驱动枚举进程

最新推荐文章于 2022-10-22 09:51:42 发布
最新推荐文章于 2022-10-22 09:51:42 发布
阅读量1.9k 收藏
点赞数
分类专栏: 驱动/内核/HOOK/ROOKIT 文章标签: extension integer system object string thread
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/instruder/article/details/5378696
版权

Driver.cpp

 

// DriEnumProcess.cpp : Defines the entry point for the console application.
//

#include "Driver.h"
#include "ntddk.h"
#include <ntddkbd.h>
#include "stdarg.h"
#include "stdio.h"
#include "ntddkbd.h"


typedef enum _SYSTEM_INFORMATION_CLASS {   
  SystemBasicInformation,   
  SystemProcessorInformation,   
  SystemPerformanceInformation,   
  SystemTimeOfDayInformation,   
  SystemNotImplemented1,   
  SystemProcessesAndThreadsInformation,   
  SystemCallCounts,   
  SystemConfigurationInformation,   
  SystemProcessorTimes,   
  SystemGlobalFlag,   
  SystemNotImplemented2,   
  SystemModuleInformation,   
  SystemLockInformation,   
  SystemNotImplemented3,   
  SystemNotImplemented4,   
  SystemNotImplemented5,   
  SystemHandleInformation,   
  SystemObjectInformation,   
  SystemPagefileInformation,   
  SystemInstructionEmulationCounts,   
  SystemInvalidInfoClass1,   
  SystemCacheInformation,   
  SystemPoolTagInformation,   
  SystemProcessorStatistics,   
  SystemDpcInformation,   
  SystemNotImplemented6,   
  SystemLoadImage,   
  SystemUnloadImage,   
  SystemTimeAdjustment,   
  SystemNotImplemented7,   
  SystemNotImplemented8,   
  SystemNotImplemented9,   
  SystemCrashDumpInformation,   
  SystemExceptionInformation,   
  SystemCrashDumpStateInformation,   
  SystemKernelDebuggerInformation,   
  SystemContextSwitchInformation,   
  SystemRegistryQuotaInformation,   
  SystemLoadAndCallImage,   
  SystemPrioritySeparation,   
  SystemNotImplemented10,   
  SystemNotImplemented11,   
  SystemInvalidInfoClass2,   
  SystemInvalidInfoClass3,   
  SystemTimeZoneInformation,   
  SystemLookasideInformation,   
  SystemSetTimeSlipEvent,   
  SystemCreateSession,   
  SystemDeleteSession,   
  SystemInvalidInfoClass4,   
  SystemRangeStartInformation,   
  SystemVerifierInformation,   
  SystemAddVerifier,   
    SystemSessionProcessesInformation   
} SYSTEM_INFORMATION_CLASS, *PSYSTEM_INFORMATION_CLASS;   
//------------------------------

//---------线程信息结构---------
typedef struct _SYSTEM_THREAD {   
  LARGE_INTEGER           KernelTime;   
  LARGE_INTEGER           UserTime;   
  LARGE_INTEGER           CreateTime;   
ULONG                   WaitTime;   
PVOID                   StartAddress;   
  CLIENT_ID               ClientId;   
  KPRIORITY               Priority;   
LONG                    BasePriority;   
ULONG                   ContextSwitchCount;   
ULONG                   State;   
  KWAIT_REASON            WaitReason;   
} SYSTEM_THREAD, *PSYSTEM_THREAD;   
//------------------------------

