NtQuerySystemInformation判断线程是否被挂起/判断线程状态

最新推荐文章于 2024-02-07 11:42:06 发布
最新推荐文章于 2024-02-07 11:42:06 发布
阅读量6.1k 收藏 8
点赞数 2

NtQuerySystemInformation判断线程是否被挂起/判断线程状态   
这里采用“功能号5”来枚举系统中所有的进程和线程及其相关信息.

 

#include "stdafx.h"
#include "Process.h"

//获取进程的状态
//返回0,表示发生异常
//返回1,表示进程处于挂起状态
//返回2,表示进程没有被挂起
DWORD GetProcessState(ULONG ulPID)
{
 NtQuerySystemInformation pNtQuerySystemInformation;
 HMODULE hModule=LoadLibrary(L"ntdll.dll");
 if (hModule==NULL)
 {
  return 0;
 }
 pNtQuerySystemInformation=(NtQuerySystemInformation)GetProcAddress(hModule, "NtQuerySystemInformation");
 if (pNtQuerySystemInformation==NULL)
 {
  FreeLibrary(hModule);
  return 0;
 }

 //枚举得到所有进程
 ULONG n = 0x100;
 PSYSTEM_PROCESSES sp = new SYSTEM_PROCESSES[n];

 while (pNtQuerySystemInformation(
  5,sp, n*sizeof(SYSTEM_PROCESSES), 0)
  == STATUS_INFO_LENGTH_MISMATCH)
 {
  delete[] sp;
  sp = new SYSTEM_PROCESSES[n = n * 2];
 }

 bool done = false;

 //遍历进程列表
 for (PSYSTEM_PROCESSES p = sp; !done;
  p = PSYSTEM_PROCESSES(PCHAR(p) + p->NextEntryDelta))
 {
  if (p->ProcessId==ulPID)
  {
   SYSTEM_THREADS systemThread=p->Threads[0];
   if (systemThread.dwState==5 && systemThread.dwWaitReason==5)
   {
    delete[] sp;
    FreeLibrary(hModule);
    //进程处于挂起状态
    return 1;
   }
   else
   {
    delete[] sp;
    FreeLibrary(hModule);
    //进程没有被挂起
    return 2;
   }
  }
  done = p->NextEntryDelta == 0;
 }

 delete[] sp;
 FreeLibrary(hModule);
 return 0;
}

//获取线程的状态
//返回0,表示发生异常
//返回1,表示线程处于挂起状态
//返回2,表示线程没有被挂起
DWORD GetThreadState(ULONG ulPID,ULONG ulTID)
{
 NtQuerySystemInformation pNtQuerySystemInformation;
 HMODULE hModule=LoadLibrary(L"ntdll.dll");
 if (hModule==NULL)
 {
  return 0;
 }
 pNtQuerySystemInformation=(NtQuerySystemInformation)GetProcAddress(hModule, "NtQuerySystemInformation");
 if (pNtQuerySystemInformation==NULL)
 {
  FreeLibrary(hModule);
  return 0;
 }

 //枚举得到所有进程
 ULONG n = 0x100;
 PSYSTEM_PROCESSES sp = new SYSTEM_PROCESSES[n];

 while (pNtQuerySystemInformation(
  5,sp, n*sizeof(SYSTEM_PROCESSES), 0)
  == STATUS_INFO_LENGTH_MISMATCH)
 {
  delete[] sp;
  sp = new SYSTEM_PROCESSES[n = n * 2];
 }

 bool done = false;

 //遍历进程列表
 for (PSYSTEM_PROCESSES p = sp; !done;
  p = PSYSTEM_PROCESSES(PCHAR(p) + p->NextEntryDelta))
 {
  if (p->ProcessId==ulPID)
  {
   for(int i=0;i<p->ThreadCount;i++)
   {
    SYSTEM_THREADS systemThread=p->Threads[i];
    if(systemThread.ClientId.TID == ulTID) //找到线程             
    {
     if(systemThread.dwState == StateWait && systemThread.dwWaitReason == Suspended) //线程被挂起
     {
      delete[] sp;
      FreeLibrary(hModule);
      return 1;
     }
     else
     {
      delete[] sp;
      FreeLibrary(hModule);
      return 2;
     }
    }
   }
  }
  done = p->NextEntryDelta == 0;
 }

 delete[] sp;
 FreeLibrary(hModule);
 return 0;
}

//Process.h:包含一些进程操作等
//
//
#ifndef _PROCESS_
#define _PROCESS_

#include <stdio.h>
#include <windows.h>
#include <TlHelp32.h>
#include <PSAPI.H>
#pragma comment(lib,"User32.lib")
#pragma comment(lib,"psapi.lib")
#pragma comment(lib,"advapi32.lib")

