在用户层,我们可以通过WTSQuerySessionInformation获取指定会话ID的信息,比如用户名,会话时长等。在内核中,能否通过某些内核API获得这些信息?比如,获得某进程ID后,可以用ZwQuerySystemInformation来查询该进程的很多信息,包括会话ID。得到该会话ID后,能否继续获得用户名、会话初始时间等以上信息呢?请大牛指点一二。非常感谢。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
lononan PsGetProcessSessionId
谢谢。PsGetProcessSessionId这个api可以获得指定ID的进程所属的会话ID,不知由此会话ID还可继续获取会话的哪些具体信息?烦解惑。多谢。
另外,我查了些例子,可以从进程ID去查找该进程的令牌,从而获得该进程的用户信息(GetSecurityUserInfo)。这样也就达到了目的。
lononan 