//---------进程信息结构---------
typedef struct _SYSTEM_PROCESS_INFORMATION {   
ULONG                   NextEntryOffset; //NextEntryDelta 构成结构序列的偏移量
ULONG                   NumberOfThreads; //线程数目
  LARGE_INTEGER           Reserved[3];   
  LARGE_INTEGER           CreateTime;   //创建时间
  LARGE_INTEGER           UserTime;     //用户模式(Ring 3)的CPU时间
  LARGE_INTEGER           KernelTime;   //内核模式(Ring 0)的CPU时间
  UNICODE_STRING          ImageName;    //进程名称
  KPRIORITY               BasePriority; //进程优先权
HANDLE                  ProcessId;    //ULONG UniqueProcessId 进程标识符
HANDLE                  InheritedFromProcessId; //父进程的标识符
ULONG                   HandleCount; //句柄数目
ULONG                   Reserved2[2];   
ULONG                   PrivatePageCount;   
  VM_COUNTERS             VirtualMemoryCounters; //虚拟存储器的结构
  IO_COUNTERS             IoCounters; //IO计数结构
  SYSTEM_THREAD           Threads[0]; //进程相关线程的结构数组
} SYSTEM_PROCESS_INFORMATION, *PSYSTEM_PROCESS_INFORMATION;   

NTSYSAPI    
extern "C"
NTSTATUS   
NTAPI   
NtQuerySystemInformation(IN SYSTEM_INFORMATION_CLASS SystemInformationClass,   
             OUT PVOID SystemInformation,   
             IN ULONG SystemInformationLength,   
             OUT PULONG ReturnLength OPTIONAL);   

 

 

EnumProcess()
{
 ULONG pNeededSize=0;
 int iCount = 1;
 int bOver=0;
 NTSTATUS status;
 ULONG uSize;
 PVOID pSi=NULL; 
 PSYSTEM_PROCESS_INFORMATION pSpiNext = NULL;
 uSize=0x8000;
 pSi=ExAllocatePoolWithTag(NonPagedPool,uSize,'tag1');
 if (pSi!=NULL)
 {
  status=NtQuerySystemInformation(SystemProcessesAndThreadsInformation,pSi,uSize,&pNeededSize);
  DbgPrint("[Aliwy] SUCCESS uSize = %.8X, pNeededSize = %.8X, status = %.8X/n", uSize, pNeededSize, status);
  uSize=pNeededSize;
  status=NtQuerySystemInformation(SystemProcessesAndThreadsInformation,pSi,uSize,&pNeededSize);
  if (STATUS_SUCCESS==status)
  {
   pSpiNext=(PSYSTEM_PROCESS_INFORMATION) pSi;
   while (TRUE)
   {
    if (pSpiNext->ProcessId==0)
    {
     KdPrint(("[Aliwy] %d - System Idle Process/n",pSpiNext->ProcessId));
    }
    else
    {
     KdPrint(("[Aliwy] %d - %wZ/n",pSpiNext->ProcessId,&pSpiNext->ImageName));
    }
    if (pSpiNext->NextEntryOffset==0)
    {
     KdPrint(("[Aliwy] EnumProcess Over, Count is: %d/n"),iCount);
     bOver=1;
     break;
    }
    pSpiNext = (PSYSTEM_PROCESS_INFORMATION)((ULONG)pSpiNext + pSpiNext->NextEntryOffset); 
          iCount++; 
   }
   ExFreePool(pSi);
  
  }
  else
  {
   DbgPrint("[Aliwy] SUCCESS uSize = %.8X, pNeededSize = %.8X, status = %.8X/n", uSize, pNeededSize, status);
 
  }

 }
 

 
  

 
  return STATUS_SUCCESS;

}
#pragma INITCODE
extern "C" NTSTATUS DriverEntry (
   IN PDRIVER_OBJECT pDriverObject,
   IN PUNICODE_STRING pRegistryPath )
{
 NTSTATUS status;
 KdPrint(("Enter DriverEntry/n"));

 //注册其他驱动调用函数入口
 pDriverObject->DriverUnload = HelloDDKUnload;
 pDriverObject->MajorFunction[IRP_MJ_CREATE] = HelloDDKDispatchRoutine;
 pDriverObject->MajorFunction[IRP_MJ_CLOSE] = HelloDDKDispatchRoutine;
 pDriverObject->MajorFunction[IRP_MJ_WRITE] = HelloDDKDispatchRoutine;
 pDriverObject->MajorFunction[IRP_MJ_READ] = HelloDDKDispatchRoutine;
 
 //创建驱动设备对象
 status = CreateDevice(pDriverObject);

