查看: 3944|回复: 24
怎么感觉KES的系统监控和应用程序权限控制很卡？
本帖最后由 尘梦幽然 于
11:08 编辑
请问大家的应用程序控制和系统监控都勾选&信任带数字签名的程序&吗？
这几天安装了不少软件，KES的应用程序权限控制没少弹窗。
比如福昕阅读器、QQ和迅雷的更新...因为当时我看了设置向导帖后没有勾选&信任带数字签名的程序&，所以每次更新应用程序权限控制都要弹窗询问。而且一旦出现这种情况就算我点信任放行，也要卡好一会儿。
尤其是在安装福昕阅读器的时候，运行安装包后巨卡好一会，然后询问我是否放行，然后我点是后，干脆就没反应了！！！CPU占用也没有明显增长，我不得不结束福昕阅读器的安装进程，关掉卡巴重新安装。
卡巴的主防和HIPS真的冲突这么严重吗？求解？到底是怎么回事？
你的KES版本是否是8.1.0.831，最开的版本，需要更新病毒库到a.b才能显著解决卡顿问题
<font color="#4678343 发表于
你的KES版本是否是8.1.0.831，最开的版本，需要更新病毒库到a.b才能显著解决卡顿问题
8.1.0.646(a,b)
话说我这是从卡巴斯基中文官网上下载的。
病毒库已经是最新了
本帖最后由
13:12 编辑
尘梦幽然 发表于
8.1.0.646(a,b)
话说我这是从卡巴斯基中文官网上下载的。
病毒库已经是最新了
a.b补丁以后应该有明显好转的...看来你得安装新版KES了
Kaspersky Endpoint Security 8 for Windows CF1 (版本 8.1.0.831) 发布说明
发布日期 日
已修复的问题：
Build 8.1.0.831
(116895) 现在，当网页上的广告被阻止后，与广告图像大小一样的空白图像将显示在该广告所在的位置。
(125020) 通过卡巴斯基安全中心管理控制台重新扫描文件时，所有文件都将被处理，而不再是仅处理第一个文件。
(144975) 现在已不允许使用空白密码启用保护，也不再允许将密码范围设置为空白的受保护操作列表。
(145385) 此次发布修复了将隔离文件以电子邮件格式转发给卡巴斯基实验室进行检查时所生成的电子邮件地址不正确的问题。
(149438) 此次发布修复了在“网络监控”设置中显示系统进程相关信息的问题。
(149896) 将 Kaspersky Anti-Virus 6.0 MP4 的策略转换为 Kaspersky Endpoint Security 8 for Windows 的策略时，Kaspersky Anti-Virus 6.0 MP4 的卡巴斯基安全中心策略的密码解密不正确，此次发布已修复该问题。
(151148) 将 Kaspersky Anti-Virus 6.0 MP4 的卡巴斯基安全中心策略转换为 Kaspersky Endpoint Security 8 for Windows 的策略时，本地模式的更新任务设置和移动模式的更新任务设置之间的转换不完整，此次发布已修复该问题。
(151288) 应用卡巴斯基安全中心策略时，有时会导致 Microsoft Windows XP x64 蓝屏，此次发布已修复该问题。
(152768) 此次发布改善了在“卡巴斯基安全中心策略创建向导”中添加例外时的步骤。
(153845) 新添加至卡巴斯基安全中心策略的受保护资源会显示为“未知的应用程序”，此次发布已修复该问题。
(153858) 此次发布修复了会导致“网络代{过}{滤}理”停止工作的网络代{过}{滤}理控制台插件。
(154170) 此次发布修复了在卡巴斯基安全中心管理控制台内的计算机属性窗口中更新上次扫描日期时所遇到的问题。
(155282) 此次发布修复了在 Windows 事件日志中过度频繁地生成消息的问题。
(155282) 在卡巴斯基安全中心管理控制台中配置要扫描的特定文件时，如果输入包含环境变量的文件路径则会发生问题，此次发布已修复该问题。
(156628) 现在使用 Sysprep 实用工具时，操作系统的图像能够正确显示并且分发给其他计算机。当前仍存在一个操作限制：在 Microsoft Windows 7 中，在创建图像前必须先关闭“自我保护”。
此次发布修复了程序某些窗口的本地化问题。
(157289) 此次发布修复了在卡巴斯基安全中心策略中将新地址添加至网页资源访问规则时所遇到的问题。
(157420) 此次发布修复了使用外部文件 cleaner.cab 远程安装 Kaspersky Endpoint Security 8 for Windows 时出现的问题。
