ZwQuerySystemInformation 查看系统进程信息

最新推荐文章于 2024-09-30 13:31:42 发布
最新推荐文章于 2024-09-30 13:31:42 发布
阅读量1k 收藏
点赞数
分类专栏: Kernel 文章标签: integer system thread struct class object

ZwQuerySystemInformation 查看系统进程信息



[cpp] view plain copy print ?
  1. #include <ntddk.h>
  3. typedef enum _SYSTEM_INFORMATION_CLASS {
  4. SystemBasicInformation,
  5. SystemProcessorInformation,
  6. SystemPerformanceInformation,
  7. SystemTimeOfDayInformation,
  8. SystemPathInformation,
  9. SystemProcessInformation, //5
  10. SystemCallCountInformation,
  11. SystemDeviceInformation,
  12. SystemProcessorPerformanceInformation,
  13. SystemFlagsInformation,
  14. SystemCallTimeInformation,
  15. SystemModuleInformation,
  16. SystemLocksInformation,
  17. SystemStackTraceInformation,
  18. SystemPagedPoolInformation,
  19. SystemNonPagedPoolInformation,
  20. SystemHandleInformation,
  21. SystemObjectInformation,
  22. SystemPageFileInformation,
  23. SystemVdmInstemulInformation,
  24. SystemVdmBopInformation,
  25. SystemFileCacheInformation,
  26. SystemPoolTagInformation,
  27. SystemInterruptInformation,
  28. SystemDpcBehaviorInformation,
  29. SystemFullMemoryInformation,
  30. SystemLoadGdiDriverInformation,
  31. SystemUnloadGdiDriverInformation,
  32. SystemTimeAdjustmentInformation,
  33. SystemSummaryMemoryInformation,
  34. SystemNextEventIdInformation,
  35. SystemEventIdsInformation,
  36. SystemCrashDumpInformation,
  37. SystemExceptionInformation,
  38. SystemCrashDumpStateInformation,
  39. SystemKernelDebuggerInformation,
  40. SystemContextSwitchInformation,
  41. SystemRegistryQuotaInformation,
  42. SystemExtendServiceTableInformation,
  43. SystemPrioritySeperation,
  44. SystemPlugPlayBusInformation,
  45. SystemDockInformation,
  46. SystemPowerInformation2,
  47. SystemProcessorSpeedInformation,
  48. SystemCurrentTimeZoneInformation,
  49. SystemLookasideInformation
  50. } SYSTEM_INFORMATION_CLASS, *PSYSTEM_INFORMATION_CLASS;
  52. typedef struct _SYSTEM_THREAD_INFORMATION {
  53. LARGE_INTEGER KernelTime;
  54. LARGE_INTEGER UserTime;
  55. LARGE_INTEGER CreateTime;
  56. ULONG WaitTime;
  57. PVOID StartAddress;
  58. CLIENT_ID ClientId;
  59. KPRIORITY Priority;
  60. LONG BasePriority;
  61. ULONG ContextSwitchCount;
  62. ULONG State;
  63. KWAIT_REASON WaitReason;
  64. }SYSTEM_THREAD_INFORMATION, *PSYSTEM_THREAD_INFORMATION;
  66. typedef struct _SYSTEM_PROCESS_INFORMATION {
  67. ULONG NextEntryOffset;
  68. ULONG NumberOfThreads;
  69. LARGE_INTEGER Reserved[3];
  70. LARGE_INTEGER CreateTime;
  71. LARGE_INTEGER UserTime;
  72. LARGE_INTEGER KernelTime;
  73. UNICODE_STRING ImageName;
  74. KPRIORITY BasePriority;
  75. HANDLE ProcessId;
  76. HANDLE InheritedFromProcessId;
  77. ULONG HandleCount;
  78. ULONG Reserved2[2];
  79. ULONG PrivatePageCount;
  80. VM_COUNTERS VirtualMemoryCounters;
  81. IO_COUNTERS IoCounters;
  82. SYSTEM_THREAD_INFORMATION Threads[0];
  83. } SYSTEM_PROCESS_INFORMATION, *PSYSTEM_PROCESS_INFORMATION;
  85. //不加extern "C" 一直报link错误
