ZwQuerySystemInformation 函数查看进程列表

最新推荐文章于 2021-07-16 14:09:00 发布
最新推荐文章于 2021-07-16 14:09:00 发布
阅读量1.1w 收藏 10
点赞数 1
分类专栏: 内核编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hjxyshell/article/details/17312119
版权
程序主要应用函数  ZwQuerySystemInformation  实现的,这也是window内核的一个很重要,结构很复杂的函数。

函数原型 如下:

//声明ZqQueryAyatemInformation
NTSTATUS ZwQuerySystemInformation(
                                                        IN ULONG SystemInformationClass,  //处理进程信息,只需要处理类别为5的即可
                                                        OUT PVOID SystemInformation,
                                                        IN ULONG SystemInformationLength,
                                                        OUT PULONG ReturnLength
                                                                );

由函数中 IN  OUT 即可知哪些是输入参数哪些是输出参数,

第一个参数 由字面意思即 系统信息类别,我们这里只关心进程信息(其宏定义为5),
第二个参数  存储返回结果信息的缓冲区
第三个参数 是 第二个缓冲区的大小
第四个参数是 实际返回消息的大小
关于此函数的详细信息,有兴趣的童鞋可以查看相关资料

其他说明见代码:

  

#include <ntddk.h>
#define SYSTEMPROCESSINFORMATION 5
//处理进程信息,需要用到这两个结构体
typedef struct _SYSTEM_THREADS  
{  
        LARGE_INTEGER           KernelTime;  
        LARGE_INTEGER           UserTime;  
        LARGE_INTEGER           CreateTime;  
        ULONG                   WaitTime;  
        PVOID                   StartAddress;  
        CLIENT_ID               ClientIs;  
        KPRIORITY               Priority;  
        KPRIORITY               BasePriority;  
        ULONG                   ContextSwitchCount;  
        ULONG                   ThreadState;  
        KWAIT_REASON            WaitReason;  
}SYSTEM_THREADS,*PSYSTEM_THREADS;  

//进程信息结构体  
typedef struct _SYSTEM_PROCESSES  
{  
        ULONG                           NextEntryDelta;    //链表下一个结构和上一个结构的偏移
        ULONG                           ThreadCount;  
        ULONG                           Reserved[6];  
        LARGE_INTEGER                   CreateTime;  
        LARGE_INTEGER                   UserTime;  
        LARGE_INTEGER                   KernelTime;  
        UNICODE_STRING                  ProcessName;     //进程名字
        KPRIORITY                       BasePriority;  
        ULONG                           ProcessId;      //进程的pid号
        ULONG                           InheritedFromProcessId;  
        ULONG                           HandleCount;  
        ULONG                           Reserved2[2];  
        VM_COUNTERS                     VmCounters;  
        IO_COUNTERS                     IoCounters; //windows 2000 only  
        struct _SYSTEM_THREADS          Threads[1];  
}SYSTEM_PROCESSES,*PSYSTEM_PROCESSES;  

//声明ZqQueryAyatemInformation
NTSTATUS ZwQuerySystemInformation(
                                                        IN ULONG SystemInformationClass,  //处理进程信息,只需要处理类别为5的即可
                                                        OUT PVOID SystemInformation,
                                                        IN ULONG SystemInformationLength,
                                                        OUT PULONG ReturnLength
                                                                );
                                                        

NTSTATUS PsProcessList()
{
        NTSTATUS nStatus;
        ULONG retLength;  //缓冲区长度
        PVOID pProcInfo;
        PSYSTEM_PROCESSES pProcIndex;
        //调用函数,获取进程信息
        nStatus = ZwQuerySystemInformation(
                                                        SYSTEMPROCESSINFORMATION,   //获取进程信息,宏定义为5
                                                        NULL,
                                                        0,
                                                        &retLength  //返回的长度,即为我们需要申请的缓冲区的长度
                                                        );
        if(!retLength)
        {
                DbgPrint("ZwQuerySystemInformation error!\n");  
                return nStatus;
        }
        DbgPrint("retLength =  %u\n",retLength);
        //申请空间
        pProcInfo = ExAllocatePool(NonPagedPool,retLength);
        if(!pProcInfo)
        {
                DbgPrint("ExAllocatePool error!\n");  
                return STATUS_UNSUCCESSFUL; 
        }
        nStatus = ZwQuerySystemInformation(
                                                        SYSTEMPROCESSINFORMATION,   //获取进程信息,宏定义为5
                                                        pProcInfo,
                                                        retLength,
                                                        &retLength
                                                        );
        if(NT_SUCCESS(nStatus)/*STATUS_INFO_LENGTH_MISMATCH == nStatus*/)        

