ame;
ULONG BasePriority;
ULONG ProcessId;
};
typedef NTSTATUS (__stdcall *NtQuerySystemInformation1)(
IN ULONG SysInfoClass,
IN OUT PVOID SystemInformation,
IN ULONG SystemInformationLength,
OUT PULONG RetLen
);
int main()
{
HINSTANCE hNtDll;
NtQuerySystemInformation1 NtQuerySystemInformation;
NTSTATUS rc;
ULONG ulNeed = 0;
void *buf = NULL;
size_t len = 0;
struct process_info *p ;
int done;
hNtDll = LoadLibrary ("NTDLL");
if (!hNtDll)
return 0;
NtQuerySystemInformation = (NtQuerySystemInformation1)GetProcAddress (hNtDll,
"NtQuerySystemInformation");
if (!NtQuerySystemInformation)
return 0;
do {
len += 0x1000;
buf = realloc (buf, len);
if (!buf)
return 0;
rc = NtQuerySystemInformation (5, buf, len, &ulNeed);
} while (rc == 0xc0000004); // STATUS_INFO_LEN_MISMATCH
if (rc <0) {
free (buf);
return 0;
}
printf("\nProcessName ProcessID");
p = (struct process_info *)buf;
done = 0;
while (!done) {
if ((p->ProcessName.Buffer != 0))
{
printf("\n%-20S%d",p->ProcessName.Buffer,p->ProcessId);
}
done = p->NextEntryDelta == 0;
p = (struct process_info *)(((char *)p) + p->NextEntryDelta);
}
free (buf);
FreeLibrary (hNtDll);
return 0;
}
<<第四部分:从PDH中取得本地/远程系统进程信息>>
前面说的三种方法都只能枚举本地的系统进程,如何枚举远程系统的进程呢?目前我只知道从PDH中取得进程信息。
OK!我先简单的说说PDH是什么东西,hoho~难的偶也不会。PDH是英文Performance Data Helper的缩写,Windows NT一直在更新这个称为Performance Data的数据库,这个数据库包含了大量的信息,例如CPU使用率,内存使用率,系统进程信息等等一大堆有用的信息,可以通过注册表函数来访问。注意哦,Windows 9x中并没有配置这个数据库。但是,这个数据库中的信息布局很复杂,很多人并不愿意使用它,包括我。而且刚开始的时候,它也没有自己特定的函数,只能通过现有的
注册表函数来操作。后来,为了使该数据库的使用变得容易,MS开发了一组Performance Data Helper函数,包含在PDH.DLL文件中。
Windows 2000默认是允许远程注册表操作的,所以我们就可以通过连接远程系统的注册表,从它的PDH中取得我们所需要的系统进程信息了,当然这需要远程系统的Admin权限。
OK!我们下面所举的例子是直接利用注册表函数来从本地/远程系统的PDH数据库中取得我们所需要的数据的,我们并没有利用PDH API。
程序代码如下:
/**************************************************************************
Module:ps.c
Author:mikeblas@nwlink.com
Modify:ey4s<ey4s@21cn.com>
Http://www.ey4s.org
Date:2001/6/23
**************************************************************************/
#include <stdio.h>
#include <windows.h>
#include <Winnetwk.h>
#define INITIAL_SIZE
