7 replies to this topic

[escafandra]

Se me planteó la necesidad de tener que matar un proceso a la escucha en un determinado puerto. Para ello desarrollé un código en C++ que me permitiese localizar el proceso que pone un socket a la escucha en un determinado puerto y luego matarlo.

Pensando que este truco puede ser de utilidad a atros, he implementado un ejemplo para socket TCP y UDP pudiendo elegir entre uno, otro o los dos.

El código que expongo está escrito en C++ Builder 5 y delphi 7. Para ambos compiladores he tenido que declarar ciertas estructuras y constantes que no estaban incluidas en ellos, pero es posible que en versiones mas modernas lo estén. Con objeto de dejar el código compatible con esas versiones modernas, las declaraciones que he añadido están extraídas de http://msdn.microsoft.com. En el caso de delphi es posible que los nombres varíen un poco, en ese caso no será difícil adaptar el código. En el caso de C++ no habrá ningún problema.

Como último apunte decir que para matar algunos procesos y aquellos pertenecientes a otro usuario, es necesario desponer de privilegio "SeDebugPrivilege", con lo que habrá que ajustar dicho privilegio previamente al uso de la función objeto del presente truco.

Comienzo con la versión C++ del código.

cpp

#include <windows.h>
#include <winsock2.h>
#include <iphlpapi.h>
 
 
// TCP
typedef struct _MIB_TCPROW_OWNER_PID {
  DWORD        dwState;
  DWORD        dwLocalAddr;
  DWORD        dwLocalPort;
  DWORD        dwRemoteAddr;
  DWORD        dwRemotePort;
  DWORD        dwOwningPid;
} MIB_TCPROW_OWNER_PID, *PMIB_TCPROW_OWNER_PID;
 
typedef struct {
  DWORD                  dwNumEntries;
  MIB_TCPROW_OWNER_PID table[ANY_SIZE];
} MIB_TCPTABLE_OWNER_PID, *PMIB_TCPTABLE_OWNER_PID;
 
typedef enum  {
  TCP_TABLE_BASIC_LISTENER,
  TCP_TABLE_BASIC_CONNECTIONS,
  TCP_TABLE_BASIC_ALL,
  TCP_TABLE_OWNER_PID_LISTENER,
  TCP_TABLE_OWNER_PID_CONNECTIONS,
  TCP_TABLE_OWNER_PID_ALL,
  TCP_TABLE_OWNER_MODULE_LISTENER,
  TCP_TABLE_OWNER_MODULE_CONNECTIONS,
  TCP_TABLE_OWNER_MODULE_ALL
} TCP_TABLE_CLASS, *PTCP_TABLE_CLASS;
 
//UDP
typedef enum  {
  UDP_TABLE_BASIC,
  UDP_TABLE_OWNER_PID,
  UDP_TABLE_OWNER_MODULE
} UDP_TABLE_CLASS, *PUDP_TABLE_CLASS;
 
typedef struct _MIB_UDPROW_OWNER_PID {
  DWORD dwLocalAddr;
  DWORD dwLocalPort;
  DWORD dwOwningPid;
} MIB_UDPROW_OWNER_PID, *PMIB_UDPROW_OWNER_PID;
 
typedef struct _MIB_UDPTABLE_OWNER_PID {
  DWORD                dwNumEntries;
  MIB_UDPROW_OWNER_PID table[ANY_SIZE];
} MIB_UDPTABLE_OWNER_PID, *PMIB_UDPTABLE_OWNER_PID;
 
typedef DWORD (__stdcall *PGetExtendedTcpTable)(PVOID pTcpTable, PDWORD pdwSize, BOOL bOrder, ULONG ulAf, TCP_TABLE_CLASS TableClass, ULONG Reserved);
typedef DWORD (__stdcall *PGetExtendedUdpTable)(PVOID pUdpTable, PDWORD pdwSize, BOOL bOrder, ULONG ulAf, UDP_TABLE_CLASS TableClass, ULONG Reserved);
 
 
#define TCP  0x1
#define UDP  0x2
 
// Termina un proceso a la escucha de un determinado puerto
bool TerminateProcessByPort(int Port, int IPProto)
{
  PMIB_TCPTABLE_OWNER_PID TCPTablePID;
  PMIB_UDPTABLE_OWNER_PID UDPTablePID;
  DWORD Size = 0;
  bool Result = false;
 
