利用NATIVE API列举系统进程

最新推荐文章于 2019-05-05 20:26:00 发布
最新推荐文章于 2019-05-05 20:26:00 发布
阅读量1.4k 收藏
点赞数 1
分类专栏: 网络安全类 文章标签: api query null system string 扩展
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Civet148/article/details/562968
版权
利用NATIVE API列举系统进程
楓 发表于 2005-9-25 23:46:00

编写列举系统进程的程序,传统的方法为利用tlhelp api系统快照的方式进行列举。
其实还用一种方法,即利用ntdll中的NtQuerySystemInformation函数。
下面给出代码,很简单。

 NTSTATUS  NtStatus;
 DWORD dwReturnLength;
 DWORD dwBuffSize = 0x10000;      // 缓冲区大小,存放进程信息
 PSYSTEM_PROCESSES pSystemProcessInfo = NULL; // 存放返回的进程信息头指针地址
 PSYSTEM_PROCESSES pSelectProcessInfo = NULL;

 m_cListCtrl.InsertColumn( 0, _T("映像名称"), LVCFMT_LEFT, 100);
 m_cListCtrl.InsertColumn( 1, _T("PID"), LVCFMT_LEFT, 50);
// m_cListCtrl.InsertColumn( 2, _T("优先级"), LVCFMT_LEFT, 50);

 HMODULE hNtDll = LoadLibrary("Ntdll.dll");
 NTQUERYSYSTEMINFOMATION NtQuerySystemInformation = (NTQUERYSYSTEMINFOMATION)GetProcAddress(hNtDll, "NtQuerySystemInformation");
 RTLUNICODESTRINGTOANSISTRING RtlUnicodeStringToAnsiString = (RTLUNICODESTRINGTOANSISTRING)GetProcAddress(hNtDll, "RtlUnicodeStringToAnsiString");

 pSystemProcessInfo = (PSYSTEM_PROCESSES)malloc(dwBuffSize);

 NtStatus = NtQuerySystemInformation( QUERY_TYPE,
           pSystemProcessInfo,
           dwBuffSize,
           &dwReturnLength );

 //缓冲区大小不够
 while(NtStatus == 0xc0000004)
 {
  dwBuffSize += 0x1000;
  //在原来分配的堆上进行扩展
  pSystemProcessInfo = (PSYSTEM_PROCESSES)realloc( pSystemProcessInfo, dwBuffSize );
  if( pSystemProcessInfo == NULL )
  {
   FreeLibrary(hNtDll);
   return FALSE;
  }
 }

 NtStatus = NtQuerySystemInformation( QUERY_TYPE,
           pSystemProcessInfo,
           dwBuffSize,
           &dwReturnLength );

 //函数NtQuerySystemInformation调用失败
 if( NtStatus != 0x00000000L )
    {
        free( pSystemProcessInfo );
        FreeLibrary( hNtDll );
  ::MessageBox(m_hWnd, "NATIVE API调用失败!", "错误", MB_OK);
  return FALSE;       
    }

 pSelectProcessInfo = pSystemProcessInfo;

 CString szFormat;
 ANSI_STRING ansiProcessName;

 do
 {
  int iCount = m_cListCtrl.GetItemCount();

  if(pSelectProcessInfo->ProcessId == 0)
  {
   m_cListCtrl.InsertItem(iCount, "[System Idle Process]");
   m_cListCtrl.SetItemText(iCount, 1, "0");
  }
  else
  {
   RtlUnicodeStringToAnsiString(&ansiProcessName, &pSelectProcessInfo->ProcessName, 1);
   m_cListCtrl.InsertItem(iCount, ansiProcessName.Buffer);
   szFormat.Format("%d", pSelectProcessInfo->ProcessId);
   m_cListCtrl.SetItemText(iCount, 1, szFormat);
  }

//  szFormat.Format("%d", pSelectProcessInfo->BasePriority);
//  m_cListCtrl.SetItemText(iCount, 2, szFormat);

  //移动到下一个结构
  pSelectProcessInfo = (PSYSTEM_PROCESSES)((LPBYTE)pSelectProcessInfo + pSelectProcessInfo->NextEntryDelta);
 }while(pSelectProcessInfo->NextEntryDelta != 0);

 free(pSystemProcessInfo);
 FreeLibrary(hNtDll);
 return TRUE;