(158819) 此次发布修复了与某些型号打印机的驱动程序的兼容性问题。
(158890) 此次发布修复了使用可以防止邮件数据库发生重复的 David.fx 应用程序邮件服务的兼容性问题。
(159593) 为指定计算机应用某个策略时，本地更新任务不再从卡巴斯基安全中心管理控制台中计算机属性的任务列表中消失。
(159634) 使用卡巴斯基安全中心策略配置某些可以在程序本地界面中“支持”窗口内提供程序支持信息的网页资源的链接，此次发布已修复相关问题，不再显示标准链接。
(159637) 此次发布修复了在用户计算机上通过卡巴斯基安全中心策略保护对 Kaspersky Endpoint Security 8 for Windows 功能和设置时所使用的密码设置问题。在卡巴斯基安全中心策略中使用的密码设置现已正确运行。
(160061) 主程序窗口中现在能够正确显示程序反病毒数据库中签名的数量。
(160147) 此次发布修复了在“应用程序控制规则”选项卡上“防火墙”窗口中列表的行为。
(160499) 此次发布修复了在配合 Microsoft Outlook 2010 使用内置表单发送邮件时用户输入消失的问题。
(160734) 此次发布修复了使用密码保护扫描任务防止其被停止时出现的问题。如果设置了密码防止扫描任务被停止，用户将再也无法停止在某个设备接入时该设备自动接受的扫描。
(162065) 此次发布修复了如果没有某些注册表项写入权限时，卡巴斯基安全中心管理控制台将停止工作的问题。
(164631) 在 Microsoft Windows 任务栏通知区域中的程序图标的上下文菜单中，如果应用并激活了某个卡巴斯基安全中心策略，“暂停保护”选项将不再可用。
·& & (164724) 在程序本地界面的“报告和存储”窗口中“漏洞”选项卡上，用于重新测试漏洞的“重新扫描”按钮是否可用将取决于卡巴斯基安全中心活动策略设置中“允许显示和管理本地任务”选框的状态(164724)。
(164981) 如果在程序设置中禁用了 KSN，程序组件将不再查询 KSN。
(166401) 创建卡巴斯基安全中心策略时，在策略设置的“网络端口”窗口中已默认取消选择“监控指定应用程序的所有端口”选框。
(168385) 包含某些国家或地区特定编码符号的文件路径在某些应用程序窗口中无法正确显示，此次发布已修复该问题。
(172205) 将 Kaspersky Anti-Virus 6.0 MP4 的卡巴斯基安全中心策略转换为 Kaspersky Endpoint Security 8 for Windows 的策略时，防火墙设置迁移会出现问题，此次发布已修复该问题。
(173276) 此次发布修复了启用“系统监控”组件后导致计算机性能下降的问题。
(152470) 此次发布修复了导致防火墙阻拦 Microsoft Internet Explorer 的问题。
(156569) 创建新卡巴斯基安全中心策略时，Microsoft 建议用户添加至受信区域的程序列表现在可以正确生成。
(170102) 此次发布解决了便携式电脑插接站上无效的USB端口的问题。
(143609) 先前处理的钓鱼链接不再添加至未处理文件列表中。
(153902) 此次发布修复了删除疑似有害的软件时所出现的问题。
Build 8.1.0.831
此次发布包含新的反病毒数据库和用于识别不兼容产品的 INI 文件。
此次发布包含了补丁A和补丁B的所有修改。
本程序生成的网络流量已降低，程序的稳定性已增强，程序在操作系统中的加载时间已减少。
第一次启动时，该程序的主窗口开启地更快速。
现在生成启动程序列表以创建受信任应用程序列表时将显示进度指示器。
已改善对内嵌操作系统的支持。
(156907) 现在卡巴斯基安全中心报告中可以显示更多关于受感染文件和疑似感染文件的信息。
·& & 有关卡巴斯基安全中心的事件报告数量已减少，这可以降低卡巴斯基安全中心的负荷和本地网络的负荷。
·& & (163470) 远程安装 Kaspersky Endpoint Security 8 for Windows 和检测到与 Kaspersky Endpoint Security 8 for Windows 不兼容的程序时不再需要过多地重启操作系统。
·& & Kaspersky Endpoint Security 8 for Windows 安装完毕后，“漏洞监控”组件默认已禁用。如果程序在旧版本基础上进行安装，某个组件的状态将保持为该程序旧版本上该组件的状态。