 EnumProcess();
 KdPrint(("DriverEntry end/n"));
 return status;
}

/************************************************************************
* 函数名称:CreateDevice
* 功能描述:初始化设备对象
* 参数列表:
      pDriverObject:从I/O管理器中传进来的驱动对象
* 返回 值:返回初始化状态
*************************************************************************/
#pragma INITCODE
NTSTATUS CreateDevice (
  IN PDRIVER_OBJECT pDriverObject)
{
 NTSTATUS status;
 PDEVICE_OBJECT pDevObj;
 PDEVICE_EXTENSION pDevExt;
 
 //创建设备名称
 UNICODE_STRING devName;
 RtlInitUnicodeString(&devName,L"//Device//MyDDKDevice");
 
 //创建设备
 status = IoCreateDevice( pDriverObject,
      sizeof(DEVICE_EXTENSION),
      &(UNICODE_STRING)devName,
      FILE_DEVICE_UNKNOWN,
      0, TRUE,
      &pDevObj );
 if (!NT_SUCCESS(status))
  return status;

 pDevObj->Flags |= DO_BUFFERED_IO;
 pDevExt = (PDEVICE_EXTENSION)pDevObj->DeviceExtension;
 pDevExt->pDevice = pDevObj;
 pDevExt->ustrDeviceName = devName;
 //创建符号链接
 UNICODE_STRING symLinkName;
 RtlInitUnicodeString(&symLinkName,L"//??//HelloDDK");
 pDevExt->ustrSymLinkName = symLinkName;
 status = IoCreateSymbolicLink( &symLinkName,&devName );
 if (!NT_SUCCESS(status))
 {
  IoDeleteDevice( pDevObj );
  return status;
 }
 return STATUS_SUCCESS;
}

/************************************************************************
* 函数名称:HelloDDKUnload
* 功能描述:负责驱动程序的卸载操作
* 参数列表:
      pDriverObject:驱动对象
* 返回 值:返回状态
*************************************************************************/
#pragma PAGEDCODE
VOID HelloDDKUnload (IN PDRIVER_OBJECT pDriverObject)
{
 PDEVICE_OBJECT pNextObj;
 KdPrint(("Enter DriverUnload/n"));
 pNextObj = pDriverObject->DeviceObject;
 while (pNextObj != NULL)
 {
  PDEVICE_EXTENSION pDevExt = (PDEVICE_EXTENSION)
   pNextObj->DeviceExtension;

  //删除符号链接
  UNICODE_STRING pLinkName = pDevExt->ustrSymLinkName;
  IoDeleteSymbolicLink(&pLinkName);
  pNextObj = pNextObj->NextDevice;
  IoDeleteDevice( pDevExt->pDevice );
 }
}

/************************************************************************
* 函数名称:HelloDDKDispatchRoutine
* 功能描述:对读IRP进行处理
* 参数列表:
      pDevObj:功能设备对象
      pIrp:从IO请求包
* 返回 值:返回状态
*************************************************************************/
#pragma PAGEDCODE
NTSTATUS HelloDDKDispatchRoutine(IN PDEVICE_OBJECT pDevObj,
         IN PIRP pIrp)
{
 KdPrint(("Enter HelloDDKDispatchRoutine/n"));
 NTSTATUS status = STATUS_SUCCESS;
 // 完成IRP
 pIrp->IoStatus.Status = status;
 pIrp->IoStatus.Information = 0; // bytes xfered
 IoCompleteRequest( pIrp, IO_NO_INCREMENT );
 KdPrint(("Leave HelloDDKDispatchRoutine/n"));
 return status;
}

 

 

 

 

//Driver.h

 


#pragma once

#ifdef __cplusplus
extern "C"
{
#endif
#include <NTDDK.h>
#ifdef __cplusplus
}
#endif

#define PAGEDCODE code_seg("PAGE")
#define LOCKEDCODE code_seg()
#define INITCODE code_seg("INIT")

#define PAGEDDATA data_seg("PAGE")
#define LOCKEDDATA data_seg()
#define INITDATA data_seg("INIT")

