ZwQuerySystemInformation的使用

最新推荐文章于 2024-02-07 11:42:06 发布
最新推荐文章于 2024-02-07 11:42:06 发布
阅读量819 收藏 1
点赞数
分类专栏: 驱动学习

该函数存在于NTDLL.DLL动态链接库中。NTDLL.DLL负责ring3ring0之间的通信。当使用子系统方式进行系统调用的时候,ntdll.dllSSDT会配合使用。关于SSDT技术以后会讲解到。

关于ZwQuerySystemInformation这个函数可以用来查询进程信息、内核信息、硬件信息(例如CPU数目)、句柄信息、时间信息等54个系统信息。

该函数的原型是

NTSTATUS WINAPI ZwQuerySystemInformation(

  __in          SYSTEM_INFORMATION_CLASS SystemInformationClass,

  __in_out     PVOID SystemInformation,

  __in          ULONG SystemInformationLength,

  __out_opt    PULONG ReturnLength

);

至于第一个参数SYSTEM_INFORMATION_CLASS是一个枚举结构。枚举了所有的54个系统信息。该结构在最后将会列举出来。

一、用户模式下的ZwQuerySystemInformation

在用户模式下必须用LoadLibraryGetProcAddress来获取该函数地址。

代码如下,先声明一个函数。

typedef NTSTATUS (WINAPI *NTQUERYSYSTEMINFORMATION)(IN SYSTEM_INFORMATION_CLASS,IN OUT PVOID, INULONG, OUTPULONG);

加载NTDLL.DLL,获取函数地址。

NTQUERYSYSTEMINFORMATION ZwQuerySystemInformation = NULL;

ZwQuerySystemInformation =

(NTQUERYSYSTEMINFORMATION)GetProcAddress(ntdll.dll,"ZwQuerySystemInfromation");

 

举例:枚举进程信息

要想获取进程信息,必须使用第二个参数,第二个参数指向一块内存。必须使用参数1中每个系统信息对应的结构体来将该内存进行转换。

假设我们要枚举进程信息,必须使用下列结构,该结构描述了进程名,线程数,指向下一个模块的指针,创建时间等等。结构描述如下:

1 参数2指针指向的结构

        PSYSTEM_PROCESSES psp=NULL

        //先为参数2设为空,dwNeedSize获取保存该结构体的内存大小

        statusZwQuerySystemInformation(SystemProcessesAndThreadsInformation,      NULL, 0, &dwNeedSize); 

       //若用户提供的缓冲//区大小不够,则返回STATUS_INFO_LENGTH_MISMATCH,并返回实际需要的缓冲区大小

        if ( status == STATUS_INFO_LENGTH_MISMATCH ) {   

            pBuffer = new BYTE[dwNeedSize];  

            status = ZwQuerySystemInformation(SystemProcessesAndThreadsInformation, (PVOID)pBuffer, dwNeedSize, NULL);  

            if ( status == STATUS_SUCCESS )  

            {  

                psp = (PSYSTEM_PROCESSES)pBuffer; //强制转换

                printf("PID  线程数工作集大小进程名\n");

                do {  

                    printf("%-4d", psp->ProcessId);

                    printf(" %3d", psp->ThreadCount);  

                    printf(" %8dKB", psp->VmCounters.WorkingSetSize/1024);

                    wprintf(L" %s\n", psp->ProcessName.Buffer);

                    psp = (PSYSTEM_PROCESSES)((ULONG)psp + psp->NextEntryDelta );  

                } while ( psp->NextEntryDelta != 0 ); //循环遍历

        }

        delete []pBuffer;  

        pBuffer = NULL

  }

二、内核模式下的ZwQuerySystemInformation

内核模式下的ZwQuerySystemInformation的地址的获取没有应用层那么麻烦。直接声明一下该函数即可。详细参见:http://www.2cto.com/kf/200901/31447.html

NTSYSAPI

NTSTATUS

NTAPI ZwQuerySystemInformation(

            IN ULONG SystemInformationClass,

            IN OUT PVOID SystemInformation,

            IN ULONG SystemInformationLength,

            OUT PULONG ReturnLength);

直接使用即可:

ZwQuerySystemInformation(SystemProcessesAndThreadsInformation,pBuffer, cbBuffer, NULL);

这是一个C代码程序,该程序是在ring3层写的,主要内容是获取CPU个数,枚举进程,枚举内核模块。该代码是从网上下载的,因为要用到这个函数,所以小小地研究了一下。

 地址:http://nokyo.blogbus.com/logs/33162795.html

SYSTEM_INFORMATION_CLASS枚举结构,大家有兴趣的话可以去好好研究。

 

typedef enum _SYSTEM_INFORMATION_CLASS   

 

{   

 

    SystemBasicInformation,                 //  0 Y N   

 

    SystemProcessorInformation,             //  1 Y N   

 

    SystemPerformanceInformation,           //  2 Y N   

 

    SystemTimeOfDayInformation,             //  3 Y N   

 

    SystemNotImplemented1,                  //  4 Y N   

 