Civet148
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
操作系统[系统学习二]
weixin_40996518的博客
09-09 320
文章目录系统调用什么是系统调用为什么提供系统调用系统调用和库函数的区别系统调用背后的过程总结进程定义组成组织方式链接方式索引方式进程的特性总结进程的状态与转换三种基本状态状态转换总结 系统调用 什么是系统调用 操作系统作为应用程序/用户 和 底层硬件之间的接口, 需要为上层提供一些服务. 这些接口分为命令接口(面向用户) 和 程序接口(面向应用程序) 程序接口 就是由 一组系统调用构成. 应用程序可通过系统调用 来执行一些特权指令 为什么提供系统调用 防止各个应用程序随意使用这些共享的系统资源,
NtQuerySystemInformation参数详解
热门推荐
oldmtn的专栏
02-14 2万+
NtQuerySystemInformation函数,其中SystemBasicInformation(0号功能)返回的结果是一个SYSTEM_BASIC_INFORMATION结构,其中的域bKeNumberProcessors将返回系统CPU的个数。 下面是该函数的具体说明: /×---------------------------------------------------
驱动级InlineHook
11-23
驱动级的inlinehook,主要是hook了ntQuerySystemInfomation来实现进程的隐藏!!
NtQuerySystemInformation 系统信息
06-17
Native API乃Windows用户模式中为上层Win32 API提供接口的本机系统服务。平常我们总是调用MS为我们提供的公用的Win32 API函数来实现来实现我们系统的功能。今天我们要谈的是如何通过本机系统服务(Native API)来探测本机系统信息。当然,微软没有为我们提供关于本机系统服务的文档 (Undocumented),也就是不会为对它的使用提供任何的保证,所以我们不提倡使用Native API来开发软件。不过在特殊情况下,本机系统服务却为我们提供了通向“秘密”的捷径,本文详细介绍了NtQuerySystemInformation的技术秘密
关于msdn中NtQuerySystemInformation函数说明
babihehe的专栏
06-12 5425
函数原型 typedef   NTSTATUS   (__stdcall   *NTQUERYSYSTEMINFORMATION) ( IN                 SYSTEM_INFORMATION_CLASS    SystemInformationClass, IN   OUT       PVOID
精通Windows.API-函数、接口、编程实例.pdf
01-27
仅收录该书籍以供学习和讨论 ...17.2.1 列举进程访问令牌内容和权限 509 17.2.2 修改进程的权限 514 17.2.3 列举安全对象的安全描述符 515 17.2.4 修改安全描述符 521 17.3 用户 522 17.3.1 ...
精通WindowsAPI 函数 接口 编程实例
01-08
17.2.1 列举进程访问令牌内容和权限 509 17.2.2 修改进程的权限 514 17.2.3 列举安全对象的安全描述符 515 17.2.4 修改安全描述符 521 17.3 用户 522 17.3.1 创建用户 522 17.3.2 用户组 523 17.3.3 ...
精通WindowsAPI.pdf
09-22
1.1.2 Windows API......................................................................................................17 1.1.3 程序入口函数...............................................................
反-反通过枚举句柄枚举进程
HerbBlend的专栏
08-29 1822
许多程序通过编写驱动把自己从进程链中摘除,让一般手段的进程检测无法正确检测,我能想到的方法也就通过线程调度链来找了,昨天读了一篇文章,讲的方法是通过枚举系统中所有的句柄来达到枚举进程的目的,我曾接触过枚举句柄,也自己写过代码,就在不久前,另外进程检测的问题也是那时侯一直在思考的问题,所以我觉得自己还是小P孩一个,没有足够的敏感性去发现新的方法(对于我来说是新的),如果一直那样,那么自己会一直依赖于
未公开函数 NtQuerySystemInfoMation 遍历进程信息,获得进程的用户名(如: system,Admin..)...
weixin_30367945的博客
05-05 502
目录 遍历进程用户名 代码例子 遍历进程用户名 代码例子 #include <windows.h> #include <iostream> #include <COMDEF.H> #include <stdio.h> #in...
zwSetSystemInformation加载驱动
小驹的专栏
05-19 4498
zwSetSystemInformation函数是个未公开的函数,调用38号会加载驱动,对应的第二个参数为SYSTEM_LOAD_AND_CALL_IMAGE结构体,第三个参数为SYSTEM_LOAD_AND_CALL_IMAGE结构体的长度.. #include #include #define NT_SUCCESS(Status) ((NTSTATUS)(Status) >
普通恶意代码技术分析与检测
weixin_30279315的博客
03-12 335
创建时间:2008-03-07文章属性:原创文章提交:fleshwound (fleshwound_at_126.com)fleshwound(fleshwound@smatrix.org)http://www.smatrix.org1 引言  近些年来,恶意代码依赖一些特殊的Native API函数和内核系统函数进行感染、传播、隐藏的这种趋势愈加明显代码,并大量的使用了多重加密壳、驱动关联壳、变...
获取进程CPU占用率 -- NtQuerySystemInformation
jiangqin115的专栏
07-28 4724
今天,我们主要讨论的是一个函数NtQuerySystemInformation(ZwQuerySystemInformation)。当然,你不要小看这么一个函数,它却为我们提供了丰富的系统信息,同时还包 括对某些信息的控制和设置。 以下是这个函数的原型: typedef NTSTATUS (__stdcall *NTQUERYSYSTEMINFORMATION) (IN
NtQuerySystemInformation的使用
乐朝夕与之共
12-19 8425
今天,我们主要讨论的是一个函数NtQuerySystemInformation(ZwQuerySystemInformation)。当然,你不要小看这么一个函数,它却为我们提供了丰富的系统信息,同时还包 括对某些信息的控制和设置。以下是这个函数的原型:  typedef NTSTATUS (__stdcall *NTQUERYSYSTEMINFORMATION)     (IN      S
NtQuerySystemInformation
gold0523的专栏
04-13 2198
<br />我花了很长时间找到的资料NtQuerySystemInformation(  IN SYSTEM_INFORMATION_CLASS SystemInformationClass,  OUT PVOID               SystemInformation,  IN ULONG                SystemInformationLength,  OUT PULONG              ReturnLength OPTIONAL );typedef enum _SY
利用未公开函数枚举进程及其关联的端口系列之(-)
Civet148的专栏
12-27 3222
通过前述可知,枚举出系统中所有进程以及它们所打开的端口,这完成木马病毒的检测与清除工作的关键任务。要做到这一点方法有多种,但最简单的就是调用NTDLL.dll中的几个未公开API,如NtQuerySystemInfomation,NtQueryInfomationProcess。其中NtQuerySystemInfomation函数提供了一个简单的途径以获得系统中所有的HANDLE(句柄),只要找
react native 使用MediaProjection API获取系统音频
最新发布
06-13
在 React Native 中,使用 MediaProjection API 获取系统音频需要进行原生模块的开发。以下是实现步骤: 1. 在 React Native 项目中创建一个 Java 类,继承 ReactContextBaseJavaModule 类,并实现对应的方法。该类...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值