Kaspersky Endpoint Security 8 for Windows 是一款致力于保护公司局域网内数据安全的全方位设计的程序。该程序确保了针对病毒和恶意软件、未知威胁和欺诈的防御保护，允许您按照用户、应用程序对设备和网页资源的访问对应用程序的启动进行控制。
这种全方位的保护涵盖了接收和传输数据所用到的所有通道。每个保护和控制组件的弹性配置可允许您调整 Kaspersky Endpoint Security 8 for Windows 以满足公司的需求。
程序功能有何新变化：
“应用程序控制”使您可以根据公司 IT 部门的策略允许或阻止应用程序的启动和操作。“应用程序控制”包含以下组件：
“应用程序启动控制”将根据公司局域网管理员指定的允许或阻止应用程序运行的规则进行操作。您可以根据卡巴斯基实验室提供的软件类别创建规则，也可以根据公司局域网管理员指定的条件创建规则。由于已经与活动目录相集成，允许或阻止应用程序启动的规则已针对活动目录内的用户或用户组进行定义。
“应用程序权限控制”将根据应用程序的危险级别和信誉度允许或阻止其执行操作。由卡巴斯基实验室提供的应用程序信誉度的相关信息。
“漏洞监控器”将检测用户计算机中启动的应用程序的漏洞，以及用户计算机中安装的所有应用程序的漏洞。
已添加“网页控制”组件，该组件可以根据规则限制或禁止用户对网页资源的访问。网页资源的内容类别、数据类型、特定的网页地址或网页地址组可在配置规则时进行指定。由于已经与活动目录相集成，网页资源的访问控制规则已针对活动目录内的用户或用户组进行定义。
主程序窗口新界面：现在您可以使用主程序窗口查看所有控制组件和保护组件操作的统计信息，也可以查看扫描任务和更新任务的进度。
增强功能：
已增强反病毒保护，部分归功于与卡巴斯基安全网络的集成。与卡巴斯基安全网络的集成可以获取有关文件和网页地址的信誉信息。
已增强主动杀毒技术。
已增强可防御文件、内存进程、系统注册表值修改的自我保护技术。
已增强主动防御技术：
“系统监控器”组件可记录应用程序的活动；
名为 BSS（行为流特征码）的主动防御技术可根据可更新的特征码检测恶意行为；
已添加在杀毒期间可回滚恶意软件操作的功能。
已增强“防火墙”组件，现在允许您根据端口、IP 地址、生成流量的应用程序以及其他条件监控接收/发送的流量。
已增强“入侵检测系统（IDS）”：可通过指定 IP 地址进行排除。
已增强“设备控制”组件：
已扩展受支持总线和设备类型的集合；
已添加使用文件系统将设备的访问权限限定在 I/O 级别的功能；
已添加可以设定用户访问设备计划的选项。
已添加与活动目录的集成。
已添加对通过 IRC、Mail.ru 和 AIM 协议传输的流量进行扫描。
系统需求（最低配置）
为了确保正确运行该程序，计算机必须满足以下要求：
1 GB 可用磁盘空间。
Microsoft Internet Explorer 7.0 或后续版本。
Microsoft Windows Installer 3.0 或后续版本。
用于激活程序并更新程序数据库和模块的互联网连接。
安装了工作站操作系统的计算机的硬件要求：
Microsoft Windows XP Professional SP3、Microsoft Windows XP Professional x64 Edition SP2：
Intel Pentium 1 GHz 或更高频率的处理器（或同等效能的处理器）
256 MB 可用内存
Microsoft Windows 7 Professional / Enterprise / Ultimate (SP0 和后续版本), Microsoft Windows 7 Professional / Enterprise / Ultimate (x64 Edition SP0 和后续版本), Microsoft Windows Vista SP2, Microsoft Windows Vista x64 Edition SP2:
Intel Pentium 2 GHz 或更高频率的处理器（或同等效能的处理器）
512 MB 可用内存
Microsoft Windows Embedded Standard 7 SP1、Microsoft Windows Embedded Standard 7 x64 Edition SP1、Microsoft Windows Embedded POSReady 2009 最新 SP：
Intel Pentium 800 MHz 或更高频率的处理器（或同等效能的处理器）
