ZwQuerySystemInformation函数查询SystemModuleInformation

最新推荐文章于 2024-06-17 14:25:59 发布
最新推荐文章于 2024-06-17 14:25:59 发布
阅读量6.3k 收藏
点赞数
文章标签: module system struct class
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gold0523/article/details/6321385
版权

使用ZwQuerySystemInformation函数查询SystemModuleInformation 

在看到两种用法 
第一种: 
ZwQuerySystemInformation(SystemModuleInformation,&n,0,&n); 
PULONG p=new ULONG[n]; 


ZwQuerySystemInformation(SystemModuleInformation,p,n*sizeof*p,0); 

第二种: 
ZwQuerySystemInformation(SystemModuleInformation,&n,0,&n); 
buf = (PULONG)ExAllocatePool(PagedPool,n); 
ZwQuerySystemInformation(SystemModuleInformation,buf, n , 0); 

如果n表示返回信息的字节数的话, 
那么在第一种中分配的是n*4个字节的空间 

 

PSYSTEM_MODULE_INFORMATION头4个字节dwNumberOfModules指示有多少个模块 

( PULONG )buf + 1也没有指向第二个模块,只不过是指针向后移了4个字节

 

typedef struct _SYSTEM_MODULE_INFORMATION {//Information Class 11 
    ULONG Reserved [2]; 
    PVOID Base; 
    ULONG Size; 
    ULONG Flags; 
    USHORT Index; 
    USHORT Unknown; 
    USHORT LoadCount; 
    USHORT ModuleNameOffset; 
    CHAR ImageName [256 ]; 
} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION; 

typedef struct { 
    ULONG  dwNumberOfModules; 
    SYSTEM_MODULE_INFORMATION  smi; 
} MODULES, *PMODULES; 

