ZwQuerySystemInformation枚举进程

最新推荐文章于 2018-10-09 09:49:00 发布
最新推荐文章于 2018-10-09 09:49:00 发布
阅读量2.7k 收藏
点赞数
分类专栏: Anti-rootkit 文章标签: ZwQuerySystemInforma SystemProcessesAndTh 开源 驱动枚举进程 检测隐藏进程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Chinghoi/article/details/9174803
版权

       ZwQuerySystemInformation函数的SystemProcessesAndThreadsInformation功能号实现驱动枚举进程:第一个参数为传入功能号, 第二个参数为输出进程信息的缓冲区, 为一个指向SYSTEM_PROCESS_INFORMATION结构体指针,结构的NextEntryOffset成员指向下一项目, 遍历此链表即可枚举进程,指向0则表示已达链表尾部第三个参数为返回长度, 第四参数为已返回的长度。代码:

/*++
*
* Author : Chinghoi
* Blog	: http://blog.csdn.net/chinghoi
*
* Description:
*	代码片段摘自:ixer0.11开源版-ZwQuerySystemInformation枚举进程
--*/
NTSTATUS EnumProcessByZwQuerySysInfo()
{
	PVOID	pBuftmp = NULL;
	ULONG	 dwRetSize = 0;
	NTSTATUS status = STATUS_SUCCESS;
	PSYSTEM_PROCESS_INFORMATION	pSysProcInfo = NULL;
	PEPROCESS	pEproc;