256 MB 可用内存
安装了文件服务器操作系统的计算机的硬件要求：
Microsoft Windows Small Business Server 2008 Standard x64 Edition, Microsoft Windows Small Business Server 2011 Essentials / Standard x64 Edition, Microsoft Windows Server 2008 R2 Standard / Enterprise x64 Edition SP1, Microsoft Windows Server 2008 Standard / Enterprise SP2, Microsoft Windows Server 2008 Standard / Enterprise SP2 x64 Edition, Microsoft Windows Server 2003 R2 Standard / Enterprise SP2, Microsoft Windows Server 2003 R2 Standard x64 Edition SP2, Microsoft Windows Server 2003 Standard SP2, Microsoft Windows Server 2003 Standard x64 Edition SP2:
Intel Pentium 2 GHz 或更高频率的处理器（或同等效能的处理器）
512 MB 可用内存
若要安装程序，请运行安装文件并遵循安装向导的以下说明。
安装期间，Kaspersky Endpoint Security 8 for Windows 将检测并允许您卸载当前计算机上运行的可能会影响用户计算机性能（甚至完全无响应）的应用程序。
您可以在以下程序的基础上安装 Kaspersky Endpoint Security 8 for Windows：
KAV 6.0 MP3
KAV 6.0 MP4
KAV 6.0 MP3 和 KAV 6.0 MP4 的所有兼容设置均已自动迁移至 Kaspersky Endpoint Security for Windows。
您可以使用 Kaspersky Security Center 远程安装该程序。
警告！该程序与 Kaspersky Security Center 9.0 版本或后续版本兼容。
您可以以静默模式安装该程序，无需您的任何参与即可进行安装。
限制和已知问题
对于某些漏洞，推荐修复漏洞的操作可能不能正确显示。
“应用程序启动控制”组件可能不支持某些自定义的受信更新程序。
(152513) 对数码摄像头或类似设备的阻止可能会导致 Microsoft Windows XP 在重启时挂起。
(5222) 仅在已启用以下组件之一时 FTP 客户端才能使用被动模式：网页反病毒、网页控制、邮件反病毒、即时通讯反病毒。
某些主动防御和自我防御功能将在 64 位操作系统下受限运行。
在“网页控制”中按内容类别和数据类型类别使用过滤时，某些网站可能会被分配至错误的类别。
在服务器操作系统下运行时，Kaspersky Endpoint Security 不会通知用户有关新检测到感染文件的信息。感染情况将被记录并发送至 Kaspersky Security Center。
阻止通过 FireWire 接口连接的扫描仪时，可能会引起操作系统运行错误。
您可以使用某些虚拟化工具获取被“设备控制”所阻止设备的访问权限。
如果对操作系统所在磁盘设置了阻止规则，尝试登录系统时可能会发生错误。
如果一个阻止本地任务运行的Kaspersky Security Center策略被应用到了计算机，本地更新任务在被设置成“自动”模式时可能会产生“任务启动失败。原因：运行任务被策略禁止”的事件。这个问题可以通过给更新任务设置其他任务运行模式来解决。
RE: 怎么感觉KES的系统监控和应用程序权限控制很卡？
<font color="#4678343 发表于
a.b补丁以后应该有明显好转的...看来你得安装新版KES了
请问您这些信息是从哪里可以固定获得的呢？我也想持续关注一下
尘梦幽然 发表于
请问您这些信息是从哪里可以固定获得的呢？我也想持续关注一下
卡巴一族/卡饭论坛
<font color="#4678343 发表于
卡巴一族/卡饭论坛
为什么官网提供的下载仍是649版本？
我看英文下载页面也有提供649版本的专门下载？明明是旧的版本...
