|
Windows2000/XP內(nèi)含的任務(wù)管理器(Taskmgr)相信大家都熟悉吧,相比之下XP里的要比2000功能更加強(qiáng)大,返回的信息也更加的詳細(xì),不過您是否覺得還有很多希望獲得的消息沒有包含在里面嗎���?您是否覺得Windows的系統(tǒng)管理工具箱里的東西太分散了嗎�?下面就讓我們看看它們的開發(fā)原理�,并動手實(shí)現(xiàn)一個真正的任務(wù)管理器。現(xiàn)在我們是調(diào)用Win32API來實(shí)現(xiàn)這些功能的���,但是大家都說MS隱藏了太多的細(xì)節(jié)����,以后我們將討論更多關(guān)于Windows內(nèi)核的東東�����。
可能大家對任務(wù)管理器里最熟悉的功能要數(shù)進(jìn)程管理了��,常常我們在懷疑中了病毒/木馬的時候都會看看任務(wù)管理器里有沒有什么特別的進(jìn)程在運(yùn)行�,所以進(jìn)程查看器應(yīng)該是一個非常重要的功能�����。我們除了需要獲得進(jìn)程的名稱外����,還有什么呢?當(dāng)然包括它的進(jìn)程標(biāo)識符(ProcessID)����,用戶信息(UserName),CPU使用時間(CPUTime)和存儲器的使用情況(MemoryUsage),還有它的優(yōu)先權(quán)(BasePriority)��。CPU和Memory信息可以幫助我們分析進(jìn)程的運(yùn)行情況�����,而優(yōu)先權(quán)可以表示進(jìn)程在CPU分配處理器使用時的優(yōu)先情況����。這些都是通用的進(jìn)程信息,讓我們再看看其他的信息吧����。進(jìn)程的父進(jìn)程標(biāo)識符(Parent Process ID),創(chuàng)建時間(Create Time)�,程序名稱等在很多情況下也是我們關(guān)心的信息。我們再看看進(jìn)程相關(guān)的性能信息�。在Windows下通常有兩種模式:內(nèi)核模式(Kernel: Level 0)和用戶模式(User: Level 3),進(jìn)程往往在兩種模式中來回切換�����,所以可以獲得進(jìn)程在內(nèi)核模式和用戶模式各自的使用時間����。同時還包括進(jìn)程相關(guān)的工作集(WorkingSet)�,分頁池(PagedPool)��,非分頁池(NonePagedPool)和頁面文件(PageFile)信息����。進(jìn)程相關(guān)的I/O操作包括讀/寫/其他等動作,我們可以獲得這些操作的次數(shù)和傳送數(shù)據(jù)的數(shù)量�。
如果您懷疑某個進(jìn)程是木馬,那您還想獲得哪些信息呢���?簡單的進(jìn)程名稱應(yīng)該是不夠的吧!我們希望獲得進(jìn)程的實(shí)際程序的路徑����,這樣可以幫助我們判斷究竟是那個程序在運(yùn)行。前段時間不是在討論什么進(jìn)程隱藏的��,其中一種就是“創(chuàng)建遠(yuǎn)程線程”���,而注體往往又是以動態(tài)鏈接庫(DLL)的形式存在的��,我們就希望看到某個具體進(jìn)程所包含的所有模塊(Module)���,常常是DLL也���������!熬程”是一個大家熟悉的名字��,它是Windows系統(tǒng)中的實(shí)現(xiàn)體��,而進(jìn)程則是線程運(yùn)行的環(huán)境��。一個進(jìn)程到底創(chuàng)建了多少線程了��?我們同樣可以枚舉進(jìn)程內(nèi)部的所有線程信息�。如果您發(fā)現(xiàn)一個木馬進(jìn)程,下面的動作就應(yīng)該是分析它的運(yùn)行機(jī)制(如果您對它感興趣)�,不過最終您還是要將它結(jié)束吧。在Windows2k下����,很多系統(tǒng)關(guān)鍵進(jìn)程在TaskMgr里是不能被結(jié)束的,不過現(xiàn)在您不用擔(dān)心了�。好的,對進(jìn)程的操作當(dāng)然就包括結(jié)束進(jìn)程��。如果您用過中文的XP,您是否常常遇到任務(wù)欄“假死”的情況��,雖然您的電腦沒有掛掉����,但卻動彈不得,那好我們也同樣可以將任意的進(jìn)程掛起來�����,不管您對它做什么動作(除了結(jié)束)���,它都不會有任何的反應(yīng)�。有了掛起進(jìn)程��,同樣我們也可以將進(jìn)程從“掛起”狀態(tài)激活哈���。
桌面窗口是大家接觸得最多的交互界面了,您是否想獲得每個窗口的標(biāo)題信息呢�?當(dāng)然我們還可以獲得與窗口關(guān)聯(lián)的進(jìn)程,線程與窗口句柄屬性����。如果大家對VC比較熟悉���,就應(yīng)該知道其中的一個SPY++工具吧,它就可以獲得桌面窗口���,進(jìn)程和線程的詳細(xì)信息�����,不過現(xiàn)在就不用打開這個��,打開那個了���,通通搞定了!