#define arraysize(p) (sizeof(p)/sizeof((p)[0]))

typedef struct _DEVICE_EXTENSION {
 PDEVICE_OBJECT pDevice;
 UNICODE_STRING ustrDeviceName; //设备名称
 UNICODE_STRING ustrSymLinkName; //符号链接名
} DEVICE_EXTENSION, *PDEVICE_EXTENSION;

 

// 函数声明

NTSTATUS CreateDevice (IN PDRIVER_OBJECT pDriverObject);
VOID HelloDDKUnload (IN PDRIVER_OBJECT pDriverObject);
NTSTATUS HelloDDKDispatchRoutine(IN PDEVICE_OBJECT pDevObj,
         IN PIRP pIrp);

 

 

下一个写一下查杀指定的进程,今天到此为止

 

instruder
关注
专栏目录
Windows驱动学习笔记之三 驱动枚举进程(WIN64)
iceamber2012的专栏
05-08 2206
WIN64 驱动枚举
易语言驱动枚举系统进程
07-15
易语言驱动枚举系统进程源码,驱动枚举系统进程,DriverEntry,驱动通信,DispatchCreateClose,驱动卸载,创建符号链接及设备,读内存,DbgPrint,DbgPrintInt,memcpy,IoCreateDevice,IoCreateSymbolicLink,...
[windows 驱动开发] r0 枚举进程
LYSM
04-12 545
#include "ntddk.h" typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation, // 0 SystemProcessorInformation, // 1 SystemPerformanceInformation, // 2 SystemTimeOfDayInformation,
windows 驱动实现进程枚举
全栈胖叔叔
05-08 984
因为最近有需求写windows平台下的发外挂模块,需要实现对进程的监控,其中一个线程需要匹配进程名,那么问题来了,这就需要获取所有进程名称。 在用户层ring3下,枚举进程的方法主要有: 1.CreateToolhelp32Snapshot 通过快照枚举,x86和x64,winxp-win10 均可获取到进程名称。 2.通过 Psapi.dll,LoadLibrary(“PSAPI.DLL”),调用其EnumProcesses()枚举进程,x86和x64,winxp-win10 均可获取到进程名称,但是这个
驱动开发:内核枚举进程与线程ObCall回调
热门推荐
CSDN
10-22 1万+
首先我们需要定义好结构体,结构体是微软公开的,如果有其它需要请自行去微软官方去查。线程回调,之所以放在一起来讲解是因为这两中回调在枚举是都需要使用通用结构体。中我们通过特征码定位实现了对注册表回调的枚举,本篇文章。的枚举,如果是想要输出线程句柄,则只需要替换代码中的。就可以拿到链表头结构,得到后将其解析为。代码部分的实现很容易,由于进程与。所以放在一起来讲解最好不过。运行这段驱动程序,即可得到。运行这段驱动程序,即可得到。将教大家如何枚举系统中的。即可,修改后的代码如下。的枚举很容易,直接通过。
驱动内Enum所有进程和线程
weixin_34265814的博客
04-22 372
#ifdef __cplusplus extern "C" { #endif #include <ntddk.h> #ifdef __cplusplus } #endif #define PROCESSNAME_OFFSET 0x174 #define NTOPENPROCESS_SIGN 0x7a #define NTOPENPROCES...
易语言驱动枚举系统进程源码-易语言
06-13
枚举进程就是遍历这个表格,获取每个进程的详细信息,如进程ID、进程名、优先级等。 - 这通常需要调用像`NtQuerySystemInformation`这样的系统API,这些API在用户模式下无法直接访问。 - 驱动枚举可以获取到更多...
枚举进程和PID_枚举进程和PID_
09-30
在Windows操作系统中,枚举进程和获取进程标识符(PID)是系统管理和调试的重要功能。在 Delphi 这样的编程环境中,你可以通过使用 WinAPI 函数来实现这一目标。本项目"枚举进程和PID"显然是一个使用 Delphi 10.4.1 ...
枚举进程列表
Arbboter的专栏
05-26 1460
#include "test1.h" #include #include #include "psapi.h" #pragma comment(lib, "psapi.lib") /************************************************************************/ /* 快照方式
