关于未公开函数ZwQuerySystemInformation的使用

最新推荐文章于 2024-09-30 13:31:42 发布
最新推荐文章于 2024-09-30 13:31:42 发布
阅读量1.1w 收藏 7
点赞数 1
分类专栏: windows内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/suppercoder/article/details/9341941
版权
本文介绍了在内核编程中遇到的未公开函数ZwQuerySystemInformation,详细讨论了其在获取系统模块信息时的作用。尽管微软官方未提供完整信息,但通过网络资源,作者分享了一段ring3环境下使用该函数获取进程模块信息的代码,并解析了SYSTEM_MODULE_INFORMATION结构。对比drivers.exe,揭示了ZwQuerySystemInformation在不同信息类下的功能。
摘要由CSDN通过智能技术生成

      最近看一些关于内核方面的资料,碰到未公开函数,未能在微软官方找到答案,从网上了解到一些信息,摘录下来备用。

      我看到驱动程序在ring0调用的一段代码的使用:

ULONG GetModuleBase(PCHAR szModuleName)
{
    ULONG uSize = 0x10000;
    PVOID pModuleInfo = ExAllocatePoolWithTag(NonPagedPool, 
                                            uSize, 
                                            'GetB');
    if (pModuleInfo == NULL)
    {
        KdPrint(("ExAllocatePoolWithTag failed\n"));
        return 0;
    }
    RtlZeroMemory(pModuleInfo, uSize);

    NTSTATUS status = ZwQuerySystemInformation(SystemModuleInformation, 
        pModuleInfo, 
        uSize, 
        NULL);

    if(!NT_SUCCESS(status))
    {
        KdPrint(("FindModuleByAddress query failed\n"));
        KdPrint(("FindModuleByAddress status: 0x%x\n", status));
        if (pModuleInfo != NULL)
        {
            ExFreePool(pModuleInfo);
            pModuleInfo = NULL;
        }
        return 0;
    }

    ULONG uNumberOfModules = *(PULONG)pModuleInfo;
    if (uNumberOfModules == 0)
    {
        return 0;
    }

    PRTL_PROCESS_MODULE_INFORMATION pStart = 
        (PRTL_PROCESS_MODULE_INFORMATION)((ULONG)pModuleInfo + sizeof(ULONG));

    for (ULONG uCount = 0; uCount < uNumberOfModules; uCount++)
    {
        PUCHAR pszFullPathName = (PUCHAR)pStart->FullPathName;

        ULONG uOffsetName = pStart->OffsetToFileName;

        PUCHAR pszName = (PUCHAR)(pszFullPathName + uOffsetName);

        if (_stricmp((const char *)pszName, szModuleName) == 0)
        {
            ULONG uImageBase = (ULONG)pStart->ImageBase;
            if (pModuleInfo != NULL)
            {
                ExFreePool(pModuleInfo);
                pModuleInfo = NULL;
            }
            return uImageBase;
        }

        pStart++;
    }
    
    if (pModuleInfo != NULL)
    {
        ExFreePool(pModuleInfo);
        pModuleInfo = NULL;
    }
    return 0;
}
      上面代码GetModuleBase功能是获取指定名字的模块的内存中的基址。

      其中ZwQuerySystemInformation函数微软官方链接:ZwQuerySystemInformation并未能提供足够的信息,SystemModuleInformation并没有在官方链接中找到描述的使用方法。我想官方不可能会漏掉这个使用,故意不公开一定是有原因的,传统上的原因是这块内容很可能在后面的版本改变不公开给用户使用。我不管是什么原因,能弄清楚这块内容,就是我的目标。

      函数原型:

NTSTATUS WINAPI ZwQuerySystemInformation(
  _In_       SYSTEM_INFORMATION_CLASS SystemInformationClass,
  _Inout_    PVOID SystemInformation,
  _In_       ULONG SystemInformationLength,
  _Out_opt_  PULONG ReturnLength
);

