利用未公開API獲取終端會話閑置時間(Idle Time)和登入時間(Logon Time)
作者：Tuuzed(土仔)   發表于：2008年3月3日23:12:38 
版權聲明：可以任意轉載，轉載時請務必以超鏈接形式標明文章原始出處和作者信息及本聲明。
http://www.shnenglu.com/tuuzed/archive/2008/03/03/43631.html

    
    可能很多人都知道NT系統的query user命令，命令返回“使用者名稱 工作階段名稱 識別碼 狀態 閑置時間 登入時間”。如圖：

    微軟給出了獲取終端會話的重要API（見Terminal Services API Functions），與獲取當前終端會話功能有關的API有：WTSEnumerateSessions，WTSQuerySessionInformation。

        WTSEnumerateSessions：顧名思義就是列出所有的Session，返回一個WTS_SESSION_INFO結構，結構存儲了SessionId，WinStationName，State（包括Active、Disconnected等狀態）。

        WTSQuerySessionInformation：這個和上面的API有些不同，它只能通過SessionId來查詢Session的詳細信息，可獲取例如用于連接終端客戶端工具的ClientName、ClientDirectory等，比WTSEnumerateSessions功能豐富。

    按照MSDN上說的，WTSQuerySessionInformation還可以獲取IdleTime、LogonTime、IncomingBytes、OutgoingBytes等信息，可惜，標明是“This value is not used.”，要使用的話必須在Windows Server 2008和Windows Vista SP1下使用，局限性太大了。只好自己上Goolge上搜索一下了，在國外的論壇中，大部分人對于獲取Idle Time都是說在WIN2008或VISTA才支持。那么WIN2000、2003里的query命令是怎么獲得登入時間的？這里面肯定有什么沒有公開的API在里面！果然，我找到了Guy Teverovsky的BLOG，它給出的答案（《Querying TS session idle time with C#》譯文：《[翻譯]利用C#獲取終端服務(Terminal Services)會話的閑置時間》）和我預想的差不錯——所要的信息在在Winsta.dll內的一個未公開API函數WinStationQueryInformationW返回的結構WINSTATIONQUERYINFORMATIONW里面。

    要想使用WinStationQueryInformationW必須知道其中兩個重要的參數WinStationInformation（枚舉類型）值和WINSTATIONINFORMATIONW結構內容。在VS2005對上述兩個值有定義（winternl.h）：

typedef enum _WINSTATIONINFOCLASS {
    WinStationInformation = 8
} WINSTATIONINFOCLASS; 

typedef struct _WINSTATIONINFORMATIONW {
    BYTE Reserved2[70];
    ULONG LogonId;
    BYTE Reserved3[1140];
} WINSTATIONINFORMATIONW, * PWINSTATIONINFORMATIONW; 

    第一個值很清楚了，是8。而后一個結構，保留位達1140位，這里有太多未知的信息了。還好那位牛人給出了C#的定義，我把它轉成C++的結構定義：

typedef struct _WINSTATIONQUERYINFORMATION
{
    char Reserved1[72];
    unsigned int SessionId;
    char Reserved2[4];
    FILETIME ConnectTime;
    FILETIME DisconnectTime;
    FILETIME LastInputTime;
    FILETIME LogonTime;
    char Reserved3[1096];
    FILETIME CurrentTime;
} WINSTATIONQUERYINFORMATION, *PWINSTATIONQUERYINFORMATION; 

    定義完這個結構，工作已經有眉目了。下面就是載入Winsta.dll內那個未公開的API函數，順便包裝了一下：

BOOL WINAPI WinStationQueryInformation(HANDLE hServer, DWORD SessionId, DWORD InfoClass, LPVOID Buffer, DWORD BufferLength, LPDWORD Count)
{
    typedef BOOL (WINAPI *PROCPTR)(HANDLE, DWORD, DWORD, LPVOID, DWORD, LPDWORD);
    static HMODULE hModule = NULL;
    static PROCPTR proc = NULL;
    hModule = LoadLibrary("winsta.dll");
    if (hModule == NULL)
    {
        return FALSE;
    } 

    if (proc == NULL)
    {
        proc = (PROCPTR) GetProcAddress(hModule, "WinStationQueryInformationW");
    } 

    if (proc == NULL)
    {
        return FALSE;
    } 

    return proc(hServer, SessionId, InfoClass, Buffer, BufferLength, Count);
} 

    這樣，只要直接調用自己的WinStationQueryInformation來間接調用DLL里面的WinStationQueryInformationW就可以了。登入時間Logon Time是可以直接獲取的，而閑置時間的獲取就要參考當前會話的狀態了：如果會話是斷開(Disconnected)狀態，閑置時間＝當前時間－斷開時間(Idle Time = CurrentTime - DisconnectTime)；如果會話是活動的(alive)狀態，閑置時間＝當前時間－最后輸入時間(Idle Time = CurrentTime - LastInputTime)。

    已經做出來了一個DEMO，看截圖：

    這是我做的一個ROOKIT工具的截圖，其中就包括有對終端會話的管理等。在這次編程后，給我感觸最深的就是國外大蝦解決問題的方法與國內的我們有很大的不同，他們善于從多角度來解決問題，獨自解決問題后再總結，是利用網絡資源而不是依賴網絡資源。