标签：

利用未公开API获取终端会话闲置时间(Idle Time)和登入时间(Logon Time)
作者：Tuuzed(土仔)   发表于：2008年3月3日23:12:38 
版权声明：可以任意转载，转载时请务必以超链接形式标明文章原始出处和作者信息及本声明。

    
    可能很多人都知道NT系统的query user命令，命令返回“使用者名称 工作阶段名称 识别码 状态 闲置时间 登入时间”。如图：

    微软给出了获取终端会话的重要API（见Terminal Services API Functions），与获取当前终端会话功能有关的API有：WTSEnumerateSessions，WTSQuerySessionInformation。

WTSEnumerateSessions：顾名思义就是列出所有的Session，返回一个WTS_SESSION_INFO结构，结构存储了SessionId，WinStationName，State（包括Active、Disconnected等状态）。

WTSQuerySessionInformation：这个和上面的API有些不同，它只能通过SessionId来查询Session的详细信息，可获取例如用于连接终端客户端工具的ClientName、ClientDirectory等，比WTSEnumerateSessions功能丰富。

    按照MSDN上说的，WTSQuerySessionInformation还可以获取IdleTime、LogonTime、IncomingBytes、OutgoingBytes等信息，可惜，标明是“This value is not used.”，要使用的话必须在Windows Server 2008和Windows Vista SP1下使用，局限性太大了。只好自己上Goolge上搜索一下了，在国外的论坛中，大部分人对于获取Idle Time都是说在WIN2008或VISTA才支持。那么WIN2000、2003里的query命令是怎么获得登入时间的？这里面肯定有什么没有公开的API在里面！果然，我找到了Guy Teverovsky的BLOG，它给出的答案（《Querying TS session idle time with C#》译文：《[翻译]利用C#获取终端服务(Terminal Services)会话的闲置时间》）和我预想的差不错——所要的信息在在Winsta.dll内的一个未公开API函数WinStationQueryInformationW返回的结构WINSTATIONQUERYINFORMATIONW里面。

    要想使用WinStationQueryInformationW必须知道其中两个重要的参数WinStationInformation（枚举类型）值和WINSTATIONINFORMATIONW结构内容。在VS2005对上述两个值有定义（winternl.h）：

 

typedef enum _WINSTATIONINFOCLASS {
    WinStationInformation = 8
} WINSTATIONINFOCLASS; 

 

typedef struct _WINSTATIONINFORMATIONW {
    BYTE Reserved2[70];
    ULONG LogonId;
    BYTE Reserved3[1140];
} WINSTATIONINFORMATIONW, * PWINSTATIONINFORMATIONW; 

    第一个值很清楚了，是8。而后一个结构，保留位达1140位，这里有太多未知的信息了。还好那位牛人给出了C#的定义，我把它转成C++的结构定义：

typedef struct _WINSTATIONQUERYINFORMATION
{
    char Reserved1[72];
    unsigned int SessionId;
    char Reserved2[4];
    FILETIME ConnectTime;
    FILETIME DisconnectTime;
    FILETIME LastInputTime;
    FILETIME LogonTime;
    char Reserved3[1096];
    FILETIME CurrentTime;
} WINSTATIONQUERYINFORMATION, *PWINSTATIONQUERYINFORMATION; 

    定义完这个结构，工作已经有眉目了。下面就是载入Winsta.dll内那个未公开的API函数，顺便包装了一下：