尘梦幽然 发表于
为什么官网提供的下载仍是649版本？
我看英文下载页面也有提供649版本的专门下载？明明是旧的版本 ...
这个暂不清楚...但是可以肯定8.1.0.831已经出了
看配置说话
丶大西瓜 发表于
看配置说话
同样的电脑，装KIS2012和KES8.0,，默认设置下，KES明显要比KIS卡系统...随后卡巴斯基出的a.b补丁之后才得到缓解...
Copyright & KaFan & All Rights Reserved.
Powered by Discuz! X3.1( 苏ICP备号 ) GMT+8,如何在SYSTEM权限下实现屏幕监控
屏幕监控是远控软件的基本功能之一，现在很多远控程序的服务端通常为DLL形式，通过远程线程注入等方法插入到services、svchost等SYSTEM权限的进程中去，而此时常规的屏幕监控就会失效（这是因为与SYSTEM权限进程关联的窗口站、桌面与普通进程不同）。
如何才能在SYSTEM权限下实现屏幕监控呢？
一、 屏幕监控的基本原理
屏幕监控简单说就是对进程的当前桌面进行截屏存成位图，然后将此位图数据传输到远程。
对桌面进行截图需要通过一系列Windows GDI API来完成的。
首先通过CreateDC，CreateCompatibleDC，CreateCompatibleBitmap，SelectObject等API将“DISPLAY”驱动器的设备上下文与位图句柄关联起来。
然后通过GetStockObject，GetDC，SelectPalette等API处理调色板。
最后在一个循环中通过GetDIBits将所有水平线像素数据存入到缓冲区中去。
这个缓冲区就是我们想要的位图数据，只要将这些数据组织一下，就可以当成位图显示出来了。通过连续传输位图，就可以实时对远程屏幕进行监控了。这个过程比较简单，就不浪费文字了。
二、窗口站与桌面
首先必须了解几个重要的概念：
窗口站（WindowsStation）和桌面（Desktop）
是Windows操作系统底层暴露给Windows
API的执行体对象（Windows内部有两种类型的对象：执行体对象和内核对象。执行体对象指由执行体的各种组件如进程管理器、内存管理器等等所实现的
对象。内核对象是由Windows内核实现的一组更基本的对象）。
其中，窗口站对象包含了一个剪贴板、一组全局原子和一组桌面对象。桌面对象是一个被包含在窗口站内部的对象，桌面对象有一个逻辑显示器表面，其中包含了窗口、菜单和钩子。
0 号窗口站（WinSta0）和默认的桌面对象（default
desktop）是有Winlogon进程创建的。窗口站是会话（Session）的下一层组织结构。一个会话可以有多个窗口站，但同一时刻只能有一个窗
口站可以与用户进行交互。每个窗口站有自己的剪贴板，可以有多个桌面。Winlogon进程调用NtUserCreateWindowsStation函
数创建窗口站，再调用NtUserCreateDesktop来创建桌面。它首先会创建一个名为Winlogon的桌面供自己使用（Windows登录界
面就属于属于这个桌面），然后再创建一个名为Default的桌面给应用程序使用。创建完桌面后，Winlogon调用SetActiveDesktop
函数将Winlogon桌面设置为当前的活动桌面。
之后，Winlogon会创建用于管理系统服务的服务管理器
（Service.exe）和本地安全认证子系统（LSASS.exe）。用户登陆信息被验证后，Winlogon会将应用程序桌面激活，启动
UserInit程序，UserInit会运行注册表中定义的登录脚本，然后启动操作系统外壳程序（Shell-默认是explorer.exe）。这是