  86. extern "C" NTSYSAPI NTSTATUS NTAPI ZwQuerySystemInformation(
  87. IN ULONG SystemInformationClass,
  88. IN PVOID SystemInformation,
  89. IN ULONG SystemInformationLength,
  90. OUT PULONG ReturnLength);
  92. VOID Unload(
  93. __in struct _DRIVER_OBJECT *DriverObject
  94. )
  95. {
  96. KdPrint(("unload ....."));
  97. }
  99. NTSTATUS Ring0EnumProcess()
  100. {
  101. ULONG cbBuffer = 0x8000; //32k
  102. PVOID pSystemInfo;
  103. NTSTATUS status;
  104. PSYSTEM_PROCESS_INFORMATION pInfo;
  106. //为查找进程分配足够的空间
  107. do
  108. {
  109. pSystemInfo = ExAllocatePool(NonPagedPool, cbBuffer);
  110. if (pSystemInfo == NULL) //申请空间失败,返回
  111. {
  112. return 1;
  113. }
  114. status = ZwQuerySystemInformation(SystemProcessInformation, pSystemInfo, cbBuffer, NULL );
  115. if (status == STATUS_INFO_LENGTH_MISMATCH) //空间不足
  116. {
  117. ExFreePool(pSystemInfo);
  118. cbBuffer *= 2;
  119. }
  120. else if(!NT_SUCCESS(status))
  121. {
  122. ExFreePool(pSystemInfo);
  123. return 1;
  124. }
  126. } while(status == STATUS_INFO_LENGTH_MISMATCH); //如果是空间不足,就一直循环
  128. pInfo = (PSYSTEM_PROCESS_INFORMATION)pSystemInfo; //把得到的信息放到pInfo中
  130. for (;;)
  131. {
  132. LPWSTR pszProcessName = pInfo->ImageName.Buffer;
  133. if (pszProcessName == NULL)
  134. {
  135. pszProcessName = L"NULL";
  136. }
  137. KdPrint(("PID:%d, process name:%S\n", pInfo->ProcessId, pszProcessName));
  138. if (pInfo->NextEntryOffset == 0) //==0,说明到达进程链的尾部了
  139. {
  140. break;
  141. }
  142. pInfo = (PSYSTEM_PROCESS_INFORMATION)(((PUCHAR)pInfo) + pInfo->NextEntryOffset); //遍历
  144. }
  145. return STATUS_SUCCESS;
  146. }
  148. NTSTATUS DriverEntry(
  149. __in PDRIVER_OBJECT DriverObject,
  150. __in PUNICODE_STRING RegistryPath
  151. )
  152. {
  153. DriverObject->DriverUnload = Unload;
  154. Ring0EnumProcess();
  155. return STATUS_SUCCESS;
  156. }  
anhkgg
关注
专栏目录
_SYSTEM_PROCESS_INFORMATION
denggengwen3333的博客
08-02 1976
#ifdef _WIN64typedef __int64 KPRIORITY;#elsetypedef long KPRIORITY;#endiftypedef struct _SYSTEM_THREAD_INFORMATION{ LARGE_INTEGER KernelTime; LARGE_INTEGER UserTime; LARGE_INTEGER CreateTime; ULO...
ZwQuerySystemInformation获取进程列表信息
04-24
测试环境Delphi2009,Windows10。能够通过ZwQuerySystemInformation获取进程信息块,详细的记录类型的参数都标注清楚的。这个函数相对于进程快照有一个缺陷,不能及时得获取我自己进程信息。(可能是我自己哪里出错,但进程信息都是能够正确获取的)代码是我自己测试可用的
ZwQuerySystemInformation枚举模块问题分析
最新发布
sunjiaoya的博客
09-30 648
ZwQuerySystemInformation通过调用号0xb可以获取到内核层模块的信息,通过windbg和IDA追踪ZwQuerySystemInformation的函数调用链,发现在内核模块里调用 ZwQuerySystemInformation() 函数,将通过系统调用转而调用 NtQuerySystemInformation() 函数。NtQuerySystemInformation() 调用内部的 ExpQueryModuleInformation() 函数来完成相应功能。
ZwQuerySystemInformation 函数查看进程列表
热门推荐
ShadowAssassin的专栏
12-14 1万+
程序主要应用函数  ZwQuerySystemInformation  实现的,这也是window内核的一个很重要,结构很复杂的函数。 函数原型 如下: //声明ZqQueryAyatemInformation NTSTATUS ZwQuerySystemInformation( I
hook-zwquerysysteminformation.rar_hook_进程隐藏
07-14
当一个程序使用"hook ZwQuerySystemInformation"方法时,它可以篡改返回的系统信息,使得其他试图查询系统进程的程序看不到这个隐藏的进程。这种方法对于反病毒软件和其他安全工具来说是一个挑战,因为它们可能无法...
