利用未公開(kāi)API獲取終端會(huì)話閑置時(shí)間(Idle Time)和登入時(shí)間(Logon Time)
作者：Tuuzed(土仔)   發(fā)表于：2008年3月3日23:12:38 
版權(quán)聲明：可以任意轉(zhuǎn)載，轉(zhuǎn)載時(shí)請(qǐng)務(wù)必以超鏈接形式標(biāo)明文章原始出處和作者信息及本聲明。
http://www.shnenglu.com/tuuzed/archive/2008/03/03/43631.html

    
    可能很多人都知道NT系統(tǒng)的query user命令，命令返回“使用者名稱 工作階段名稱 識(shí)別碼 狀態(tài) 閑置時(shí)間 登入時(shí)間”。如圖：

    微軟給出了獲取終端會(huì)話的重要API（見(jiàn)Terminal Services API Functions），與獲取當(dāng)前終端會(huì)話功能有關(guān)的API有：WTSEnumerateSessions，WTSQuerySessionInformation。

        WTSEnumerateSessions：顧名思義就是列出所有的Session，返回一個(gè)WTS_SESSION_INFO結(jié)構(gòu)，結(jié)構(gòu)存儲(chǔ)了SessionId，WinStationName，State（包括Active、Disconnected等狀態(tài)）。

        WTSQuerySessionInformation：這個(gè)和上面的API有些不同，它只能通過(guò)SessionId來(lái)查詢Session的詳細(xì)信息，可獲取例如用于連接終端客戶端工具的ClientName、ClientDirectory等，比WTSEnumerateSessions功能豐富。

    按照MSDN上說(shuō)的，WTSQuerySessionInformation還可以獲取IdleTime、LogonTime、IncomingBytes、OutgoingBytes等信息，可惜，標(biāo)明是“This value is not used.”，要使用的話必須在Windows Server 2008和Windows Vista SP1下使用，局限性太大了。只好自己上Goolge上搜索一下了，在國(guó)外的論壇中，大部分人對(duì)于獲取Idle Time都是說(shuō)在WIN2008或VISTA才支持。那么WIN2000、2003里的query命令是怎么獲得登入時(shí)間的？這里面肯定有什么沒(méi)有公開(kāi)的API在里面！果然，我找到了Guy Teverovsky的BLOG，它給出的答案（《Querying TS session idle time with C#》譯文：《[翻譯]利用C#獲取終端服務(wù)(Terminal Services)會(huì)話的閑置時(shí)間》）和我預(yù)想的差不錯(cuò)——所要的信息在在Winsta.dll內(nèi)的一個(gè)未公開(kāi)API函數(shù)WinStationQueryInformationW返回的結(jié)構(gòu)WINSTATIONQUERYINFORMATIONW里面。

    要想使用WinStationQueryInformationW必須知道其中兩個(gè)重要的參數(shù)WinStationInformation（枚舉類型）值和WINSTATIONINFORMATIONW結(jié)構(gòu)內(nèi)容。在VS2005對(duì)上述兩個(gè)值有定義（winternl.h）：

typedef enum _WINSTATIONINFOCLASS {
    WinStationInformation = 8
} WINSTATIONINFOCLASS; 

typedef struct _WINSTATIONINFORMATIONW {
    BYTE Reserved2[70];
    ULONG LogonId;
    BYTE Reserved3[1140];
} WINSTATIONINFORMATIONW, * PWINSTATIONINFORMATIONW; 

    第一個(gè)值很清楚了，是8。而后一個(gè)結(jié)構(gòu)，保留位達(dá)1140位，這里有太多未知的信息了。還好那位牛人給出了C#的定義，我把它轉(zhuǎn)成C++的結(jié)構(gòu)定義：

typedef struct _WINSTATIONQUERYINFORMATION
{
    char Reserved1[72];
    unsigned int SessionId;
    char Reserved2[4];
    FILETIME ConnectTime;
    FILETIME DisconnectTime;
    FILETIME LastInputTime;
    FILETIME LogonTime;
    char Reserved3[1096];
    FILETIME CurrentTime;
} WINSTATIONQUERYINFORMATION, *PWINSTATIONQUERYINFORMATION; 

    定義完這個(gè)結(jié)構(gòu)，工作已經(jīng)有眉目了。下面就是載入Winsta.dll內(nèi)那個(gè)未公開(kāi)的API函數(shù)，順便包裝了一下：

BOOL WINAPI WinStationQueryInformation(HANDLE hServer, DWORD SessionId, DWORD InfoClass, LPVOID Buffer, DWORD BufferLength, LPDWORD Count)
{
    typedef BOOL (WINAPI *PROCPTR)(HANDLE, DWORD, DWORD, LPVOID, DWORD, LPDWORD);
    static HMODULE hModule = NULL;
    static PROCPTR proc = NULL;
    hModule = LoadLibrary("winsta.dll");
    if (hModule == NULL)
    {
        return FALSE;
    } 

    if (proc == NULL)
    {
        proc = (PROCPTR) GetProcAddress(hModule, "WinStationQueryInformationW");
    } 

    if (proc == NULL)
    {
        return FALSE;
    } 

    return proc(hServer, SessionId, InfoClass, Buffer, BufferLength, Count);
} 

    這樣，只要直接調(diào)用自己的WinStationQueryInformation來(lái)間接調(diào)用DLL里面的WinStationQueryInformationW就可以了。登入時(shí)間Logon Time是可以直接獲取的，而閑置時(shí)間的獲取就要參考當(dāng)前會(huì)話的狀態(tài)了：如果會(huì)話是斷開(kāi)(Disconnected)狀態(tài)，閑置時(shí)間＝當(dāng)前時(shí)間－斷開(kāi)時(shí)間(Idle Time = CurrentTime - DisconnectTime)；如果會(huì)話是活動(dòng)的(alive)狀態(tài)，閑置時(shí)間＝當(dāng)前時(shí)間－最后輸入時(shí)間(Idle Time = CurrentTime - LastInputTime)。

    已經(jīng)做出來(lái)了一個(gè)DEMO，看截圖：

    這是我做的一個(gè)ROOKIT工具的截圖，其中就包括有對(duì)終端會(huì)話的管理等。在這次編程后，給我感觸最深的就是國(guó)外大蝦解決問(wèn)題的方法與國(guó)內(nèi)的我們有很大的不同，他們善于從多角度來(lái)解決問(wèn)題，獨(dú)自解決問(wèn)題后再總結(jié)，是利用網(wǎng)絡(luò)資源而不是依賴網(wǎng)絡(luò)資源。