穿透Session 0 隔离（二）

winston

上一篇 我们已经对Session 0 隔离有了进一步认识，如果在开发过程中确实需要服务与桌面用户进行交互，可以通过远程桌面服务的API 绕过Session 0 的隔离完成交互操作。

     对于简单的交互，服务可以通过WTSSendMessage 函数，在用户Session 上显示消息窗口。对于一些复杂的UI 交互，必须调用CreateProcessAsUser 或其他方法（WCF、.NET远程处理等）进行跨Session 通信，在桌面用户上创建一个应用程序界面。

WTSSendMessage 函数

     如果服务只是简单的向桌面用户Session 发送消息窗口，则可以使用WTSSendMessage 函数实现。首先，在上一篇下载的代码中加入一个Interop.cs 类，并在类中加入如下代码：

1. public static IntPtr WTS_CURRENT_SERVER_HANDLE = IntPtr.Zero;
3. public static void ShowMessageBox(string message, string title)
4. {
5.     int resp = 0;
6.     WTSSendMessage(
7.         WTS_CURRENT_SERVER_HANDLE,
8.         WTSGetActiveConsoleSessionId(),
9.         title, title.Length,
10.         message, message.Length,
11.         0, 0, out resp, false);
12. }
14. [DllImport("kernel32.dll", SetLastError = true)]
15. public static extern int WTSGetActiveConsoleSessionId();
17. [DllImport("wtsapi32.dll", SetLastError = true)]
18. public static extern bool WTSSendMessage(
19.     IntPtr hServer,
20.     int SessionId,
21.     String pTitle,
22.     int TitleLength,
23.     String pMessage,
24.     int MessageLength,
25.     int Style,
26.     int Timeout,
27.     out int pResponse,
28.     bool bWait);

复制代码

     在ShowMessageBox 函数中调用了WTSSendMessage 来发送信息窗口，这样我们就可以在Service 的OnStart 函数中使用，打开Service1.cs 加入下面代码：

1. protected override void OnStart(string[] args)
2. {
3.     Interop.ShowMessageBox("This a message from AlertService.",
4.                            "AlertService Message");
5. }

复制代码

     编译程序后在服务管理器中重新启动AlertService 服务，从下图中可以看到消息窗口是在当前用户桌面显示的，而不是Session 0 中。

CreateProcessAsUser 函数

     如果想通过服务向桌面用户Session 创建一个复杂UI 程序界面，则需要使用CreateProcessAsUser 函数为用户创建一个新进程用来运行相应的程序。打开Interop 类继续添加下面代码：

