在用户层,我们可以通过WTSQuerySessionInformation获取指定会话ID的信息,比如用户名,会话时长等。在内核中,能否通过某些内核API获得这些信息?比如,获得某进程ID后,可以用ZwQuerySystemInformation来查询该进程的很多信息,包括会话ID。得到该会话ID后,能否继续获得用户名、会话初始时间等以上信息呢?请大牛指点一二。非常感谢。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
lononan PsGetProcessSessionId
谢谢。PsGetProcessSessionId这个api可以获得指定ID的进程所属的会话ID,不知由此会话ID还可继续获取会话的哪些具体信息?烦解惑。多谢。
另外,我查了些例子,可以从进程ID去查找该进程的令牌,从而获得该进程的用户信息(GetSecurityUserInfo)。这样也就达到了目的。
lononan 