      在网上找到一段利用在ring3中利用ZwQuerySystemInformation来获取进程模块信息的代码,稍加修改,就可以正常编译运行,功能类似于ddk提供的drivers.exe的功能

最低0.47元/天 解锁文章
InlineHook任务管理器_ZwQuerySystemInformation_隐藏进程
yeanhoo的博客
09-24 638
InlineHook任务管理器_ZwQuerySystemInformation_隐藏进程 hook步骤: 查找目标函数地址 修改目标函数第一条指令跳转到我们构造的函数 卸载掉钩子,执行正常的目标函数 过滤掉特定信息后返回 hook代码如下 #include<windows.h> #include<Winternl.h> BOOL hook_code(); BOOL unHook_code(); NTSTATUS WINAPI NewZwQuerySystem
Windows NT未公开的内核API秘密
01-11
《Windows NT未公开的内核API秘密》一书揭示了Windows操作系统深处的不为人知的API接口,这些接口通常是微软官方文档中未明确列出的,但对深入理解和优化Windows应用程序性能至关重要。掌握这些API,开发者可以更...
5.1 Windows驱动开发:判断驱动加载状态
CSDN
11-24 4689
在驱动开发中我们有时需要得到驱动自身是否被加载成功的状态,这个功能看似没啥用实际上在某些特殊场景中还是需要的,如下代码实现了判断当前驱动是否加载成功,如果加载成功, 则输出该驱动的详细路径信息。 该功能实现的核心函数是`NtQuerySystemInformation`这是一个微软未公开函数,也没有文档化,不过我们仍然可以通过动态指针的方式调用到它,该函数可以查询到很多系统信息状态,首先需要定义一个指针。
微软未公开函数ZwQuerySystemInformation使用方法(vb编程专用)
08-18
网上关于函数ZwQuerySystemInformation使用方法少的可怜,这是本人关于此函数的一些心得,在vb上玩api的朋友应该知道这份资料来之不易,我也不为难大家了,0分让你们下了! P.S.因使用win7的notepad编辑此文档,所以如果文档不能正常打开,见谅!
ZwQuerySystemInformation枚举模块问题分析
最新发布
sunjiaoya的博客
09-30 637
ZwQuerySystemInformation通过调用号0xb可以获取到内核层模块的信息,通过windbg和IDA追踪ZwQuerySystemInformation函数调用链,发现在内核模块里调用 ZwQuerySystemInformation() 函数,将通过系统调用转而调用 NtQuerySystemInformation() 函数。NtQuerySystemInformation() 调用内部的 ExpQueryModuleInformation() 函数来完成相应功能。
函数ZwQuerySystemInformation小结
06-05 397
函数存在于NTDLL.DLL动态链接库中。NTDLL.DLL负责ring3与ring0之间的通信。当使用子系统方式进行系统调用的时候,ntdll.dll和SSDT会配合使用。关于SSDT技术以后会讲解到。 关于ZwQuerySystemInformation这个函数可以用来查询进程信息、内核信息、硬件信息(例如CPU数目)、句柄信息、时间信息等54个系统信息。 该函数的原型是 NTST
最新隐藏进程 RING3实现方式:hook ZwQuerySystemInformation 隐藏进程 在XP里测试通过
aq782645210的专栏
11-14 3555
研究其他作者写的文章,也是hook ZwQuerySystemInformation 隐藏进程,可是我怎么测试都没有通过,不能隐藏进程,在网上也试了其他隐藏进程的代码,也不行。唉,那就只有自己动手啦~~~ 既然hook ZwQuerySystemInformation 可以隐藏进程,我就拿它刀了。首先声明,本人只是业余编程者,代码不好看的地方请多包涵。 经过反复测试,终于找到了关键处: wh
hook ZwQuerySystemInformation 隐藏进程
fanpeii的专栏
10-22 2136
该程序用vs2010编译通过。编译时选择release版本。 该程序可以通过hook ZwQuerySystemInformation来达到隐藏进程的功能。 // HideProcess.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include //#inc
Windows内核API探索:ZwQuerySystemInformation
总结来说,"Windows未公开的API"文档是驱动开发和内核编程的重要参考资料,特别是`ZwQuerySystemInformation`函数使用,它为开发者提供了深入操作系统内部、获取和控制系统状态的能力。虽然这类API的使用可能带来...