    SystemProcessesAndThreadsInformation,   //  5 Y N   

 

    SystemCallCounts,                       //  6 Y N   

 

    SystemConfigurationInformation,         //  7 Y N   

 

    SystemProcessorTimes,                   //  8 Y N   

 

    SystemGlobalFlag,                       //  9 Y Y   

 

    SystemNotImplemented2,                  // 10 Y N   

 

    SystemModuleInformation,                // 11 Y N   

 

    SystemLockInformation,                  // 12 Y N   

 

    SystemNotImplemented3,                  // 13 Y N   

 

    SystemNotImplemented4,                  // 14 Y N   

 

    SystemNotImplemented5,                  // 15 Y N   

 

    SystemHandleInformation,                // 16 Y N   

 

    SystemObjectInformation,                // 17 Y N   

 

    SystemPagefileInformation,              // 18 Y N   

 

    SystemInstructionEmulationCounts,       // 19 Y N   

 

    SystemInvalidInfoClass1,                // 20   

 

    SystemCacheInformation,                 // 21 Y Y   

 

    SystemPoolTagInformation,               // 22 Y N   

 

    SystemProcessorStatistics,              // 23 Y N   

 

    SystemDpcInformation,                   // 24 Y Y   

 

    SystemNotImplemented6,                  // 25 Y N   

 

    SystemLoadImage,                        // 26 N Y   

 

    SystemUnloadImage,                      // 27 N Y   

 

    SystemTimeAdjustment,                   // 28 Y Y   

 

    SystemNotImplemented7,                  // 29 Y N   

 

    SystemNotImplemented8,                  // 30 Y N   

 

    SystemNotImplemented9,                  // 31 Y N   

 

    SystemCrashDumpInformation,             // 32 Y N   

 

    SystemExceptionInformation,             // 33 Y N   

 

    SystemCrashDumpStateInformation,        // 34 Y Y/N   

 

    SystemKernelDebuggerInformation,        // 35 Y N   

 

    SystemContextSwitchInformation,         // 36 Y N   

 

    SystemRegistryQuotaInformation,         // 37 Y Y   

 

    SystemLoadAndCallImage,                 // 38 N Y   

 

    SystemPrioritySeparation,               // 39 N Y   

 

    SystemNotImplemented10,                 // 40 Y N   

 

    SystemNotImplemented11,                 // 41 Y N   

 

    SystemInvalidInfoClass2,                // 42   

 

    SystemInvalidInfoClass3,                // 43   

 

    SystemTimeZoneInformation,              // 44 Y N   

 

    SystemLookasideInformation,             // 45 Y N   

 

    SystemSetTimeSlipEvent,                 // 46 N Y   

 

    SystemCreateSession,                    // 47 N Y   

 

    SystemDeleteSession,                    // 48 N Y   

 

    SystemInvalidInfoClass4,                // 49   

 

    SystemRangeStartInformation,            // 50 Y N   

 

    SystemVerifierInformation,              // 51 Y Y   

 

    SystemAddVerifier,                      // 52 N Y   

 

    SystemSessionProcessesInformation       // 53 Y N   

 

  

 

} SYSTEM_INFORMATION_CLASS;   

 

