ZwQuerySystemInformation函数查询SystemModuleInformation

最新推荐文章于 2021-10-14 11:36:11 发布
最新推荐文章于 2021-10-14 11:36:11 发布
阅读量6.3k 收藏
点赞数
文章标签: module system struct class
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gold0523/article/details/6321385
版权

使用ZwQuerySystemInformation函数查询SystemModuleInformation 

在看到两种用法 
第一种: 
ZwQuerySystemInformation(SystemModuleInformation,&n,0,&n); 
PULONG p=new ULONG[n]; 


ZwQuerySystemInformation(SystemModuleInformation,p,n*sizeof*p,0); 

第二种: 
ZwQuerySystemInformation(SystemModuleInformation,&n,0,&n); 
buf = (PULONG)ExAllocatePool(PagedPool,n); 
ZwQuerySystemInformation(SystemModuleInformation,buf, n , 0); 

如果n表示返回信息的字节数的话, 
那么在第一种中分配的是n*4个字节的空间 

 

PSYSTEM_MODULE_INFORMATION头4个字节dwNumberOfModules指示有多少个模块 

( PULONG )buf + 1也没有指向第二个模块,只不过是指针向后移了4个字节

 

typedef struct _SYSTEM_MODULE_INFORMATION {//Information Class 11 
    ULONG Reserved [2]; 
    PVOID Base; 
    ULONG Size; 
    ULONG Flags; 
    USHORT Index; 
    USHORT Unknown; 
    USHORT LoadCount; 
    USHORT ModuleNameOffset; 
    CHAR ImageName [256 ]; 
} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION; 

typedef struct { 
    ULONG  dwNumberOfModules; 
    SYSTEM_MODULE_INFORMATION  smi; 
} MODULES, *PMODULES; 

