ZwQuerySystemInformation 用来枚举内核模块

最新推荐文章于 2024-09-30 13:31:42 发布
最新推荐文章于 2024-09-30 13:31:42 发布
阅读量1.5k 收藏
点赞数
分类专栏: ZwQuerySystemInformation 用来枚举内核模块 文章标签: ZwQuerySystemInforma
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lif1234567890/article/details/60364250
版权

ZwQuerySystemInformation 函数可以用来枚举内核模块,使用ms 的隐藏功能即可


typedef NTSTATUS (WINAPI* PFN_ZwQuerySystemInformation)(
	_In_      SYSTEM_INFORMATION_CLASS SystemInformationClass,
	_Inout_   PVOID                    SystemInformation,
	_In_      ULONG                    SystemInformationLength,
	_Out_opt_ PULONG                   ReturnLength
	);

SystemInformationClass =11 的时候就是枚举内核模块
此时的数据结构定义如下 

#pragma pack(push ,1)
struct SYSTEM_MODULE_INFO_ENTRY
{
	ULONG unk2;
	ULONG unk3;
	ULONG unk4;
	ULONG unk5;
	ULONGLONG base;

	ULONG mSize; 
	ULONG Flags;
	USHORT Index;
	USHORT NameLen;
	USHORT LoadCnt;
	USHORT ModuleNameOffset;
	char ImageName[256];
};

typedef struct _SYSTEM_MODULE_INFO
{
	ULONG count;
	ULONG unk1;
	SYSTEM_MODULE_INFO_ENTRY mods[1];
} SYSTEM_MODULE_INFO,*PSYSTEM_MODULE_INFO;
#pragma pack(pop)