#define STATUS_SUCCESS ((NTSTATUS)0x00000000L)
#define STATUS_INFO_LENGTH_MISMATCH  ((NTSTATUS)0xC0000004L)

typedef LONG NTSTATUS;

typedef struct _UNICODE_STRING {
 USHORT  Length;
 USHORT  MaximumLength;
 PWSTR  Buffer;
} UNICODE_STRING, *PUNICODE_STRING;

//系统模块信息
typedef struct _SYSTEM_MODULE_INFORMATION {
 ULONG Reserved[2];
 PVOID Base;
 ULONG Size;
 ULONG Flags;
 USHORT Index;
 USHORT Unknown;
 USHORT LoadCount;
 USHORT ModuleNameOffset;
 CHAR ImageName[256];
} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;

//存放系统模块列表
typedef struct _SystemModuleList{
 ULONG ulCount;
 SYSTEM_MODULE_INFORMATION smi[1];
} SYSTEMMODULELIST, *PSYSTEMMODULELIST;

typedef enum _THREAD_STATE{
 StateInitialized,
 StateReady,
 StateRunning,
 StateStandby,
 StateTerminated,
 StateWait,
 StateTransition,
 StateUnknown
} THREAD_STATE;

typedef enum _KWAIT_REASON {
 Executive,
 FreePage,
 PageIn,
 PoolAllocation,
 DelayExecution,
 Suspended,
 UserRequest,
 WrExecutive,
 WrFreePage,
 WrPageIn,
 WrPoolAllocation,
 WrDelayExecution,
 WrSuspended,
 WrUserRequest,
 WrEventPair,
 WrQueue,
 WrLpcReceive,
 WrLpcReply,
 WrVirtualMemory,
 WrPageOut,
 WrRendezvous,
 Spare2,
 Spare3,
 Spare4,
 Spare5,
 Spare6,
 WrKernel
} KWAIT_REASON;

typedef struct _VM_COUNTERS {
 ULONG PeakVirtualSize;
 ULONG VirtualSize;
 ULONG PageFaultCount;
 ULONG PeakWorkingSetSize;
 ULONG WorkingSetSize;
 ULONG QuotaPeakPagedPoolUsage;
 ULONG QuotaPagedPoolUsage;
 ULONG QuotaPeakNonPagedPoolUsage;
 ULONG QuotaNonPagedPoolUsage;
 ULONG PagefileUsage;
 ULONG PeakPagefileUsage;
} VM_COUNTERS, *PVM_COUNTERS;

typedef struct _CLIENT_ID
{
 ULONG PID;
 ULONG TID;
}CLIENT_ID,*PCLIENT_ID;

typedef struct _SYSTEM_THREADS {
 LARGE_INTEGER KernelTime;
 LARGE_INTEGER UserTime;
 LARGE_INTEGER CreateTime;
 ULONG WaitTime;
 PVOID StartAddress;
 CLIENT_ID ClientId;
 //KPRIORITY Priority;
 LONG Priority;
 //KPRIORITY BasePriority;
 LONG BasePriority;
 ULONG ContextSwitchCount;
 THREAD_STATE dwState;
 //DWORD dwState;
 KWAIT_REASON dwWaitReason;
 //DWORD dwWaitReason;
} SYSTEM_THREADS, *PSYSTEM_THREADS;

typedef struct _SYSTEM_PROCESSES { // Information Class 5
 ULONG NextEntryDelta;
 ULONG ThreadCount;
 ULONG Reserved1[6];
 LARGE_INTEGER CreateTime;
 LARGE_INTEGER UserTime;
 LARGE_INTEGER KernelTime;
 UNICODE_STRING ProcessName;
 //KPRIORITY BasePriority;
 LONG BasePriority;
 ULONG ProcessId;
 ULONG InheritedFromProcessId;
 ULONG HandleCount;
 ULONG Reserved2[2];
 VM_COUNTERS VmCounters;
 IO_COUNTERS IoCounters; // Windows 2000 only
 SYSTEM_THREADS Threads[1];
} SYSTEM_PROCESSES, *PSYSTEM_PROCESSES;

