我正在编写一段代码来查询Windows机器上的现有登录会话。对于网络登录,我试图找到登录所在机器的IP地址和/或名称。
到目前为止,我使用LsaEnumerateLogonSessions / LsaGetLogonSessionData获取了登录会话列表,但在返回的SECURITY_LOGON_SESSION_DATA结构中找不到IP。
如何获取网络登录会话的IP地址/计算机名称?
DateTime systime = new DateTime(1601, 1, 1, 0, 0, 0, 0);
UInt64 sessionCount;
IntPtr luidPtr;
LsaEnumerateLogonSessions(out sessionCount, out luidPtr);
IntPtr iter = luidPtr;
for (ulong i = 0; i < sessionCount; i++)
{
IntPtr sessionData;
LsaGetLogonSessionData(iter, out sessionData);
var data =
(SECURITY_LOGON_SESSION_DATA)Marshal.PtrToStructure(sessionData, typeof(SECURITY_LOGON_SESSION_DATA));
if (data.PSiD != IntPtr.Zero)
{
System.Security.Principal.SecurityIdentifier sid = new System.Security.Principal.SecurityIdentifier(data.PSiD);
SECURITY_LOGON_TYPE secType = (SECURITY_LOGON_TYPE)data.LogonType;
DateTime logonTime = systime.AddTicks((long)data.LoginTime);
string authpackage = Marshal.PtrToStringUni(data.AuthenticationPackage.buffer);
string domain = Marshal.PtrToStringUni(data.LoginDomain.buffer);
string username = Marshal.PtrToStringUni(data.Username.buffer);
string dnsDomainName = Marshal.PtrToStringUni(data.DnsDomainName.buffer);
string logonServer = Marshal.PtrToStringUni(data.LogonServer.buffer);
string upn = Marshal.PtrToStringUni(data.Upn.buffer);
Console.WriteLine("SID "+sid+" Type: " + secType + "\t" + domain + "\\" + username + "\tTime: " + logonTime);
if (secType == SECURITY_LOGON_TYPE.Network)
{
// TODO get IP/machine name
}
}
iter = (IntPtr)((int)iter + Marshal.SizeOf(typeof(LUID)));
LsaFreeReturnBuffer(sessionData);
}
LsaFreeReturnBuffer(luidPtr);
答案 0 :(得分:1)
SECURITY_LOGON_SESSION_DATA
有一个DnsDomainName
字段:
LSA_UNICODE_STRING
结构,其中包含登录会话所有者的DNS名称。
如果您需要IP地址,请使用gethostbyname()
或getaddrinfo()
对该名称执行反向DNS查找。
或者,SECURITY_LOGON_SESSION_DATA
也有一个Session
字段。如果它不是0,您可以将其传递给WTSQuerySessionInformation()
,将WTSInfoClass
参数设置为WTSClientAddress
,将ppBuffer
参数设置为WTS_CLIENT_ADDRESS*
指针的地址变量