进程枚举
所有用户都对系统中的进程列表具有读取访问权限,并且有许多不同的函数枚举活动进程。 应使用的函数将取决于所需平台支持等因素。
以下函数用于枚举进程。
| 函数 | 说明 |
|---|---|
| EnumProcesses | 检索系统中每个进程对象的进程标识符。 |
| Process32First | 检索有关系统快照中遇到的第一个进程的信息。 |
| Process32Next | 检索系统快照中记录的下一个进程的相关信息。 |
| WTSEnumerateProcesses | 检索有关指定终端服务器上的活动进程的信息。 |
工具帮助函数和 EnumProcesses 枚举所有进程。 若要列出在特定用户帐户中运行的进程,请使用 WTSEnumerateProcesses 并筛选用户 SID。 可以根据会话 ID 进行筛选,以隐藏在其他终端服务器会话中运行的进程。
还可以通过使用 TokenUser 调用 OpenProcess、OpenProcessToken 和 GetTokenInformation,按用户帐户筛选进程,而不考虑枚举函数。 但是,除非已授予访问权限,否则无法打开受安全描述符保护的进程。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