  // TCP
  PGetExtendedTcpTable GetExtendedTcpTable = (PGetExtendedTcpTable)GetProcAddress(LoadLibrary("Iphlpapi.dll"), "GetExtendedTcpTable");
  if(GetExtendedTcpTable && (IPProto & TCP)){
    GetExtendedTcpTable(0, &Size, TRUE, AF_INET, TCP_TABLE_OWNER_PID_LISTENER, 0);
    TCPTablePID = (PMIB_TCPTABLE_OWNER_PID)VirtualAlloc(0, Size, MEM_COMMIT, PAGE_READWRITE);
    GetExtendedTcpTable(TCPTablePID, &Size, TRUE, AF_INET, TCP_TABLE_OWNER_PID_LISTENER, 0);
    for(DWORD i = 0; i< TCPTablePID->dwNumEntries; i++){
      if(ntohs((u_short)TCPTablePID->table[i].dwLocalPort) == Port && TCPTablePID->table.dwState == MIB_TCP_STATE_LISTEN){
        HANDLE Process = OpenProcess(PROCESS_TERMINATE, false, TCPTablePID->table.dwOwningPid);
        Result |= TerminateProcess(Process, 0);
        CloseHandle(Process);
        break;
      }
    }
    VirtualFree(TCPTablePID, 0, MEM_RELEASE);
  }
 
  // UDP
  PGetExtendedUdpTable GetExtendedUdpTable = (PGetExtendedUdpTable)GetProcAddress(LoadLibrary("Iphlpapi.dll"), "GetExtendedUdpTable");
  if(GetExtendedUdpTable && (IPProto & UDP)){
    GetExtendedUdpTable(0, &Size, TRUE, AF_INET, UDP_TABLE_OWNER_PID, 0);
    UDPTablePID = (PMIB_UDPTABLE_OWNER_PID)VirtualAlloc(0, Size, MEM_COMMIT, PAGE_READWRITE);
    GetExtendedUdpTable(UDPTablePID, &Size, TRUE, AF_INET, UDP_TABLE_OWNER_PID, 0);
    for(DWORD i = 0; i< UDPTablePID->dwNumEntries; i++){
      if(ntohs((u_short)UDPTablePID->table.dwLocalPort) == Port){
        HANDLE Process = OpenProcess(PROCESS_TERMINATE, false, UDPTablePID->table.dwOwningPid);
        Result |= TerminateProcess(Process, 0);
        CloseHandle(Process);
        break;
      }
    }
    VirtualFree(UDPTablePID, 0, MEM_RELEASE);
  }
 
  return Result;
}

Un ejemplo de uso:

cpp

TerminateProcessByPort(5000, TCP | UDP);

Por organizar un poco el tema y no mezclar mucho termino aquí este mensaje y dejo para el siguiente la versión delphi.
Espero que este truco sea de utilidad como lo ha sido para mi.


Saludos.

[escafandra]

No voy a dejaros sin la versión para delphi, ahora es su turno:

delphi

uses
  Windows, winsock;
 
// TCP
type
MIB_TCPROW_OWNER_PID = record
  dwState:          DWORD;
  dwLocalAddr:      DWORD;
  dwLocalPort:      DWORD;
  dwRemoteAddr:      DWORD;
  dwRemotePort:      DWORD;
  dwOwningPid:      DWORD;
end;
PMIB_TCPROW_OWNER_PID = ^MIB_TCPROW_OWNER_PID;
 
MIB_TCPTABLE_OWNER_PID = record
  dwNumEntries: DWORD;
  table:        array[0..0] of MIB_TCPROW_OWNER_PID;
end;
PMIB_TCPTABLE_OWNER_PID = ^MIB_TCPTABLE_OWNER_PID;
 
TCP_TABLE_CLASS = (
  TCP_TABLE_BASIC_LISTENER,
  TCP_TABLE_BASIC_CONNECTIONS,
  TCP_TABLE_BASIC_ALL,
  TCP_TABLE_OWNER_PID_LISTENER,
  TCP_TABLE_OWNER_PID_CONNECTIONS,
  TCP_TABLE_OWNER_PID_ALL,
  TCP_TABLE_OWNER_MODULE_LISTENER,
  TCP_TABLE_OWNER_MODULE_CONNECTIONS,
  TCP_TABLE_OWNER_MODULE_ALL
);
PTCP_TABLE_CLASS = ^TCP_TABLE_CLASS;
 
MIB_TCP_STATE = (
  MIB_TCP_STATE_CLOSED = 1,
  MIB_TCP_STATE_LISTEN,
  MIB_TCP_STATE_SYN_SENT,
  MIB_TCP_STATE_SYN_RCVD,
  MIB_TCP_STATE_ESTAB,
  MIB_TCP_STATE_FIN_WAIT1,
  MIB_TCP_STATE_FIN_WAIT2,
  MIB_TCP_STATE_CLOSE_WAIT,
  MIB_TCP_STATE_CLOSING,
  MIB_TCP_STATE_LAST_ACK,
  MIB_TCP_STATE_TIME_WAIT,
  MIB_TCP_STATE_DELETE_TCB
);
 
// UDP
MIB_UDPROW_OWNER_PID = record
  dwLocalAddr: DWORD;
  dwLocalPort: DWORD;
  dwOwningPid: DWORD;
end;
PMIB_UDPROW_OWNER_PID = ^MIB_UDPROW_OWNER_PID;
 