SYSTEM权限进程和普通用户进程逻辑显示器桌面分离的开始。在以后进程创建CreateProcess的过程中，如果没有指定桌面，那么进程就会与调
用者的当前桌面关联在一起。
在实际测试中，发现services、svchost这些进程似乎没有关联任何桌面（截的屏都是黑屏）。普通
的进程都是Default桌面，登录界面是Winlogon桌面。所以，当dll插入到service.exe等进程中的时候，要想实现截屏必须将进程与
Default桌面关联，用户注销、离开或未登录时就要将进程与Winlogon桌面关联。
Windows给我们提供的一些API允许我们干这些事。
首先可以通过OpenWindowStation打开一个窗口站对象，然后通过SetProcessWindowStation将进程与窗口站关联，通过OpenDesktop打开一个桌面对象，再通过SetThreadDesktop将线程与这个桌面关联。这样service.exe就可以实现截屏了。但如何才能知道当前用户在哪个桌面呢？可以通过下列函数实现：
OpenInputDesktop(DF_ALLOWOTHERACCOUNTHOOK, FALSE,
MAXIMUM_ALLOWED);//打开输入桌面
GetUserObjectInformation(hActiveDesktop, UOI_NAME, pvInfo,
sizeof(pvInfo), &dwLen);
//获取指定桌面对象的信息，一般情况和屏保状态为default，登陆界面为winlogon
pvInfo缓冲区包含的就是当前桌面。这样就可以放心的调用OpenDesktop打开它了。
&進行桌面切換需要有System權限，如果是以服務啟動的話就是了，也可以用注入或其它的方式。
附资料：（转自：http://topic.csdn.net/t//4231020.html）
在winlogon注册了SAS后，就调用GINA生成3个桌面系统，在用户需要的时候使用，它们分别为：
　&#9671;Winlogon &
桌面用户在进入登录界面时，就进入了Winlogon桌面。而我们看到的登录对话框，只是GINA负责显示的。如果用户取消以“欢迎屏幕”方式登录，在进
WindowsXP中任何时候按下“Ctrl-Alt-Delete”，都会激活Winlogon桌面，并显示图5的“Windows安全”对话框。（注
意，Winlogon桌面并不等同对话框，对话框只是Winlogon调用其他程序来显示的）
　&#9671;用户桌面 &
用户桌面就是我们日常操作的桌面，它是系统最主要的桌面系统。用户需要提供正确的帐号和密码，成功登录后才能显示“用户桌面”。而且，不同的用户，winlogon会根据注册表中的信息和用户配置文件来初始化用户桌面。
　&#9671; & 屏幕保护桌面屏
幕保护桌面就是屏幕保护，包括“系统屏幕保护”和“用户屏幕保护”。在启用了“系统屏幕保护”的前提下，用户未进行登录并且长时间无操作，系统就会进入
“系统屏幕保护”；而对于“用户屏幕保护”来说，用户要登录后才能访问，不同的用户可以设置不同的“用户屏幕保护”。
我们使用用户帐户登录以后，看到的桌面，是WinSta0下的Default桌面
WinSta0下有3个桌面：
WinLogon ：当用户登录以后,WinLogon.exe切换到Default桌面.
：这是Explorer.exe和所有用户程序窗口出现的地方，也就是我们通常使用windows看见的地方.应用程序就运行在这个桌面上
Screen saver ：系统空闲的时候，运行屏保的桌面.