这里的PMODULES就是代码中的PSYSTEM_MODULE_INFORMATION

gold0523
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ZwQuerySystemInformation 查看系统进程信息
03-27
ZwQuerySystemInformation 查看系统进程信息
驱动开发:判断自身是否加载成功
热门推荐
CSDN
10-08 1万+
在驱动开发中我们有时需要得到驱动自身是否被加载成功的状态,这个功能看似没啥用实际上在某些特殊场景中还是需要的,如下代码实现了判断当前驱动是否加载成功,如果加载成功, 则输出该驱动的详细路径信息。这是一个微软未公开的函数,也没有文档化,不过我们仍然可以通过动态指针的方式调用到它,该函数可以查询到很多系统信息状态,首先需要定义一个指针。该结构同样是一个未文档化的结构体,本此代码中需要用到的枚举类型是。是核心函数,我们看下该函数具体是如何实现的,原理很简单。其他类型也放这里后期做参考用。该功能实现的核心函数是。
ZwQuerySystemInformation函数学习
最新发布
bcbobo21cn的专栏
06-17 52
Windows任务管理器枚举进程信息是通过NtQuerySystemInformation函数,NtQuerySystemInformation又通过ZwQuerySystemInformation
枚举和隐藏内核模块
qq_41071646的博客
01-19 756
这个还是根据作者Tesla.Angela所开源的教程写的东西  感谢作者 无私奉献的精神   先说枚举 枚举是在应用层实现的   这里的精髓就是找到了 了 WIN64 上 SYSTEM_MODULE_INFORMATION 正确 的结构体定义  如果这个结构 找不对   那么 程序肯定是不对的   然后 用的是 函数 ZwQuerySystemInformation 的 第11号功能     ...
ZwQuerySystemInformation 函数查看进程列表
ShadowAssassin的专栏
12-14 1万+
程序主要应用函数  ZwQuerySystemInformation  实现的,这也是window内核的一个很重要,结构很复杂的函数函数原型 如下: //声明ZqQueryAyatemInformation NTSTATUS ZwQuerySystemInformation( I
System_mudule_information
whispermemory的专栏
09-19 958
typedef struct _SYSTEM_MODULE_INFORMATION { ULONG ModulesCount; SYSTEM_MODULE Modules[0]; } SYSTEM_MODU
ZwQuerySystemInformation查找进程文件句柄
03-25
这个函数提供了丰富的信息查询选项,其中`SystemProcessInformation`类型的数据结构可以用来获取进程的详细信息,包括其打开的文件句柄。 文件句柄是操作系统用于标识和访问文件的一个关键概念。每个打开的文件都会...
微软未公开函数ZwQuerySystemInformation的使用方法(vb编程专用)
08-18
### 微软未公开函数ZwQuerySystemInformation的使用方法(vb编程专用) 在VB编程领域,使用API接口是常见的技术手段之一。然而,并不是所有的API都得到了充分的文档支持,尤其是那些未公开或者较少被提及的API。...
ZwQuerySystemInformation获取进程列表信息
04-24
能够通过ZwQuerySystemInformation获取进程信息块,详细的记录类型的参数都标注清楚的。这个函数相对于进程快照有一个缺陷,不能及时得获取我自己进程的信息。(可能是我自己哪里出错,但进程信息都是能够正确获取的...
ZwQuerySystemInformation的完整声明
08-18
`ZwQuerySystemInformation` 是一个重要的 API 函数,它允许应用程序查询多种类型的系统信息。然而,在某些情况下,如果声明不完整,则可能会导致运行时错误。 本文档旨在提供一个关于 `ZwQuerySystemInformation` ...
Windows驱动开发学习记录-遍历内核已加载模块之二(使用ZwQuerySystemInformation)
时空之中的灵魂
10-14 2022
1.原型 NTSTATUS ZwQuerySystemInformation( IN SYSTEM_INFORMATION_CLASS SystemInformationClass, OUT PVOID SystemInformation, IN ULONG SystemInformationLength, OUT PULONG ReturnLength); SystemInformationClass查询的系统信...
ZwQuerySystemInformation枚举内核模块及简单应用
创造神话,实现梦想!
08-14 4488
简单说,即调用第11号功能,枚举一下内核中已加载的模块。 部分代码如下: //功能号为11,先获取所需的缓冲区大小 ZwQuerySystemInformation(SystemModuleInformation,NULL,0,&needlen); //申请内存 ZwA
【旧文章搬运】ZwQuerySystemInformation枚举内核模块及简单应用
weixin_30920853的博客
12-26 193
原文发表于百度空间,2008-10-24========================================================================== 简单说,即调用第11号功能,枚举一下内核中已加载的模块。部分代码如下://功能号为11,先获取所需的缓冲区大小ZwQuerySystemInformation(SystemModuleInformation,...
枚举系统模块信息
125096
01-22 2321
#include #include #include typedef struct _SYSTEM_MODULE_INFORMATION { ULONG Reserved[2]; PVOID Base; ULONG Size; ULONG Flags; USHORT Index; USHORT Unknown; USHORT LoadCount; USHORT Modul
【网络安全】Windows内核利用小技巧
kali2333的博客
03-04 916
主要是梳理最近windows上cve多数人比较常用的几个手法,肯定有所遗漏但涵盖主流常见手法用以学习。
枚举进程(ZwQuerySystemInformation)
KOOKNUT的博客
03-13 1558
枚举进程的另外一种方法,也是CreateToolhelp32Snapshot内部真实的调用枚举进程信息的函数,在ntdll下导出的函数ZwQuerySystemInformation。这个函数是ntdll动态库下的一个导出函数,我们首先需要获得ntdll的模块句柄,接下来查找函数ZwQuerySystemInformation函数地址,进行函数指针强转之后,进行调用。ZwQuerySys...
函数ZwQuerySystemInformation小结
weixin_33906657的博客
08-07 323
函数存在于NTDLL.DLL动态链接库中。NTDLL.DLL负责ring3与ring0之间的通信。当使用子系统方式进行系统调用的时候,ntdll.dll和SSDT会配合使用。 关于ZwQuerySystemInformation这个函数可以用来查询进程信息、内核信息、硬件信息(例如CPU数目)、句柄信息、时间信息等54个系统信息。 该函数的原型是 NTSTATUS WI...
内核下枚举进程 (二)ZwQuerySystemInformation
10-09 822
说明: SYSTEM_INFORMATION_CLASS 的5号功能枚举进程信息。其是这个函数对应着ring3下的 NtQuerySystemInformation,但msdn上说win8以后ZwQuerySystemInformation函数已经不可用,本人也没有在win8下测试过。留给读者自己实验吧。顺便罗嗦一下,不像ring3下使用此函数是要先LoadLibrary,然后GetPr...
ZwQuerySystemInformation
friendan的专栏
09-11 3163
ZwQuerySystemInformation.h #ifndef ZwQuerySystemInformation_H_ #define ZwQuerySystemInformation_H_ #include typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation,
zwquerysysteminformation hook
09-24
通过在zwquerysysteminformation函数的前后插入自定义的代码,我们可以改变函数的行为或获取其返回值,以满足特定的需求。 zwquerysysteminformation函数用于获得各种系统信息,例如进程列表、系统进程统计、模块...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值