//定义NtQuerySystemInformation函数原型
typedef ULONG (WINAPI *NtQuerySystemInformation)(
 IN ULONG SysInfoClass,
 IN OUT PVOID SystemInformation,
 IN ULONG SystemInformationLength,
 OUT PULONG nRet
 );

//定义NtQueryInformationThread函数原型
typedef ULONG (WINAPI *NtQueryInformationThread)(
 IN   HANDLE   ThreadHandle,
 IN   ULONG   ThreadInformationClass,
 OUT  PVOID   ThreadInformation,
 IN   ULONG   ThreadInformationLength,
 OUT  PULONG   ReturnLength   OPTIONAL
 );

//获取进程的状态
//返回0,表示发生异常
//返回1,表示进程处于挂起状态
//返回2,表示进程没有被挂起
DWORD GetProcessState(ULONG ulPID);

//获取进程的状态
//返回0,表示发生异常
//返回1,表示线程处于挂起状态
//返回2,表示线程没有被挂起
DWORD GetThreadState(ULONG ulPID,ULONG ulTID);

#endif //_PROCESS_

 

killalarm
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用NtQuerySystemInformation函数遍历进程,遍历线程,获取线程挂起或运行状态
weixin_30709061的博客
06-03 563
? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 ...
进程遍历-NtQuerySystemInformation枚举
最新发布
hide_in_darkness的博客
06-07 572
​ 数组中下一项的开头是上一项的地址加上 NextEntryOffset 成员中的值。​ HandleCount 成员包含有问题的进程正在使用的句柄总数;​ PeakWorkingSetSize 成员包含进程的工作集的峰值大小(以 KB 为单位)​ BasePriority 成员包含进程的基优先级,即在关联进程中创建的线程的起始优先级。​ PeakVirtualSize 成员包含进程使用的虚拟内存的峰值大小(以字节为单位)​ VirtualSize 成员包含进程使用的虚拟内存的当前大小(以字节为单位)
易语言判断线程是否运行结束
07-23
易语言判断线程是否运行结束源码,判断线程是否运行结束,子程序1
易语言源码易语言判断线程是否运行结束源码.rar
02-18
易语言源码易语言判断线程是否运行结束源码.rar
NtQueryInformationThread 0x9 ThreadQuerySetWin32StartAddress 问题
你连心爱的女人的大便都不敢吃, 还敢说爱她
11-23 1103
根据MSDN If this parameter is the ThreadQuerySetWin32StartAddress value of the THREADINFOCLASS enumeration, the function returns the start address of the thread. Note that on versions of Windows prior t...
艾伟:.Net 下跟踪线程挂起和程序死循环
weixin_33804582的博客
08-29 121
.Net 下调试跟踪线程挂起和程序死循环   作者:Eaglet      .Net 下的程序调试相对C/C++要简单很多,少了那些令人头疼的指针越界的问题。不过当你的程序遇到如下问题时,依然非常棘手:      1. 进程异常终止。解决方案见 .Net 下未捕获异常的处理      2. 内存泄漏或者内存申请后程序始终没有释放。解决方案见 用 .NET Memory Profiler 跟踪.ne...
VB6.API.NtQuerySystemInformation.枚举进程和线程
02-01
总之,通过VB6和`NtQuerySystemInformation` API,开发者可以获取到比常规Windows API更深入的系统状态信息,但这也需要对Windows内核和VB6的底层机制有深入理解。对于初学者来说,这是一个挑战性的项目,但对于有...
易语言枚举电脑驱动判断是否存在指定驱动的代码
08-26
在本文中,我们将探讨如何使用易语言来枚举电脑上的驱动并判断是否存在指定的驱动。这个功能对于系统管理和软件开发来说非常有用,可以用来检查特定驱动是否已经安装或正在运行。 首先,我们需要了解枚举电脑驱动的...
易语言查看内核线程源码-易语言
06-13
在“易语言查看内核线程源码”这个主题中,我们将深入探讨如何在易语言环境下理解和分析操作系统内核中的线程管理机制。 内核线程是操作系统核心的一部分,它们负责调度和执行程序,管理处理器资源。了解内核线程的...