你们每个用户都有各自的Default桌面，但是WinLogon.exe是运行在winlogon桌面下的系统级进程。
win32k.sys里有对winlogon名字桌面的引用。
Winlogon.exe被所有用户共享一份实例，跟你的普通进程是不同的，你的普通进程只是自己的Default桌面下的各自的进程。
1.会话问题
ProcessIdToSessionId获得自己的会话Id
可以把内核对象强制指定为全局内核对象，就可以在不同会话直接共享了。
创建命名内核对象时加global前缀，CreateXXX（XXX， XXX， "Global\\内核对象名"）
内核对象能共享了，进程就可以随意通信了。
2.另一个问题是权限问题
两个会话权限不同的话，低权限没办法打开高权建立的内核对象，即使是全局的
给一个函数，高权限降权内核对象的，调用后低权限打开高权限的对象，之后开始随意共享吧
LPCWSTR LOW_INTEGRITY_SDDL_SACL_W = TEXT("S:(ML;;NW;;;LW)");
BOOL SetObjectToLowIntegrity (HANDLE hObject, SE_OBJECT_TYPE type =
SE_KERNEL_OBJECT)
BOOL bRet = FALSE;
DWORD dwErr = ERROR_SUCCESS;
PSECURITY_DESCRIPTOR pSD = NULL;
PACL pSacl = NULL;
BOOL fSaclPresent = FALSE;
BOOL fSaclDefaulted = FALSE;
(ConvertStringSecurityDescriptorToSecurityDescriptor(LOW_INTEGRITY_SDDL_SACL_W,
SDDL_REVISION_1,
if (GetSecurityDescriptorSacl(pSD,
&fSaclPresent,
&fSaclDefaulted))
dwErr = SetSecurityInfo (hObject,&
LABEL_SECURITY_INFORMATION,
bRet = (ERROR_SUCCESS == dwErr);
LocalFree(pSD);
3.这么做有个问题，就是每个会话里都要有一个你的进程，不太爽
楼上说的方法没试过，学习了，不过看起来也是要在每个会话里都拉进程起来
转自：http://topic.csdn.net/u//0DFD70DD-F5C6-4B5D-96BD-C36E175FC6FD.html
完整代码如下：
BOOL OpenDesktop(LPCWSTR szName)
pvInfo[128] = {0};
tmp[1024] = {0};
&&& if(szName !=
lstrcpy(pvInfo, szName);
hActiveDesktop = OpenInputDesktop(DF_ALLOWOTHERACCOUNTHOOK, FALSE,
MAXIMUM_ALLOWED);
if(!hActiveDesktop)//打开失败
&&&&&&&&&&&&
return FALSE；
//获取指定桌面对象的信息，一般情况和屏保状态为default，登陆界面为winlogon
GetUserObjectInformation(hActiveDesktop, UOI_NAME, pvInfo,
sizeof(pvInfo), &dwLen);
if(dwLen==0)//获取失败
&&& return
CloseDesktop(hActiveDesktop);
//打开winsta0
&&& m_hwinsta =
OpenWindowStation(_T("winsta0"),
FALSE,&&&&&&&&&&&&&&&&&&&&&&&&&
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
WINSTA_ACCESSCLIPBOARD&& |
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
WINSTA_ACCESSGLOBALATOMS |
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
WINSTA_CREATEDESKTOP&&&&
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
WINSTA_ENUMDESKTOPS&&&&&
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
WINSTA_ENUMERATE&&&&&&&&
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
WINSTA_EXITWINDOWS&&&&&&
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
WINSTA_READATTRIBUTES&&&
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
WINSTA_READSCREEN&&&&&&&
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
WINSTA_WRITEATTRIBUTES);
(m_hwinsta == NULL){
&&& return
(!SetProcessWindowStation(m_hwinsta)){
return FALSE;
//打开desktop
m_hdesk = OpenDesktop(pvInfo, 0,
FALSE,&&&&&&&&&&&&&&&
&&&&&&&&&&&&&&&&&&&&&&&&&&&
DESKTOP_CREATEMENU |
&&&&&&&&&&&&&&&&&&&&&&&&&&&
DESKTOP_CREATEWINDOW |
&&&&&&&&&&&&&&&&&&&&&&&&&&&
DESKTOP_ENUMERATE&&&
&&&&&&&&&&&&&&&&&&&&&&&&&&&
DESKTOP_HOOKCONTROL |
&&&&&&&&&&&&&&&&&&&&&&&&&&&
DESKTOP_JOURNALPLAYBACK |
&&&&&&&&&&&&&&&&&&&&&&&&&&&
DESKTOP_JOURNALRECORD |
&&&&&&&&&&&&&&&&&&&&&&&&&&&
DESKTOP_READOBJECTS |
&&&&&&&&&&&&&&&&&&&&&&&&&&&
DESKTOP_SWITCHDESKTOP |
&&&&&&&&&&&&&&&&&&&&&&&&&&&
DESKTOP_WRITEOBJECTS);
if (m_hdesk == NULL){
&& return FALSE;
SetThreadDesktop(m_hdesk);
&& return TRUE;
代码有点乱，将就一下！
上面的代码只是针对service.exe这样的进程，要想做的通用还要再加些代码。
版权声明 作者：
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。