这里的PMODULES就是代码中的PSYSTEM_MODULE_INFORMATION

gold0523
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ZwQuerySystemInformation 查看系统进程信息
03-27
ZwQuerySystemInformation 查看系统进程信息
驱动开发:判断自身是否加载成功
热门推荐
CSDN
10-08 1万+
在驱动开发中我们有时需要得到驱动自身是否被加载成功的状态,这个功能看似没啥用实际上在某些特殊场景中还是需要的,如下代码实现了判断当前驱动是否加载成功,如果加载成功, 则输出该驱动的详细路径信息。这是一个微软未公开的函数,也没有文档化,不过我们仍然可以通过动态指针的方式调用到它,该函数可以查询到很多系统信息状态,首先需要定义一个指针。该结构同样是一个未文档化的结构体,本此代码中需要用到的枚举类型是。是核心函数,我们看下该函数具体是如何实现的,原理很简单。其他类型也放这里后期做参考用。该功能实现的核心函数是。
枚举和隐藏内核模块
qq_41071646的博客
01-19 743
这个还是根据作者Tesla.Angela所开源的教程写的东西  感谢作者 无私奉献的精神   先说枚举 枚举是在应用层实现的   这里的精髓就是找到了 了 WIN64 上 SYSTEM_MODULE_INFORMATION 正确 的结构体定义  如果这个结构 找不对   那么 程序肯定是不对的   然后 用的是 函数 ZwQuerySystemInformation 的 第11号功能     ...
ZwQuerySystemInformation 函数查看进程列表
ShadowAssassin的专栏
12-14 1万+
程序主要应用函数  ZwQuerySystemInformation  实现的,这也是window内核的一个很重要,结构很复杂的函数函数原型 如下: //声明ZqQueryAyatemInformation NTSTATUS ZwQuerySystemInformation( I
System_mudule_information
whispermemory的专栏
09-19 949
typedef struct _SYSTEM_MODULE_INFORMATION { ULONG ModulesCount; SYSTEM_MODULE Modules[0]; } SYSTEM_MODU
ZwQuerySystemInformation查找进程文件句柄
03-25
这个函数提供了丰富的信息查询选项,其中`SystemProcessInformation`类型的数据结构可以用来获取进程的详细信息,包括其打开的文件句柄。 文件句柄是操作系统用于标识和访问文件的一个关键概念。每个打开的文件都会...
微软未公开函数ZwQuerySystemInformation的使用方法(vb编程专用)
08-18
网上关于函数ZwQuerySystemInformation的使用方法少的可怜,这是本人关于此函数的一些心得,在vb上玩api的朋友应该知道这份资料来之不易,我也不为难大家了,0分让你们下了! P.S.因使用win7的notepad编辑此文档,...
ZwQuerySystemInformation获取进程列表信息
04-24
能够通过ZwQuerySystemInformation获取进程信息块,详细的记录类型的参数都标注清楚的。这个函数相对于进程快照有一个缺陷,不能及时得获取我自己进程的信息。(可能是我自己哪里出错,但进程信息都是能够正确获取的...
Ring3 Hook ZwQuerySystemInformation
11-14
3. **编写钩子函数**:钩子函数需要能够模拟原函数的行为,同时添加额外的功能,如在此例中,当系统尝试查询进程信息时,钩子函数可以过滤掉要隐藏的进程,使其在返回的结果中不出现。 4. **处理返回值**:钩子函数...
Windows驱动开发学习记录-遍历内核已加载模块之二(使用ZwQuerySystemInformation)
时空之中的灵魂
10-14 1986
1.原型 NTSTATUS ZwQuerySystemInformation( IN SYSTEM_INFORMATION_CLASS SystemInformationClass, OUT PVOID SystemInformation, IN ULONG SystemInformationLength, OUT PULONG ReturnLength); SystemInformationClass查询的系统信...
ZwQuerySystemInformation枚举内核模块及简单应用
创造神话,实现梦想!
08-14 4474
简单说,即调用第11号功能,枚举一下内核中已加载的模块。 部分代码如下: //功能号为11,先获取所需的缓冲区大小 ZwQuerySystemInformation(SystemModuleInformation,NULL,0,&needlen); //申请内存 ZwA
【旧文章搬运】ZwQuerySystemInformation枚举内核模块及简单应用
weixin_30920853的博客
12-26 188
原文发表于百度空间,2008-10-24========================================================================== 简单说,即调用第11号功能,枚举一下内核中已加载的模块。部分代码如下://功能号为11,先获取所需的缓冲区大小ZwQuerySystemInformation(SystemModuleInformation,...
枚举系统模块信息
125096
01-22 2264
#include #include #include typedef struct _SYSTEM_MODULE_INFORMATION { ULONG Reserved[2]; PVOID Base; ULONG Size; ULONG Flags; USHORT Index; USHORT Unknown; USHORT LoadCount; USHORT Modul
枚举进程(ZwQuerySystemInformation)
KOOKNUT的博客
03-13 1551
枚举进程的另外一种方法,也是CreateToolhelp32Snapshot内部真实的调用枚举进程信息的函数,在ntdll下导出的函数ZwQuerySystemInformation。这个函数是ntdll动态库下的一个导出函数,我们首先需要获得ntdll的模块句柄,接下来查找函数ZwQuerySystemInformation函数地址,进行函数指针强转之后,进行调用。ZwQuerySys...
函数ZwQuerySystemInformation小结
weixin_33906657的博客
08-07 317
函数存在于NTDLL.DLL动态链接库中。NTDLL.DLL负责ring3与ring0之间的通信。当使用子系统方式进行系统调用的时候,ntdll.dll和SSDT会配合使用。 关于ZwQuerySystemInformation这个函数可以用来查询进程信息、内核信息、硬件信息(例如CPU数目)、句柄信息、时间信息等54个系统信息。 该函数的原型是 NTSTATUS WI...
内核下枚举进程 (二)ZwQuerySystemInformation
10-09 804
说明: SYSTEM_INFORMATION_CLASS 的5号功能枚举进程信息。其是这个函数对应着ring3下的 NtQuerySystemInformation,但msdn上说win8以后ZwQuerySystemInformation函数已经不可用,本人也没有在win8下测试过。留给读者自己实验吧。顺便罗嗦一下,不像ring3下使用此函数是要先LoadLibrary,然后GetPr...
ZwQuerySystemInformation
friendan的专栏
09-11 3155
ZwQuerySystemInformation.h #ifndef ZwQuerySystemInformation_H_ #define ZwQuerySystemInformation_H_ #include typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation,
【原创】X64 枚举 内核 符号~~~~
落笔飞花笑百生的博客
09-04 2716
typedef NTSTATUS (*ZWQUERYSYSTEMINFORMATION) ( IN ULONG SystemInformationClass, OUT PVOID SystemInformation, IN ULONG Length, OUT PULONG ReturnLength ); typedef unsigned long DWORD;
zwquerysysteminformation hook
最新发布
09-24
zwquerysysteminformation hook是一种Windows系统中的钩子技术。钩子(hook)是一种机制,允许我们在系统或应用程序中截获、转发或修改特定事件或函数的调用。而zwquerysysteminformation是Windows系统提供的一个函数,用于获取关于系统信息的详细数据。 zwquerysysteminformation hook通常被用于修改或拦截zwquerysysteminformation函数的调用。通过在zwquerysysteminformation函数的前后插入自定义的代码,我们可以改变函数的行为或获取其返回值,以满足特定的需求。 zwquerysysteminformation函数用于获得各种系统信息,例如进程列表、系统进程统计、模块列表、系统文件缓存信息和系统影像信息等。通过使用zwquerysysteminformation hook,我们可以实现以下功能: 1. 修改zwquerysysteminformation函数的返回结果,以向调用者提供假数据或修改实际数据; 2. 统计系统进程信息或进行监控,以便对系统行为进行分析; 3. 拦截敏感信息或恶意操作的调用,以加强系统安全性; 4. 在zwquerysysteminformation函数调用前后插入其他自定义代码,以实现对调用的定制处理。 需要注意的是,zwquerysysteminformation hook属于高级编程技术,需要熟悉Windows系统编程和钩子技术的相关知识才能正确使用。在使用过程中需要小心处理,确保hook的正确性和稳定性,以免对系统造成不必要的影响或引发安全问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值