ring3-kit:使用NT API挂钩从任务管理器隐藏进程(NtQuerySystemInformation
05-27
使用NT挂钩(NtQuerySystemInformation)从任务管理器中隐藏进程。 一个简单的Ring-3(用户模式)rootkit。 如何 将API函数NtQuerySystemInformation()与我们自己的函数挂钩,该函数对任务管理器隐藏进程 挂钩...
易语言判断多个线程运行结束
07-23
易语言判断多个线程运行结束源码,判断多个线程运行结束,子程序1
net 线程挂起
weixin_34392906的博客
10-23 109
2013、10、18 通讯组件开发 情景: 主线程添加队列,子线程负责队列中消息发送。当队列中数据为空时,停止发送挂起线程。 当主线程添加队列时,重新开启子线程进行消息发送。 方案一 但是不采用传统Thread线程方式:首先方法过期thread.Suspend();暂不采用。其次主子线程同时控制挂起和重启时候,可能会造成遗漏。 例如 子线程正在挂起,主线程网队列中添加一条数据时。子线...
易语言线程,等待所有线程执行完毕后操作
丿灬安之若死
10-12 4517
用处: 当你请求网络,想吧网络请求的结果放到一个全局数组中,然后最后一块处理数组 线程调用案列: .版本 2 .支持库 EThread .支持库 spec .程序集 窗口程序集1 .子程序 _按钮1_被单击 .局部变量 handle, 整数型 启动线程 (&Thread, , handle) 关闭线程句柄 (handle) .子程序 Thread .局部变量 i, 整数型 .局部变量 handle, 整数型, , "0" 重定义数组 (handle, 假, 10) .计次循环首 (
利用API NtQueryInformationThread和I_QueryTagInformation实现对Windows日志监控的绕过
weixin_33895016的博客
09-14 1616
本文讲的是利用API NtQueryInformationThread和I_QueryTagInformation实现对Windows日志监控的绕过, 0x00 前言 在上篇文章《渗透技巧——Windows日志的删除与绕过》中提到一个绕过Windows日志监控的思路:使用API NtQueryInformationThread和I_QueryTagIn...
.Net 下调试跟踪线程挂起和程序死循环
eaglet的专栏
05-25 1772
.Net 下调试跟踪线程挂起和程序死循环作者:Eaglet     .Net 下的程序调试相对C/C++要简单很多,少了那些令人头疼的指针越界的问题。不过当你的程序遇到如下问题时,依然非常棘手:     1. 进程异常终止。解决方案见 .Net 下未捕获异常的处理     2. 内存泄漏或者内存申请后程序始终没有释放。解决方案见 用 .NET Memory Profiler 跟
使用 NtQuerySystemInformation 遍历进程信息
溡漪幽博客
02-07 1140
通过遍历系统进程信息,我们可以了解系统中运行的各种进程的详细信息,从而更好地进行系统管理和性能优化。本文介绍了一种通过调用 Windows 系统API来获取并遍历系统进程信息的技术,并提供了一段示例代码以帮助读者理解该技术的实现方法。
511遇见易语言API模块线程挂起(SuspendThread)
511遇见
06-25 4755
线程挂起用到的API是SuspendThread API 暂停指定的线程 函数功能: 挂起线程。 参数: 第1个参数: HANDLE hThread 线程句柄。 返回值: 成功:线程的前一个挂起数。 失败:-1。 .版本 2 .DLL命令 SuspendThread, 整数型, "kernel32", "SuspendThread", , 线程_挂起 暂停指定的线程 .参数 hThread, 整数型, , 线程的句柄 封装源码 .版本 2 .子程序 线程_挂起
判断程序假死 挂起的方法
热门推荐
vevi的专栏
12-15 1万+
查了些资料,正在整理中。现在记录一下: 方法一: 判断程序的线程是否Responding。 方法二:API方法 IsHungAppWindow #region 窗体是否挂起 [DllImport("User32.dll", CharSet = CharSet.Auto)] public static extern bool IsHungAppWin
NtQuerySystemInformation
08-10
回答: NtQuerySystemInformation是一个函数,用于查询系统信息。它的用法可以在引用、引用和引用中找到。根据这些引用,我们可以看到NtQuerySystemInformation函数通过GetProcAddress函数获取了一个句柄,然后进行错误检查。如果获取句柄的过程发生错误,函数会返回相应的错误代码。123 #### 引用[.reference_title] - *1* *2* *3* [NtQuerySystemInformation的使用](https://blog.csdn.net/wwwwly/article/details/7083561)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值