	//获取大小
	status = ZwQuerySystemInformation(SystemProcessesAndThreadsInformation, NULL, 0, &dwRetSize);
	//申请内存
	pBuftmp = ExAllocatePool(NonPagedPool, dwRetSize);		//dwRetSize 需要的大小
	if (pBuftmp != NULL)
	{
		//再次执行,将枚举结果放到指定的内存区域
		status &#
最低0.47元/天 解锁文章
Chinghoi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
枚举进程(CreateToolhelp32Snapshot函数剖析)
KOOKNUT的博客
03-13 782
之前写过一些枚举进程的代码,这两天正在回顾之前学习的代码,看到了CreateToolhelp32Snapshot函数,就顺便来看看它的具体实现吧。 实现枚举进程信息的这个过程看起来是比较easy的,只不过是一些Windows的API函数罢了: CreateToolhelp32Snapshot Process32First Process32Next 就利用这三个函数,便可实现当前系统进程枚举...
ZwQuerySystemInformation枚举进程线程的软件源码
04-10
ZwQuerySystemInformation枚举进程线程VB很实用的源码,精心挑选的精品源码
简单实现了下SSDT SHADOW HOOK
huobengle
11-03 683
介绍: SSDT SHADOW HOOK可用于安全软件窗口保护、安全输入、截屏保护等。例如:挂钩NtUserFindWindowEx、NtUserGetForegroundWindow、NtUserBuildHwndList、NtUserQueryWindow、NtUserWindowFromPoint、NtUserSetParent、NtUserPostMessage、NtUserMes...
ZwQuerySystemInformation查找进程文件句柄
03-25
ZwQuerySystemInformation查找文件句柄
内核下枚举进程 (二)ZwQuerySystemInformation
10-09 802
说明: SYSTEM_INFORMATION_CLASS 的5号功能枚举进程信息。其是这个函数对应着ring3下的 NtQuerySystemInformation,但msdn上说win8以后ZwQuerySystemInformation函数已经不可用,本人也没有在win8下测试过。留给读者自己实验吧。顺便罗嗦一下,不像ring3下使用此函数是要先LoadLibrary,然后GetPr...
【工具类】ZwQuerySystemInformation枚举进程
Fzuim的博客
07-25 773
曾经基于兴趣搞过很多小功能,但后来工作中比较少用到,代码也就安静的沉没在磁盘中。最近打算整理下之前弄过的东西,也不算荒废之前的付出吧。。。 void InitProcessList() { ZWQUERYSYSSTEMINFORMATION MyZwQuerySystemInformation = (ZWQUERYSYSSTEMINFORMATION)GetProcAddress(Get...
易语言枚举进程所有句柄信息的代码
08-26
在编程领域,枚举进程所有句柄信息是一项重要的任务,特别是在系统监控、调试或安全分析中。易语言作为中国本土的编程语言,以其简洁的语法和丰富的库支持,为开发者提供了方便。本篇文章将深入探讨如何使用易语言来...
MFC枚举进程内核句柄
12-01
本项目“MFC枚举进程内核句柄”正是基于MFC构建的一个实用工具,它能够枚举并显示指定进程中的所有内核句柄信息,类似于知名的系统调试工具如XT或Process Explorer。 首先,我们需要理解什么是内核句柄。在Windows...
易语言枚举内核对象句柄
01-09
这个函数可能接受四个参数:句柄类型(如进程、线程等)、开始句柄(用于指定枚举的起始位置)、一个计数器变量(用于记录枚举到的句柄数量)以及一个整数数组(用于存储枚举到的句柄)。通过这个函数,开发者可以...
ZwQuerySystemInformation的完整声明
08-18
在我的资源《微软未公开函数ZwQuerySystemInformation的使用方法(vb编程专用)》中的声明不完整,会造成运行错误,这个文档是完整的声明,加了一个Enum让大家可以顺利编写程序。
四种方法实现VC枚举系统当前进程
weixin_33912445的博客
08-30 280
    在Windows 2000以上的MS操作系统,通过Windows的任务管理器可以列出当前系统的所有活动进程(如图1所示),在Windows XP中,更是在控制台下增加了一条Tasklist命令,让系统下的所有进程无所遁行(如图2所示)。这一切是怎么实现的呢?  图 1  图 2 引用侯捷大师在《深入浅出MFC》的一句话,“知其然而不知其所以然,真不是个好办法”。既然如此,我们干脆自己...
进程模块枚举隐藏
Catch me if you can
05-11 2469
整理
ZwQuerySystemInformation 函数查看进程列表
热门推荐
ShadowAssassin的专栏
12-14 1万+
程序主要应用函数  ZwQuerySystemInformation  实现的,这也是window内核的一个很重要,结构很复杂的函数。 函数原型 如下: //声明ZqQueryAyatemInformation NTSTATUS ZwQuerySystemInformation( I
ZwQuerySystemInformation 学习
Flyour的博客
09-09 2094
https://blog.csdn.net/suppercoder/article/details/9341941 这是一篇介绍分别在Ring0 和 Ring3 下是使用ZwQuerySystemInformation 函数来获取一些系统信息的函数。比如可以获取进程表和句柄表。可以参考看看。 //声明ZwQueryAyatemInformation NTSTATUS ZwQuerySystemI...
函数ZwQuerySystemInformation小结
weixin_33906657的博客
08-07 315
函数存在于NTDLL.DLL动态链接库中。NTDLL.DLL负责ring3与ring0之间的通信。当使用子系统方式进行系统调用的时候,ntdll.dll和SSDT会配合使用。 关于ZwQuerySystemInformation这个函数可以用来查询进程信息、内核信息、硬件信息(例如CPU数目)、句柄信息、时间信息等54个系统信息。 该函数的原型是 NTSTATUS WI...
R3 x64枚举进程句柄
zhuhuibeishadiao
05-02 5711
需要注意的是:在R3使用ZwQueryObject很容易锁死,需要放到线程中,如果线程超过500ms就说明卡死了 就只能放弃这个句柄了  这个句柄外面是一个FileObject类型,但真实是一个信号类型 还有在R3中枚举 有一个句柄我们是没有权限操作了 就是EtwRegistration类型的 如果非要解决这个问题,可以参考国外的一个开源进程管理器 ProcessHack 我的操作是判断
内核枚举进程总结
zhuhuibeishadiao
05-02 3585
我知道的有三种方法 这里的第三种和第二种是一样的 隐藏进程也可以在这么做手脚 但需要注意多线程,在操作前,理应加锁 可以参考这篇文章 http://blog.csdn.net/zfdyq0/article/details/41813747 1.暴力枚举进程 通过PsLookupProcessByProcessId获得EPROCESS 第一个参数我们使用循环 填入0~6553
ZwQuerySystemInformation 查看系统进程信息
小驹的专栏
05-19 1万+
ZwQuerySystemInformation 查看系统进程信息 #include typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation, SystemProcessorInformation, SystemPerformanceInformation, SystemTimeOfDayInform
zwquerysysteminformation 获取进程路径
最新发布
05-01
zwquerysysteminformation 是Windows API中的一个函数,它的作用是获取系统信息。具体来说,它会返回一个指向SYSTEM_INFORMATION结构体的指针,这个结构体包含了许多系统信息,比如处理器数量、内存大小和当前时间...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值