        {
                pProcIndex = (PSYSTEM_PROCESSES)pProcInfo;
                //第一个进程应该是 pid 为 0 的进程
                if(pProcIndex->ProcessId == 0)
                        DbgPrint("PID 0 System Idle Process\n");
                //循环打印所有进程信息,因为最后一天进程的NextEntryDelta值为0,所以先打印后判断
                do
                {
                pProcIndex = (PSYSTEM_PROCESSES)((char*)pProcIndex + pProcIndex->NextEntryDelta);
                //进程名字字符串处理,防止打印时,出错
                        if(pProcIndex->ProcessName.Buffer == NULL)
                                pProcIndex->ProcessName.Buffer = L"NULL";
                DbgPrint("ProcName:  %-20ws     pid:  %u\n",pProcIndex->ProcessName.Buffer,pProcIndex->ProcessId);        
                }while(pProcIndex->NextEntryDelta != 0);
        }                
        else 
         {
                DbgPrint("error code : %u!!!\n",nStatus);
         }
        ExFreePool(pProcInfo);  
    return nStatus;          
}
//卸载驱动
VOID OnUnload(IN PDRIVER_OBJECT driver)
{
        DbgPrint("Driver has been unloaded!!!\n");
}
//驱动入口函数
NTSTATUS DriverEntry(IN PDRIVER_OBJECT driver,IN PUNICODE_STRING reg_path)
{
        PsProcessList();
        driver->DriverUnload  = OnUnload; 
        return STATUS_SUCCESS;
}
结果如下:

 

关于上述代码 ,想说三点需要注意的

1、  pProcIndex = (PSYSTEM_PROCESSES)((char*)pProcIndex + pProcIndex->NextEntryDelta);  结构体链表的查找,需要加上上一个结构体的地址
2、注意循环结束的条件,是pProcIndex->NextEntryDelta == 0 的时候,链表中结构的指针为NULL的时候
3、循环的控制,pProcIndex->NextEntryDelta == 0的这个进程信息一样要输出来,所以控制好先后顺序以免少输出一条。