MIB_UDPTABLE_OWNER_PID = record
  dwNumEntries: DWORD;
  table:        array[0..0] of MIB_UDPROW_OWNER_PID;
end;
PMIB_UDPTABLE_OWNER_PID = ^MIB_UDPTABLE_OWNER_PID;
 
UDP_TABLE_CLASS = (
  UDP_TABLE_BASIC,
  UDP_TABLE_OWNER_PID,
  UDP_TABLE_OWNER_MODULE
);
PUDP_TABLE_CLASS = ^UDP_TABLE_CLASS;
 
function GetExtendedTcpTable(lpTable: Pointer; lpSize: PCardinal; bOrder: LongBool; ulAf: ULONG; TableClass: TCP_TABLE_CLASS; Reserved: Cardinal): Cardinal; stdcall; external 'Iphlpapi.dll';
function GetExtendedUdpTable(lpTable: Pointer; lpSize: PCardinal; bOrder: LongBool; ulAf: ULONG; TableClass: UDP_TABLE_CLASS; Reserved: Cardinal): Cardinal; stdcall; external 'Iphlpapi.dll';
 
//--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
 
 
const
  TCP: integer = $1;
  UDP: integer = $2;
 
 
// Buscar aplicacion a la escucha del puerto y matarla.
function TerminateProcessByPort(Port: integer; IPProto: integer): boolean;
var
  TCPTablePID: PMIB_TCPTABLE_OWNER_PID;
  UDPTablePID: PMIB_UDPTABLE_OWNER_PID;
  Size, i: DWORD;
  hProcess: THandle;
begin
  Size:= 0;
  Result:= false;
 
  if (IPProto and TCP)<>0  then
  begin
    GetExtendedTcpTable(nil, @Size, TRUE, AF_INET, TCP_TABLE_OWNER_PID_LISTENER, 0);
    TCPTablePID:= VirtualAlloc(nil, Size, MEM_COMMIT, PAGE_READWRITE);
    GetExtendedTcpTable(TCPTablePID, @Size, TRUE, AF_INET, TCP_TABLE_OWNER_PID_LISTENER, 0);
    for i:= 0 to TCPTablePID.dwNumEntries-1 do
    begin
      if (ntohs(TCPTablePID.table[i].dwLocalPort) = Port) and (TCPTablePID.table[i].dwState = DWORD(MIB_TCP_STATE_LISTEN)) then
      begin
        hProcess:= OpenProcess(PROCESS_TERMINATE, false, TCPTablePID.table[i].dwOwningPid);
        Result:= Result or Windows.TerminateProcess(hProcess, 0);
        CloseHandle(hProcess);
        break;
      end;
    end;
    VirtualFree(TCPTablePID, 0, MEM_RELEASE);
  end;
  if (IPProto and UDP)<>0  then
  begin
    GetExtendedUdpTable(nil, @Size, TRUE, AF_INET, UDP_TABLE_OWNER_PID, 0);
    UDPTablePID:= VirtualAlloc(nil, Size, MEM_COMMIT, PAGE_READWRITE);
    GetExtendedUdpTable(UDPTablePID, @Size, TRUE, AF_INET, UDP_TABLE_OWNER_PID, 0);
    for i:= 0 to UDPTablePID.dwNumEntries-1 do
    begin
      if ntohs(UDPTablePID.table[i].dwLocalPort) = Port then
      begin
        hProcess:= OpenProcess(PROCESS_TERMINATE, false, UDPTablePID.table[i].dwOwningPid);
        Result:= Result or Windows.TerminateProcess(hProcess, 0);
        CloseHandle(hProcess);
        break;
      end;
    end;
    VirtualFree(UDPTablePID, 0, MEM_RELEASE);
  end;
end;

Un ejemplo de uso:

delphi

TerminateProcessByPort(5000, TCP or UDP);

Espero que este truco sea de utilidad como lo ha sido para mi.


Saludos.

[enecumene]

Excelente mi estimado 

[Wilson]

Como de costumbre, GENIAL.


Gracias maestro.

[seoane]

La curiosidad me mata  ¿que tenias en contra de ese proceso? y ¿por que no lo matabas por nombre? ... si se puede saber 

[escafandra]

La curiosidad me mata 

Si, sabía que este código generaría ciertas suspicacias, seoane.

  ¿que tenias en contra de ese proceso? y ¿por que no lo matabas por nombre? ... si se puede saber 
 

En ese momento era una cuestión de supervivencia.    Había que matar, de forma automática, al proceso que ponía cierto puerto a la escucha en un determinado PC remoto, sin importar demasiado el nombre de dicho proceso. Simplemente no tenía que estar ahí. 


Saludos.

[egostar]

Como se nota quien es quien, unos nos asombramos con el código y otro lo mata la curiosidad

Pues lo dicho, son unos masters

Salud OS

[seoane]

Si hay que matar, cualquier manera es buena.