ZwQuerySystemInformation函数[msdn文档]
一个观察者
08-04 1977
7 out of 15 rated this helpful - Rate this topic [ZwQuerySystemInformation 在Windows 8里不再被使用。而取而代它的, 是在这个主题里列举的替代函数。] 找回指定的系统信息。 语法 C++ NTSTATUS WINAPI ZwQueryS
zwqueryinformationfile获取路径例子
08-08
我们需要使用ZwQuerySystemInformation函数来枚举句柄,将每一个句柄都用DuplicateHandle进行复制,确定句柄属于那个文件(ZwQueryInformationFile),如果是要找的文件,就将句柄拷贝。 这些在理论上都讲得通,但...
Hook ZwQuerySystemInformation 隐藏qq程序
03-07 2851
近一直在研究rootkit,首先申明我是rootkit的菜鸟哈,也感觉还么有研究得好深。这次我把我练习时写的一个hook 系统 ZwQuerySystemInformation 函数来实现隐藏QQ进程的代码贴上来,也算是为成黑添砖添瓦哦。隐藏了的进程能够被rootkit的检测工具检测出来,但是一般的方法是看不出来的,比如任务管理器,和程序里面列出进程都是看不到的。程序中我已经添加了相关的注释,这里
hook zwQuerySysteminformation 隐藏进程
小驹的专栏
05-21 5267
代码: #include //#include typedef unsigned long DWORD; #pragma pack(1) typedef struct ServiceDescriptorEntry{ unsigned int *ServiceTableBase; unsigned int *ServiceCountTableBase; unsigned int Nu
隐藏进程 hook ZwQuerySystemInformation
zcgzdhxm的专栏
10-28 3703
原来的代码是隐藏_root_为了调试方便,改为了AcroRd32// BASIC ROOTKIT that hides processes// ----------------------------------------------------------// v0.1 - Initial, Greg Hoglund (hoglund@rootkit.com)// v0.3 - Added defines to compile on W2K, and comments. Rich// v0.4 - Fi
ZwQuerySystemInformation 函数查看进程列表
热门推荐
ShadowAssassin的专栏
12-14 1万+
程序主要应用函数  ZwQuerySystemInformation  实现的,这也是window内核的一个很重要,结构很复杂的函数函数原型 如下: //声明ZqQueryAyatemInformation NTSTATUS ZwQuerySystemInformation( I
Windows未公开函数揭密(3)
柴门的编程学习基地
05-12 1184
Windows未公开函数揭密    根据一个特定文件夹对象的ID获得它的目录pidlPublic Function GetPIDLFromFolderID(hOwner As Long, nFolder As SHSpecialFolderIDs) As LongDim pidl As LongIf SHGetSpecialFolderLocation(hOwner, nFolder
ZwQuerySystemInformation使用
huangai93的专栏
07-01 845
函数存在于NTDLL.DLL动态链接库中。NTDLL.DLL负责ring3与ring0之间的通信。当使用子系统方式进行系统调用的时候,ntdll.dll和SSDT会配合使用。关于SSDT技术以后会讲解到。 关于ZwQuerySystemInformation这个函数可以用来查询进程信息、内核信息、硬件信息(例如CPU数目)、句柄信息、时间信息等54个系统信息。 该函数的原型是 NTSTAT
ZwQuerySystemInformation
friendan的专栏
09-11 3184
ZwQuerySystemInformation.h #ifndef ZwQuerySystemInformation_H_ #define ZwQuerySystemInformation_H_ #include typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值