关闭

通过ntdll.dll提供的API函数实现当前进程的枚举

722人阅读 评论(2) 收藏 举报

这种枚举的方法是通过ntdll.dll提供的API函数ZwQuery?SystemInformation()来实现,此方法比前面所提供的方法复杂一些,

下面提供实际的代码如下:

#include <windows.h>
#include <ntsecapi.h>
#include <stdio.h>
typedef DWORD (WINAPI *ZWQUERYSYSTEMINFORMATION) (DWORD,PVOID,DWORD,PDWORD);
typedef struct _SYSTEM_PROCESS_INFORMATION{
	DWORD NextEntryDelta;
	DWORD ThreadCount;
	DWORD Reserved[6];
	FILETIME ftCreateTime;
	FILETIME ftUserTime;
	UNICODE_STRING ProcessName;
	DWORD BasePriority;
	DWORD ProcessID;
	DWORD InheritedFromProcessID;
	DWORD HandleCount;
	DWORD Reserved2[2];
	DWORD VmCounters;
	DWORD dCommitCharge;
	PVOID ThreadInfos[1];
}SYSTEM_PROCESS_INFORMATION,* PSYSTEM_PROCESS_INFORMATION;
#define SystemProcessesAndThreadsInformation 5
void main()
{
	HMODULE hNtDLL=GetModuleHandle("ntdll.dll");
	if(!hNtDLL)
		return;
	ZWQUERYSYSTEMINFORMATION ZwQuerySystemInformation=(ZWQUERYSYSTEMINFORMATION)GetProcAddress(
																			hNtDLL,"ZwQuerySystemInformation");
	ULONG cbBuffer=0x10000; // 设置缓冲区的大小,与系统有关
	LPVOID pBuffer=NULL;
	pBuffer=malloc(cbBuffer);
	if(pBuffer==NULL)
		return;
	ZwQuerySystemInformation(SystemProcessesAndThreadsInformation,pBuffer,cbBuffer,NULL);
	PSYSTEM_PROCESS_INFORMATION  pInfo=(PSYSTEM_PROCESS_INFORMATION)pBuffer;
	for(;;)
	{
		printf("ProcessID: %d (%ls) \n",pInfo->ProcessID,pInfo->ProcessName.Buffer);
		if(pInfo->NextEntryDelta ==0)
			break;
		// 查找下一个进程结构地址
		pInfo=(PSYSTEM_PROCESS_INFORMATION)(((PUCHAR)pInfo)+pInfo->NextEntryDelta);
	}
	free(pBuffer);
}

但是运行的时候程序根本就起不来

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:116392次
    • 积分:3467
    • 等级:
    • 排名:第9927名
    • 原创:245篇
    • 转载:3篇
    • 译文:2篇
    • 评论:7条
    收藏
    http://my.csdn.net/my/favorite
    最新评论