeCount指的数组元素的个数，接着是一个LUID_AND_ATTRIBUTES类型的数组，再来看一下LUID_AND_ATTRIBUTES这个结构的内容，声明如下：

typedef struct _LUID_AND_ATTRIBUTES {

LUID Luid;

DWORD Attributes;

} LUID_AND_ATTRIBUTES, *PLUID_AND_ATTRIBUTES

第二个参数就指明了我们要进行的操作类型，有三个可选项： SE_PRIVILEGE_ENABLED、SE_PRIVILEGE_ENABLED_BY_DEFAULT、SE_PRIVILEGE_USED_FOR_ACCESS。要使能一个权限就指定Attributes为SE_PRIVILEGE_ENABLED。第一个参数就是指权限的类型，是一个LUID的值，LUID就是指locally unique identifier，我想GUID大家是比较熟悉的，和GUID的要求保证全局唯一不同，LUID只要保证局部唯一，就是指在系统的每一次运行期间保证是唯一的就可以了。另外和GUID相同的一点，LUID也是一个64位的值，相信大家都看过GUID那一大串的值，我们要怎么样才能知道一个权限对应的LUID值是多少呢？这就要用到另外一个API函数LookupPrivilegevalue，其原形如下：

BOOL LookupPrivilegevalue(

LPCTSTR lpSystemName, // system name

LPCTSTR lpName, // privilege name

PLUID lpLuid // locally unique identifier

);

第一个参数是系统的名称，如果是本地系统只要指明为NULL就可以了，第三个参数就是返回LUID的 指针，第二个参数就是指明了权限的名称，如“SeDebugPrivilege”。在Winnt.h中还定义了一些权限名称的宏，如：

#define SE_BACKUP_NAME TEXT("SeBackupPrivilege")

#define SE_RESTORE_NAME TEXT("SeRestorePrivilege")

#define SE_SHUTDOWN_NAME TEXT("SeShutdownPrivilege")

#define SE_DEBUG_NAME TEXT("SeDebugPrivilege")

这样通过这三个函数的调用，我们就可以用OpenProcess(PROCESS_ALL_ACCESS,FALSE, dwProcessID)来打获得任意进程的句柄，并且指定了所有的访问权限。

例子：
void RaisePrivileges()
{
   HANDLE hToken ;
   TOKEN_PRIVILEGES  tkp ;
   tkp.PrivilegeCount = 1 ;
   tkp.Privileges[0] .Attributes = SE_PRIVILEGE_ENABLE ;
  
   if( OpenProcessToken( GetCurrentProcess() , TOKEN_ALL_ACCESS , &hToken ) )
   {
      if( LookupPrivilegeValue( NULL , SE_DEBUG_NAME , &tkp.Privilegs[0].Luid ) )
      {
          AdjustTokenPrivileges( hToken , FALSE , &tkp , 0x10 , (PTOKEN_PRIVILEGES)NULL , 0 ) ;
      }
    }
    if( hToken ) { CloseHandle( hToken ) ; }
}

（2）实现当前进程的枚举

使用系统快照来枚举进程：

使用API CreateToolhelp32Snapshot获得进程链表的句柄

使用Process32First得到进程链表中的第一个进程信息，存储在PROCESSENTRY32结构中。

使用Process32Next得到下一个进程的信息

分别介绍这三个API：

HANDLE WINAPI CreateToolhelp32Snapshot(

   __in  DWORD  dwFlags ,

   __in  DWORD  th32ProcessID

) ;

函数通过获取进程信息为指定的进程、进程使用的堆[HEAP]、模块[MODULE]、线程建立一个快照.

说到底，可以获取系统中正在运行的进程信息，线程信息，等

---------dwFlags用来表示此快照中包含的项目。此处传入TH32CS_SNAPALL，表示此快照包括系统中所有的进程和线程，以及在th32ProcessID中指定的进程的各模块和线程信息。

--------th32ProcessID指定要包括到此快照的进程ID，当传入0时表示当前进程。

函数执行成功返回快照句柄。否则返回INVALID_HANDLE_VALUE。可以调用GetLastError查看更多的错误信息。

 

BOOL WINAPI Process32First(

   __in     HANDLE  hSnapshot ,

   __inout  LPPROCESSENTRY32  lppe 

) ;

process32First 是一个进程获取函数,当我们利用函数CreateToolhelp32Snapshot()获得当前运行进程的快照后,我们可以利用process32First函数来获得第一个进程的句柄.

 

BOOL WINAPI Process32Next(

   __in  HANDLE  hSnapshot ,

   __inout  LPPROCESSENTRY32  lppe 

) ;

 

以上两个函数，运用于在CreateHlpSnapshot中遍历各项。搭配使用，用来枚举当前系统快照相关的所有进程。函数返回值:成功返回true,否则返回false.

 

其中PROCESSENTRY32结构为:

PROCESSENTRY32 结构如下：

Typedef structtag PROCESSENTRY32 {

    DWORD dwSize;// 结构大小；

    DWORD cntUsage;// 此进程的引用计数；

    DWORD th32ProcessID;// 进程ID;

    DWORD th32DefaultHeapID;// 进程默认堆ID；

    DWORD th32ModuleID;// 进程模块ID；

    DWORD cntThreads;// 此进程开启的线程计数；

    DWORD th32ParentProcessID;// 父进程ID；

    LONG pcPriClassBase;// 线程优先权；

    DWOR DdwFlags;// 保留；

    Char szExeFile[MAX_PATH];// 进程全名；

} PROCESSENTRY32;

void SysProcessList()
{
	HANDLE hSnap = CreateToolhelp32Snapshot( TH32CS_SNAPPROCESS , 0 ) ;
	if( INVALID_HANDLE_VALUE == hSnap )
	{
		GetLastError() ;
		return ;
	}

	HANDLE hModuleSnap = CreateToolhelp32Snapshot( TH32CS_SNAPMODULE , 0 ) ;
	if( INVALID_HANDLE_VALUE == hModuleSnap )
	{
		GetLastError() ;
		return ;
	}


	PROCESSENTRY32 ps32 ;
	MODULEENTRY32 me32  ;
	ps32.dwSize = sizeof( PROCESSENTRY32 ) ;
	me32.dwSize = sizeof( MODULEENTRY32 )  ;

	bool flag = Process32First( hSnap , &ps32 ) ;
	bool bRet = Module32First( hModuleSnap , &me32 ) ;

	while( flag )
	{
		printf("Process ID :%d (%s)\n" , ps32.th32ProcessID , ps32.szExeFile ) ;

		flag = Process32Next( hSnap , &ps32 ) ;
	}

	while( bRet )
	{
		printf("Module ID:%d   Module Name :%s   Module Path :%s \n" , me32.th32ModuleID , 
			me32.szModule , me32.szExePath ) ;

		bRet = Module32Next( hModuleSnap , &me32) ;
	}

	CloseHandle( hSnap ) ;
	CloseHandle( hModuleSnap ) ;
}

也可以通过psapi.dll提供的API来实现进程的枚举
psapi.dll提供了EnumProcess()和EnumProcessModules()来实现。

也可以通过wtsapi32.dll提供的API函数实现进程的枚举：
WTSOpenServerA()和WTSEnumerateProcessA()来实现。

通过ntll.dll提供的API函数实现当前进程的枚举
ntll.dll提供的API函数：ZwQuerySystemInformation()来实现。

关于后面的三种方法，将会在后续的博文中给出相应的代码。