寒江雪语
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
枚举进程(ZwQuerySystemInformation)
KOOKNUT的博客
03-13 1548
枚举进程的另外一种方法,也是CreateToolhelp32Snapshot内部真实的调用枚举进程信息的函数,在ntdll下导出的函数ZwQuerySystemInformation。这个函数是ntdll动态库下的一个导出函数,我们首先需要获得ntdll的模块句柄,接下来查找函数ZwQuerySystemInformation函数地址,进行函数指针强转之后,进行调用。ZwQuerySys...
ZwQuerySystemInformation 学习
Flyour的博客
09-09 2092
https://blog.csdn.net/suppercoder/article/details/9341941 这是一篇介绍分别在Ring0 和 Ring3 下是使用ZwQuerySystemInformation 函数来获取一些系统信息的函数。比如可以获取进程表和句柄表。可以参考看看。 //声明ZwQueryAyatemInformation NTSTATUS ZwQuerySystemI...
ZwQuerySystemInformation 查看系统进程信息
热门推荐
小驹的专栏
05-19 1万+
ZwQuerySystemInformation 查看系统进程信息 #include typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation, SystemProcessorInformation, SystemPerformanceInformation, SystemTimeOfDayInform
内核下枚举进程 (二)ZwQuerySystemInformation
10-09 798
说明: SYSTEM_INFORMATION_CLASS 的5号功能枚举进程信息。其是这个函数对应着ring3下的 NtQuerySystemInformation,但msdn上说win8以后ZwQuerySystemInformation函数已经不可用,本人也没有在win8下测试过。留给读者自己实验吧。顺便罗嗦一下,不像ring3下使用此函数是要先LoadLibrary,然后GetPr...
函数ZwQuerySystemInformation小结
weixin_33906657的博客
08-07 313
函数存在于NTDLL.DLL动态链接库中。NTDLL.DLL负责ring3与ring0之间的通信。当使用子系统方式进行系统调用的时候,ntdll.dll和SSDT会配合使用。 关于ZwQuerySystemInformation这个函数可以用来查询进程信息、内核信息、硬件信息(例如CPU数目)、句柄信息、时间信息等54个系统信息。 该函数的原型是 NTSTATUS WI...
ZwQuerySystemInformation
friendan的专栏
09-11 3151
ZwQuerySystemInformation.h #ifndef ZwQuerySystemInformation_H_ #define ZwQuerySystemInformation_H_ #include typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation,
ZwQuerySystemInformation获取进程列表信息
04-24
测试环境Delphi2009,Windows10。能够通过...这个函数相对于进程快照有一个缺陷,不能及时得获取我自己进程的信息。(可能是我自己哪里出错,但进程信息都是能够正确获取的)代码是我自己测试可用的
hook-zwquerysysteminformation.rar_hook_进程隐藏
07-14
"ZwQuerySystemInformation"是Windows内核API函数,用于获取关于系统的信息,包括进程、线程、内存管理、硬件配置等。通过挂钩这个函数,攻击者或开发者可以拦截并控制系统对这些信息的访问,实现特定目的,比如隐藏...
ZwQuerySystemInformation查找进程文件句柄
03-25
这个函数提供了丰富的信息查询选项,其中`SystemProcessInformation`类型的数据结构可以用来获取进程的详细信息,包括其打开的文件句柄。 文件句柄是操作系统用于标识和访问文件的一个关键概念。每个打开的文件都会...
易语言源码易语言NTAPI取进程列表源码.rar
03-30
"易语言源码易语言NTAPI取进程列表源码.rar" 是一个使用易语言编写的程序,其主要功能是通过调用Windows操作系统的NTAPI(Native API)来获取当前系统中的进程列表。 NTAPI是Windows内核提供的低级别接口,它可以...
遍历进程线程
qq_25420503的专栏
03-02 1322
typedef struct _CL_PROCESS_THREADINFO { LPVOID pvStartAddr; // 线程的起始地址 DWORD dwTid; // 线程Id WCHAR wszModuleName[MAX_PATH]; // 所属的模块路径 }CL_PROCESS_THREADINFO;  BOOL CLThread::QueryThreadInf
C/C++ 获取线程入口地址模块等
CSDN
07-16 8318
今天检测的特征是向 YY语音 里插入了一段自己的代码(创建了新的线程),而这个新的线程不在原有的模块内,所以思路就是遍历 YY.exe 这个进程中的所有线程,如果这个线程没有对应的模块,那么就说明这个线程是可疑的。大多数恶意代码为了隐藏自己的行踪都会附加到某个进程中,在这个进程内申请一块内存区域来存放它的代码,毕竟隐藏的再好,代码也要有的,不然你让 CPU 运行什么 …
ZwQuerySystemInformation函数查询SystemModuleInformation
gold0523的专栏
04-13 6347
<br />使用ZwQuerySystemInformation函数查询SystemModuleInformation <br /><br />在看到两种用法 <br />第一种: <br />ZwQuerySystemInformation(SystemModuleInformation,&n,0,&n); <br />PULONG p=new ULONG[n]; <br /><br /><br />ZwQuerySystemInformation(SystemModuleInformation,p,n*
ZwQuerySystemInformation函数[msdn文档]
一个观察者
08-04 1922
7 out of 15 rated this helpful - Rate this topic [ZwQuerySystemInformation 在Windows 8里不再被使用。而取而代它的, 是在这个主题里列举的替代函数。] 找回指定的系统信息。 语法 C++ NTSTATUS WINAPI ZwQueryS
【旧文章搬运】ZwQuerySystemInformation枚举进线程信息
weixin_30648963的博客
12-26 279
原文发表于百度空间,2008-10-15========================================================================== 很古老的东西了,写一写,权当练手吧.本来以为没什么难度,很科普很傻瓜的东西,但是写的时候还是遇到一些问题,进程信息正确,得到的线程信息总是不正确,后来分析了一下,发现这个ntdll sdk中定义的进程信息结构...
查看进程是否被注入线程(不在系统模块)
henuyl的博客
07-22 1544
有些进程被注入了某些恶意的线程(也可能不是恶意的) 首先我们拿到该进程进程模块,用来对比进程中线程的模块是否在这里面 把这些模块放入到vector里面 便利该进程的所有线程获取模块的起始地址和大小,很快就可以得到伪装线程。 #pragma region 依赖 typedef enum _THREADINFOCLASS{ ThreadBasicInformation, ThreadTimes, ThreadPriority, ThreadBasePriori..
zwquerysysteminformation 获取进程路径
最新发布
05-01
zwquerysysteminformation 是Windows API中的一个函数,它的作用是获取系统信息。具体来说,它会返回一个指向SYSTEM_INFORMATION结构体的指针,这个结构体包含了许多系统信息,比如处理器数量、内存大小和当前时间等等。 如果想要从SYSTEM_INFORMATION结构体中获取进程路径,可以通过遍历进程信息来实现。具体来说,需要得到系统中所有进程进程ID,并使用OpenProcess函数打开每个进程的句柄。然后再使用GetModuleFileNameEx函数获取每个进程的路径。 需要注意的是,获取进程路径是一项敏感操作,有些进程可能会对此进行保护。所以,如果要获取系统中所有进程的路径,可能需要管理员权限才能执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值