ZwQuerySystemInformation枚举进程线程的软件源码
04-10
2. **查询信息**:调用 `ZwQuerySystemInformation` 获取系统进程和线程信息的长度。 3. **分配内存**:根据获取到的长度动态分配内存空间。 4. **再次调用**:再次调用 `ZwQuerySystemInformation` 将信息写入分配...
获得系统的总信息,如CPU使用率,内存使用率等.如何取得像任务管理器的,进程CPU占用率啊_ZwQuerySystemInformation详解
03-20
`ZwQuerySystemInformation`是一个低级系统调用,它允许开发者获取到非常详细且底层的系统信息。这个函数是内核模式API的一部分,提供了对系统状态的深入洞察,包括进程、线程、内存、硬件配置等多个方面的数据。 `...
ZwQuerySystemInformation查找进程文件句柄
03-25
ZwQuerySystemInformation查找文件句柄
zwquerysysteminformation 获取进程路径
05-01
如果想要从SYSTEM_INFORMATION结构体中获取进程路径,可以通过遍历进程信息来实现。具体来说,需要得到系统中所有进程进程ID,并使用OpenProcess函数打开每个进程的句柄。然后再使用GetModuleFileNameEx函数获取每...
SYSTEM_PROCESS_INFORMATION SYSTEM_THREAD_INFORMATION
angbagangzhe065140的博客
08-28 526
typedef ULONG KPRIORITY; typedef struct _CLIENT_ID { HANDLE UniqueProcess; HANDLE UniqueThread; } CLIENT_ID, *PCLIENT_ID; typedef enum _KWAIT_REASON { Executive, FreePage, PageI...
通过ZwQuerySystemInformation获取EPROCESS
weixin_33672109的博客
01-08 537
google一下,发现很多都是直接通过ZwQuerySystemInformation通过11号获取进程结构SYSTEM_PROCESS_INFORMATION,对于详细的进程信息表达不够。所以想要通过这个来查看详细的 EPROCESS 结构。方法可以通过 PsLookupProcessByProcessId 这个函数来获取。函数原型在下面给出。   typedef struct _SYS...
ZwQuerySystemInformation函数[msdn文档]
一个观察者
08-04 1977
7 out of 15 rated this helpful - Rate this topic [ZwQuerySystemInformation 在Windows 8里不再被使用。而取而代它的, 是在这个主题里列举的替代函数。] 找回指定的系统信息。 语法 C++ NTSTATUS WINAPI ZwQueryS
ZwQuerySystemInformation
whispermemory的专栏
09-06 1478
ZwQuerySystemInformation 2011-05-06 11:32 最近一直在纠结~~ 代码是网上的~~ #include  #include  #include  #include  #pragma comment( linker,
关于ZwQuerySystemInformation
yuejunqi的专栏
09-01 591
ZwQuerySystemInformation<br />[ZwQuerySystemInformation may be altered or unavailable in subsequent versions of Windows. Applications should use the alternate functions listed in this topic.]<br />Retrieves the specified system information.NTSTATUS WINAPI
Ring3 Hook ZwQuerySystemInformation
11-14
Ring3 Hook ZwQuerySystemInformation实现隐藏进程,在XP里测试通过。
ZwQuerySystemInformation 学习
Flyour的博客
09-09 2137
https://blog.csdn.net/suppercoder/article/details/9341941 这是一篇介绍分别在Ring0 和 Ring3 下是使用ZwQuerySystemInformation 函数来获取一些系统信息的函数。比如可以获取进程表和句柄表。可以参考看看。 //声明ZwQueryAyatemInformation NTSTATUS ZwQuerySystemI...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值