1. public static void CreateProcess(string app, string path)
2. {
3.     bool result;
4.     IntPtr hToken = WindowsIdentity.GetCurrent().Token;
5.     IntPtr hDupedToken = IntPtr.Zero;
7.     PROCESS_INFORMATION pi = new PROCESS_INFORMATION();
8.     SECURITY_ATTRIBUTES sa = new SECURITY_ATTRIBUTES();
9.     sa.Length = Marshal.SizeOf(sa);
11.     STARTUPINFO si = new STARTUPINFO();
12.     si.cb = Marshal.SizeOf(si);
14.     int dwSessionID = WTSGetActiveConsoleSessionId();
15.     result = WTSQueryUserToken(dwSessionID, out hToken);
16.    
17.     if (!result)
18.     {
19.         ShowMessageBox("WTSQueryUserToken failed", "AlertService Message");
20.     }
22.     result = DuplicateTokenEx(
23.           hToken,
24.           GENERIC_ALL_ACCESS,
25.           ref sa,
26.           (int)SECURITY_IMPERSONATION_LEVEL.SecurityIdentification,
27.           (int)TOKEN_TYPE.TokenPrimary,
28.           ref hDupedToken
29.        );
31.     if (!result)
32.     {
33.         ShowMessageBox("DuplicateTokenEx failed" ,"AlertService Message");
34.     }
36.     IntPtr lpEnvironment = IntPtr.Zero;
37.     result = CreateEnvironmentBlock(out lpEnvironment, hDupedToken, false);
39.     if (!result)
40.     {
41.         ShowMessageBox("CreateEnvironmentBlock failed", "AlertService Message");
42.     }
44.     result = CreateProcessAsUser(
45.                          hDupedToken,
46.                          app,
47.                          String.Empty,
48.                          ref sa, ref sa,
49.                          false, 0, IntPtr.Zero,
50.                          path, ref si, ref pi);
52.     if (!result)
53.     {
54.         int error = Marshal.GetLastWin32Error();
55.         string message = String.Format("CreateProcessAsUser Error: {0}", error);
56.         ShowMessageBox(message, "AlertService Message");
57.     }
59.     if (pi.hProcess != IntPtr.Zero)
60.         CloseHandle(pi.hProcess);
61.     if (pi.hThread != IntPtr.Zero)
62.         CloseHandle(pi.hThread);
63.     if (hDupedToken != IntPtr.Zero)
64.         CloseHandle(hDupedToken);
65. }
67. [StructLayout(LayoutKind.Sequential)]
68. public struct STARTUPINFO
69. {
70.     public Int32 cb;
71.     public string lpReserved;
72.     public string lpDesktop;
73.     public string lpTitle;
74.     public Int32 dwX;
75.     public Int32 dwY;
76.     public Int32 dwXSize;
77.     public Int32 dwXCountChars;
78.     public Int32 dwYCountChars;
79.     public Int32 dwFillAttribute;
80.     public Int32 dwFlags;
81.     public Int16 wShowWindow;
82.     public Int16 cbReserved2;
83.     public IntPtr lpReserved2;
84.     public IntPtr hStdInput;
85.     public IntPtr hStdOutput;
86.     public IntPtr hStdError;
87. }
89. [StructLayout(LayoutKind.Sequential)]
90. public struct PROCESS_INFORMATION
91. {
92.     public IntPtr hProcess;
93.     public IntPtr hThread;
94.     public Int32 dwProcessID;
95.     public Int32 dwThreadID;
96. }
98. [StructLayout(LayoutKind.Sequential)]
99. public struct SECURITY_ATTRIBUTES
100. {
101.     public Int32 Length;
102.     public IntPtr lpSecurityDescriptor;
103.     public bool bInheritHandle;
104. }
106. public enum SECURITY_IMPERSONATION_LEVEL
107. {
108.     SecurityAnonymous,
109.     SecurityIdentification,
110.     SecurityImpersonation,
111.     SecurityDelegation
112. }
114. public enum TOKEN_TYPE
115. {
116.     TokenPrimary = 1,
117.     TokenImpersonation
118. }
120. public const int GENERIC_ALL_ACCESS = 0x10000000;
122. [DllImport("kernel32.dll", SetLastError = true,
123.     CharSet = CharSet.Auto, CallingConvention = CallingConvention.StdCall)]
124. public static extern bool CloseHandle(IntPtr handle);
126. [DllImport("advapi32.dll", SetLastError = true,
127.     CharSet = CharSet.Ansi, CallingConvention = CallingConvention.StdCall)]
128. public static extern bool CreateProcessAsUser(
129.     IntPtr hToken,
130.     string lpApplicationName,
131.     string lpCommandLine,
132.     ref SECURITY_ATTRIBUTES lpProcessAttributes,
133.     ref SECURITY_ATTRIBUTES lpThreadAttributes,
134.     bool bInheritHandle,
135.     Int32 dwCreationFlags,
136.     IntPtr lpEnvrionment,
137.     string lpCurrentDirectory,
138.     ref STARTUPINFO lpStartupInfo,
139.     ref PROCESS_INFORMATION lpProcessInformation);
141. [DllImport("advapi32.dll", SetLastError = true)]
142. public static extern bool DuplicateTokenEx(
143.     IntPtr hExistingToken,
144.     Int32 dwDesiredAccess,
145.     ref SECURITY_ATTRIBUTES lpThreadAttributes,
146.     Int32 ImpersonationLevel,
147.     Int32 dwTokenType,
148.     ref IntPtr phNewToken);
150. [DllImport("wtsapi32.dll", SetLastError=true)]
151. public static extern bool WTSQueryUserToken(
152.     Int32 sessionId,
153.     out IntPtr Token);
155. [DllImport("userenv.dll", SetLastError = true)]
156. static extern bool CreateEnvironmentBlock(
157.     out IntPtr lpEnvironment,
158.     IntPtr hToken,
159.     bool bInherit);

复制代码

     在CreateProcess 函数中同时也涉及到DuplicateTokenEx、WTSQueryUserToken、CreateEnvironmentBlock 函数的使用，有兴趣的朋友可通过MSDN 进行学习。完成CreateProcess 函数创建后，就可以真正的通过它来调用应用程序了，回到Service1.cs 修改一下OnStart 我们来打开一个CMD 窗口。如下代码：

1. protected override void OnStart(string[] args)
2. {
3.     Interop.CreateProcess("cmd.exe",@"C:\Windows\System32");
4. }

复制代码

     重新编译程序，启动AlertService 服务便可看到下图界面。至此，我们已经可以通过一些简单的方法对Session 0 隔离问题进行解决。大家也可以通过WCF 等技术完成一些更复杂的跨Session 通信方式，实现在Windows 7 及Vista 系统中服务与桌面用户的交互操作。

参考资料

1. WTSSendMessage Function
http://msdn.microsoft.com/en-us/library/aa383842(VS.85).aspx

2. CreateProcessAsUser Function
http://msdn.microsoft.com/en-us/library/ms682429(v=VS.85).aspx

3. WTSSendMessage (wtsapi32)
http://www.pinvoke.net/default.aspx/wtsapi32/WTSSendMessage.html

4. WTSQueryUserToken Function
http://msdn.microsoft.com/en-us/library/aa383840(VS.85).aspx

5. http://www.pinvoke.net/

代码下载：
作者：李敬然（Gnie）
出处：{GnieTech} （http://www.cnblogs.com/gnielee/）
版权声明：本文的版权归作者与博客园共有。转载时须注明本文的详细链接，否则作者将保留追究其法律责任。