系統(tǒng)性能是每個用戶關(guān)心的話題��。它包括整個系統(tǒng)當(dāng)前創(chuàng)建的句柄�,進(jìn)程以及線程的數(shù)目。還有物理存儲器(Physical Memory)的總量和使用情況����,系統(tǒng)高速緩存(System Cache)的大小,存儲器保留與提交(Commit Charge)狀況�,當(dāng)然還有核心分頁/非分頁池(Kernel Memory)的使用情況。幾乎包括了Windows系統(tǒng)下存儲器管理的大部分信息�����。
雖然現(xiàn)在硬盤的價格已經(jīng)很低了,不過我還是在用6.4G的小東東�,所以常常遇到“Low Disk”!我們常常要看看硬盤的使用情況��,不過每次都要進(jìn)入我的電腦���,太麻煩了��。而我們現(xiàn)在可以一次了解所有磁盤的容量和當(dāng)前使用情況����,同時還有它們的格式類型(如FAT,NTFS,CDFS等)和磁盤標(biāo)簽���。
說到環(huán)境塊��,或許不是那么熟悉吧,它包含一些環(huán)境變量����,而每個環(huán)境變量對應(yīng)一個/多個字符串,您可以在控制面板的SYSTEM/Advanced(系統(tǒng)/高級)里對它們進(jìn)行設(shè)置���,包括添加新的環(huán)境變量����,刪除和編輯系統(tǒng)環(huán)境變量。
事件記錄對我們分析系統(tǒng)的使用情況有很大的幫助���。事件記錄分為三種:應(yīng)用程序�,系統(tǒng)和安全����。而對應(yīng)的每種事件又可以分為幾種類型,它們分別是常規(guī)信息�,警告和錯誤。其中包括記錄序號(Record Number)��,事件類型(Type)���,標(biāo)識符(Event ID)�,來源(Source)�,產(chǎn)生時間(Time Generated),用戶名(User)和相關(guān)描述信息(Description)���。有時間大家可以多看看事件信息����,當(dāng)然每個網(wǎng)絡(luò)管理員對它們應(yīng)該是很熟悉的,不過還包括其他的事件日志信息�����。
Windows系統(tǒng)下的ipconfig /all這個命令我是常常用���,因?yàn)槲覀兪褂玫氖荄HCP��,沒事看看自己的IP地址變了沒有��。其中包括詳細(xì)的網(wǎng)絡(luò)適配器的信息���,包括適配器名稱,描述��,硬件地址和類型��,IP地址及相應(yīng)的子網(wǎng)掩碼��,網(wǎng)關(guān)與DHCP服務(wù)器地址等��。不過您是否對網(wǎng)絡(luò)流量也感興趣呢�?我們當(dāng)然可以獲得主機(jī)接受/發(fā)送了多少(非)廣播數(shù)據(jù)報(bào),出現(xiàn)了多少錯誤�����,一共接受/發(fā)送了多少信息����,這些對每個網(wǎng)友都是有用的信息喲。
網(wǎng)絡(luò)共享往往是大家注意的地方�����,您究竟共享了多少信息���,它們的文件路徑是什么�,還有它們的共享類型信息�����。我們在不需要某些共享資料時��,當(dāng)然不要忘了將其刪除�����,以免泄露自己的機(jī)密信息。
Windows的NT是一個多用戶的系統(tǒng)���,允許多種類型用戶的存在��。我們希望獲得用戶賬號的使用期限(Password Expired)��,記住要不定時的修改用戶的密碼喲���,以及用戶標(biāo)識符(User ID),組標(biāo)識符(Group ID)��,還有用戶賬號的類型(Type)�,不同的類型有不同的權(quán)限,我們當(dāng)然希望有最High的權(quán)力喲�����!看看系統(tǒng)對某個賬號的磁盤空間使用情況是否有限制(Max Storage)��,賬號登錄的次數(shù)(Number Of Logon)和登錄時間信息(Logon Hours)等����,對我們分析用戶的使用情況也有幫助的�����。
出處:藍(lán)色理想
責(zé)任編輯:藍(lán)色
上一頁 下一頁 剖析Windows任務(wù)管理器開發(fā)原理與實(shí)現(xiàn)<2>
|
第 1 頁 剖析Windows任務(wù)管理器開發(fā)原理與實(shí)現(xiàn)
第 2 頁 