huangai93
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
枚举进程(ZwQuerySystemInformation)
KOOKNUT的博客
03-13 1551
枚举进程的另外一种方法,也是CreateToolhelp32Snapshot内部真实的调用枚举进程信息的函数,在ntdll下导出的函数ZwQuerySystemInformation。这个函数是ntdll动态库下的一个导出函数,我们首先需要获得ntdll的模块句柄,接下来查找函数ZwQuerySystemInformation的函数地址,进行函数指针强转之后,进行调用。ZwQuerySys...
ZwSetSystemInformation使用
04-02 2058
實驗對象:卡巴7.0.0.125實驗函數:ZwSetSystemInformation實驗內容:繞過卡吧裝驅動(多麽恐怖的事),結果將會使系統失去防禦 // TestKisOfZwSetSystemInformation.cpp : Defines the entry point for the console application.// #include #
ZwQuerySystemInformation 函数查看进程列表
热门推荐
ShadowAssassin的专栏
12-14 1万+
程序主要应用函数  ZwQuerySystemInformation  实现的,这也是window内核的一个很重要,结构很复杂的函数。 函数原型 如下: //声明ZqQueryAyatemInformation NTSTATUS ZwQuerySystemInformation( I
函数ZwQuerySystemInformation小结
06-05 374
该函数存在于NTDLL.DLL动态链接库中。NTDLL.DLL负责ring3与ring0之间的通信。当使用子系统方式进行系统调用的时候,ntdll.dll和SSDT会配合使用。关于SSDT技术以后会讲解到。 关于ZwQuerySystemInformation这个函数可以用来查询进程信息、内核信息、硬件信息(例如CPU数目)、句柄信息、时间信息等54个系统信息。 该函数的原型是 NTST
内核下枚举进程 (二)ZwQuerySystemInformation
10-09 804
说明: SYSTEM_INFORMATION_CLASS 的5号功能枚举进程信息。其是这个函数对应着ring3下的 NtQuerySystemInformation,但msdn上说win8以后ZwQuerySystemInformation函数已经不可用,本人也没有在win8下测试过。留给读者自己实验吧。顺便罗嗦一下,不像ring3下使用此函数是要先LoadLibrary,然后GetPr...
ZwQuerySystemInformation 学习
Flyour的博客
09-09 2094
https://blog.csdn.net/suppercoder/article/details/9341941 这是一篇介绍分别在Ring0 和 Ring3 下是使用ZwQuerySystemInformation 函数来获取一些系统信息的函数。比如可以获取进程表和句柄表。可以参考看看。 //声明ZwQueryAyatemInformation NTSTATUS ZwQuerySystemI...
ZwQuerySystemInformation查找进程文件句柄
03-25
《深入解析ZwQuerySystemInformation查找进程文件句柄》 在Windows操作系统中,开发者可以通过系统调用`ZwQuerySystemInformation`来获取系统的各种信息,其中包括查找进程中的文件句柄。这一功能对于系统监控、...
获得系统的总信息,如CPU使用率,内存使用率等.如何取得像任务管理器的,进程CPU占用率啊_ZwQuerySystemInformation详解
03-20
`ZwQuerySystemInformation`函数的使用通常涉及以下几个步骤: 1. **定义系统信息类**:首先,你需要确定要查询的系统信息类型。例如,要获取CPU使用率,你需要使用`SystemProcessInformation`信息类。内存使用情况...
ZwQuerySystemInformation 查看系统进程信息
03-27
本文将深入探讨如何使用`ZwQuerySystemInformation`来查看系统进程信息。 ### ZwQuerySystemInformation基本概念 `ZwQuerySystemInformation`接收一个系统信息类(SystemInformationClass)参数,这个参数定义了...
微软未公开函数ZwQuerySystemInformation使用方法(vb编程专用)
08-18
网上关于函数ZwQuerySystemInformation使用方法少的可怜,这是本人关于此函数的一些心得,在vb上玩api的朋友应该知道这份资料来之不易,我也不为难大家了,0分让你们下了! P.S.因使用win7的notepad编辑此文档,...
ZwQuerySystemInformation获取进程列表信息
04-24
能够通过ZwQuerySystemInformation获取进程信息块,详细的记录类型的参数都标注清楚的。这个函数相对于进程快照有一个缺陷,不能及时得获取我自己进程的信息。(可能是我自己哪里出错,但进程信息都是能够正确获取的...
ZwQuerySystemInformation
friendan的专栏
09-11 3155
ZwQuerySystemInformation.h #ifndef ZwQuerySystemInformation_H_ #define ZwQuerySystemInformation_H_ #include typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation,
使用NtQuerySystemInformation遍历进程信息[详细篇]
weixin_42270114的博客
07-15 5873
使用NtQuerySystemInformation遍历进程信息[详细篇]
关于ZwQuerySystemInformation
yuejunqi的专栏
09-01 569
ZwQuerySystemInformation<br />[ZwQuerySystemInformation may be altered or unavailable in subsequent versions of Windows. Applications should use the alternate functions listed in this topic.]<br />Retrieves the specified system information.NTSTATUS WINAPI
使用 NtQuerySystemInformation 遍历进程信息
溡漪幽博客
02-07 1103
通过遍历系统进程信息,我们可以了解系统中运行的各种进程的详细信息,从而更好地进行系统管理和性能优化。本文介绍了一种通过调用 Windows 系统API来获取并遍历系统进程信息的技术,并提供了一段示例代码以帮助读者理解该技术的实现方法。
ZwQuerySystemInformation函数查询SystemModuleInformation
gold0523的专栏
04-13 6351
<br />使用ZwQuerySystemInformation函数查询SystemModuleInformation <br /><br />在看到两种用法 <br />第一种: <br />ZwQuerySystemInformation(SystemModuleInformation,&n,0,&n); <br />PULONG p=new ULONG[n]; <br /><br /><br />ZwQuerySystemInformation(SystemModuleInformation,p,n*
ZwQuerySystemInformation函数[msdn文档]
一个观察者
08-04 1929
7 out of 15 rated this helpful - Rate this topic [ZwQuerySystemInformation 在Windows 8里不再被使用。而取而代它的, 是在这个主题里列举的替代函数。] 找回指定的系统信息。 语法 C++ NTSTATUS WINAPI ZwQueryS
思维进化算法优化BP神经网络——非线性函数拟合.rar
最新发布
07-26
神经网络的matlab案例,本案例介绍如下: 技术深度:案例详细介绍了如何使用MATLAB进行深度学习模型的构建、训练和测试。 实际应用:通过具体的图像识别任务,展示模型的实际应用效果,让你直观感受神经网络的强大能力。 代码解析:提供完整的MATLAB代码,并对关键部分进行详细注释,帮助你理解每一步的工作原理。 优化策略:探讨不同的训练策略和参数调整方法,优化模型性能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值