x64驱动 遍历 PspCidTable 枚举进程和线程
LYSM
06-05 2897
介绍 PspCidTable 是一个内核句柄表,存放进程和线程的内核对象(EPROCESS 和 ETHREAD),并通过 PID 和 TID 进行索引(所以进程ID和线程ID不可能相同),ID 号以 4 递增。 获取 PspCidTable 地址 win7: PsLookupProcessByProcessId(被导出) -> PspCidTable win10: PsLookupProcessByProcessId(被导出) -> PspReferenceCidTableEntry -&g
EnumProcessHandle.rar(枚举进程句柄)MFC
10-13
通过调用ProcessHandleEnumDll实现遍历某一个进程的所有句柄,需要管理员身份运行,显示当前系统进程列表,可通过右键选择要查看的进程项,或在下方Edit输入10进制PID查看句柄,适用场景:需要查看进场当前句柄项,又无法进行调试器调试时,相对于使用调试器附加查看句柄,更快更高效也更安全
准确在64位系统下枚举进程模块
04-08
在32位进程中使用WMI枚举其他进程的模块,支持32位系统和64位系统。
枚举进程模块
qq_41490873的博客
08-25 323
在winternl.h中定义了PEB 和TEB typedef struct _PEB_LDR_DATA { BYTE Reserved1[8]; PVOID Reserved2[3]; LIST_ENTRY InMemoryOrderModuleList; } PEB_LDR_DATA, *PPEB_LDR_DATA; typedef struct _LDR_DATA_TABLE_ENTRY { PVOID Reserved1[2]; LIST_ENTRY InM
驱动开发:内核中枚举进线程与模块
CSDN
10-14 1万+
内核枚举进程使用`PspCidTable` 这个未公开的函数,它能最大的好处是能得到进程的EPROCESS地址,由于是未公开的函数,所以我们需要变相的调用这个函数,通过`PsLookupProcessByProcessId`函数查到进程的EPROCESS,如果`PsLookupProcessByProcessId`返回失败,则证明此进程不存在,如果返回成功则把EPROCESS、PID、PPID、进程名等通过DbgPrint打印到屏幕上。
枚举进程句柄
xbgprogrammer的专栏
05-20 4304
目前正在做的项目进行性能测试,被通知进程句柄数已经
枚举驱动
weixin_30487317的博客
04-29 359
接着补充一个……驱动枚举--------------------------------------------------------------------------代码//--------------------------------------------------------------------------//Copyright(C),2004-2010,Zhengzo...
Win32使用Psapi库枚举系统进程信息
枯荣
06-08 2905
一、枚举当前的所有进程(64位的程序暂时不会处理)     通过EnumProcesses得到当前所有的进程进程ID,然后调用OpenProcess通过进程ID得到进程句柄,再调用EnumProcessModules来得到该进程的模块句柄,GetModuleBaseName通过进程模块句柄得到进程的名字,GetModuleFileNameEx通过进程模块句柄得到进程的可执行文件名。上面所有
驱动开发:内核枚举PspCidTable句柄表
CSDN
10-16 1万+
在上一篇文章中我们通过枚举特征码的方式找到了DPC定时器基址并输出了内核中存在的定时器列表,本章将学习如何通过特征码定位的方式寻找Windows 10系统下面的内核句柄表地址。首先引入一段基础概念;windowsPspCidTable 就是这样的一种表(内核句柄表),表的内部存放的是进程EPROCESS和线程ETHREAD的内核对象,并通过进程PID和线程TID进行索引,ID号以4递增,内核句柄表不属于任何进程,也不连接在系统的句柄表上,通过它可以返回系统的任何对象。
windows内核枚举进程pid例子
最新发布
04-20
Windows内核可以通过遍历进程控制块(Process Control Block,简称PCB)来枚举进程的PID。下面是一个简单的示例代码,用于在Windows内核中枚举进程的PID: ```c #include NTSTATUS EnumerateProcesses() { ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值