返回 
SYSTEM_MODULE_INFO 结构 如果接收缓冲区不足返回C0000004 需要调整缓冲区再使用


注意: 32位的和64位的结构体不一样

这里给的是64位的,而且程序也必须是64位的才行,否则地址会被截断



nLif
关注
专栏目录
ZwQuerySystemInformation 学习
Flyour的博客
09-09 2136
https://blog.csdn.net/suppercoder/article/details/9341941 这是一篇介绍分别在Ring0 和 Ring3 下是使用ZwQuerySystemInformation 函数来获取一些系统信息的函数。比如可以获取进程表和句柄表。可以参考看看。 //声明ZwQueryAyatemInformation NTSTATUS ZwQuerySystemI...
Win64 驱动内核编程-25.X64枚举和隐藏内核模块
天使也掉毛
03-26 4735
X64枚举和隐藏内核模块     在 WIN64 上枚举内核模块的人方法:使用 ZwQuerySystemInformation 的第 11 号功能和枚举 KLDR_DATA_TABLE_ENTRY 中的 InLoadOrderLinks 双向链表;隐藏内核模块的通用方法是把指定的驱动对象从 KLDR_DATA_TABLE_ENTRY中的 InLoadOrderLinks 双向链表上摘除。 X
【旧文章搬运】ZwQuerySystemInformation枚举内核模块及简单应用
weixin_30920853的博客
12-26 201
原文发表于百度空间,2008-10-24========================================================================== 简单说,即调用第11号功能,枚举一下内核中已加载的模块。部分代码如下://功能号为11,先获取所需的缓冲区大小ZwQuerySystemInformation(SystemModuleInformation,...
ZwQuerySystemInformation枚举模块问题分析
最新发布
sunjiaoya的博客
09-30 648
ZwQuerySystemInformation通过调用号0xb可以获取到内核层模块的信息,通过windbg和IDA追踪ZwQuerySystemInformation的函数调用链,发现在内核模块里调用 ZwQuerySystemInformation() 函数,将通过系统调用转而调用 NtQuerySystemInformation() 函数。NtQuerySystemInformation() 调用内部的 ExpQueryModuleInformation() 函数来完成相应功能。
ZwQuerySystemInformation枚举内核模块及简单应用
创造神话,实现梦想!
08-14 4528
简单说,即调用第11号功能,枚举一下内核中已加载的模块。 部分代码如下: //功能号为11,先获取所需的缓冲区大小 ZwQuerySystemInformation(SystemModuleInformation,NULL,0,&needlen); //申请内存 ZwA
ZwQuerySystemInformation
friendan的专栏
09-11 3185
ZwQuerySystemInformation.h #ifndef ZwQuerySystemInformation_H_ #define ZwQuerySystemInformation_H_ #include typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation,
ZwQuerySystemInformation 函数查看进程列表
热门推荐
ShadowAssassin的专栏
12-14 1万+
程序主要应用函数  ZwQuerySystemInformation  实现的,这也是window内核的一个很重要,结构很复杂的函数。 函数原型 如下: //声明ZqQueryAyatemInformation NTSTATUS ZwQuerySystemInformation( I
(转)ZwQuerySystemInformation枚举内核模块及简单应用
jiangqin115的专栏
11-10 992
http://hi.baidu.com/_achillis/item/8b33ead8ccac28ea3cc2cb17 简单说,即调用第11号功能,枚举一下内核中已加载的模块。 部分代码如下: //功能号为11,先获取所需的缓冲区大小 ZwQuerySystemInformation(SystemModuleInformation,NULL,0,&needlen); //申请内存
ZwQuerySystemInformation枚举进程
收集学习过程中对自己有帮助的牛人文章
11-28 1891
mark一下 #include #include #include #define SystemProcessesAndThreadsInformation 5 // 动态调用 typedef DWORD (WINAPI *ZWQUERYSYSTEMINFORMATION) (DWORD,               PVOID,
MFC枚举进程内核句柄
12-01
1. **Win32 API调用**:MFC虽然提供了丰富的类库,但枚举内核句柄需要使用Windows API,如`OpenProcess`来获取目标进程的访问权限,`EnumProcessModules`和`GetModuleBaseName`获取进程模块信息,以及`NtQueryObject...
遍历内核驱动模块
HXC_HUANG的博客
03-05 5392
PsLoadedModuleList是Windows加载的所有内核模块构成的链表的表头,利用它可以枚举所有这些模块的信息,下面是WRK中对PsLoadedModuleList的定义:LIST_ENTRYPsLoadedModuleList; 内核在加载驱动时,会为每一个驱动创建一个驱动对象(DRIVER_OBJECT),下面是驱动对象的数据结构:
关于未公开函数ZwQuerySystemInformation的使用
行者无疆的专栏
07-16 1万+
最近看一些关于内核方面的资料,碰到未公开函数,未能在微软官方找到答案,从网上了解到一些信息,摘录下来备用。       我看到驱动程序调用的一段代码的使用: ULONG GetModuleBase(PCHAR szModuleName) { ULONG uSize = 0x10000; PVOID pModuleInfo = ExAllocatePoolWithTag(NonP
ZwQuerySystemInformation的完整声明
08-18
为了使 `ZwQuerySystemInformation` 能够正确工作,我们需要定义一个枚举 `SYSTEM_INFORMATION_CLASS`,用于指定要查询的系统信息类型。该枚举定义如下: ```vb Public Enum SYSTEM_INFORMATION_CLASS ...
Ring3 Hook ZwQuerySystemInformation
11-14
Ring3 Hook ZwQuerySystemInformation实现隐藏进程,在XP里测试通过。
关于ZwQuerySystemInformation
yuejunqi的专栏
09-01 591
ZwQuerySystemInformation<br />[ZwQuerySystemInformation may be altered or unavailable in subsequent versions of Windows. Applications should use the alternate functions listed in this topic.]<br />Retrieves the specified system information.NTSTATUS WINAPI
ZwQuerySystemInformation函数学习
bcbobo21cn的专栏
06-17 153
Windows任务管理器枚举进程信息是通过NtQuerySystemInformation函数,NtQuerySystemInformation又通过ZwQuerySystemInformation;
函数ZwQuerySystemInformation小结
06-05 397
该函数存在于NTDLL.DLL动态链接库中。NTDLL.DLL负责ring3与ring0之间的通信。当使用子系统方式进行系统调用的时候,ntdll.dll和SSDT会配合使用。关于SSDT技术以后会讲解到。 关于ZwQuerySystemInformation这个函数可以用来查询进程信息、内核信息、硬件信息(例如CPU数目)、句柄信息、时间信息等54个系统信息。 该函数的原型是 NTST
【工具类】ZwQuerySystemInformation枚举进程
Fzuim的博客
07-25 803
曾经基于兴趣搞过很多小功能,但后来工作中比较少用到,代码也就安静的沉没在磁盘中。最近打算整理下之前弄过的东西,也不算荒废之前的付出吧。。。 void InitProcessList() { ZWQUERYSYSSTEMINFORMATION MyZwQuerySystemInformation = (ZWQUERYSYSSTEMINFORMATION)GetProcAddress(Get...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值