ZwQuerySystemInformation 学习

于 2018-09-09 19:17:45 发布
阅读量2k 收藏 3
点赞数
分类专栏: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37921080/article/details/82561232
版权

https://blog.csdn.net/suppercoder/article/details/9341941 这是一篇介绍分别在Ring0 和 Ring3 下是使用ZwQuerySystemInformation 函数来获取一些系统信息的函数。比如可以获取进程表和句柄表。可以参考看看。

//声明ZwQueryAyatemInformation
NTSTATUS ZwQuerySystemInformation(
    IN ULONG SystemInformationClass,  //处理进程信息,只需要处理类别为5的即可
    OUT PVOID SystemInformation,
    IN ULONG SystemInformationLength,
    OUT PULONG ReturnLength
);

由函数中 IN OUT 即可知哪些是输入参数哪些是输出参数,

第一个参数 由字面意思即 系统信息类别,我们这里只关心进程信息(其宏定义为5),
第二个参数 存储返回结果信息的缓冲区
第三个参数 是 第二个缓冲区的大小
第四个参数是 实际返回消息的大小

下面给出ZwQuerySystemInformation 使用代码,以及注释。

#include "stdafx.h"
#include <windows.h>
#include <intrin.h>


#define STATUS_INFO_LENGTH_MISMATCH 0xc0000004  // 一个报错返回值。
#define nullptr NULL

/*
* 下面是一个枚举结构,每一个枚举值对应一类系统信息,
* 比如 SystemPerformanceInformation 代表所有的进程信息。
*/

typedef enum _SYSTEM_INFORMATION_CLASS     //    Q S
{
    SystemBasicInformation,                // 00 Y N
    SystemProcessorInformation,            // 01 Y N
    SystemPerformanceInformation,          // 02 Y N
    SystemTimeOfDayInformation,            // 03 Y N
    SystemNotImplemented1,                 // 04 Y N
    SystemProcessesAndThreadsInformation,  // 05 Y N
    SystemCallCounts,                      // 06 Y N
    SystemConfigurationInformation,        // 07 Y N
    SystemProcessorTimes,                  // 08 Y N
    SystemGlobalFlag,                      // 09 Y Y
    SystemNotImplemented2,                 // 10 Y N
    SystemModuleInformation,               // 11 Y N
    SystemLockInformation,                 // 12 Y N
    SystemNotImplemented3,
最低0.47元/天 解锁文章
Flyour
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ZwQuerySystemInformation 查看系统进程信息
03-27
ZwQuerySystemInformation 查看系统进程信息
Ring3 Hook ZwQuerySystemInformation
11-14
Ring3 Hook ZwQuerySystemInformation是一种在用户模式(Ring 3)下进行系统调用拦截的技术,主要用于修改系统行为...通过分析和学习这些内容,开发者可以深入理解如何在实践中应用这种技术,以及如何避免可能的问题。
函数ZwQuerySystemInformation小结
weixin_33906657的博客
08-07 317
函数存在于NTDLL.DLL动态链接库中。NTDLL.DLL负责ring3与ring0之间的通信。当使用子系统方式进行系统调用的时候,ntdll.dll和SSDT会配合使用。 关于ZwQuerySystemInformation这个函数可以用来查询进程信息、内核信息、硬件信息(例如CPU数目)、句柄信息、时间信息等54个系统信息。 该函数的原型是 NTSTATUS WI...
ZwQuerySystemInformation
friendan的专栏
09-11 3155
ZwQuerySystemInformation.h #ifndef ZwQuerySystemInformation_H_ #define ZwQuerySystemInformation_H_ #include typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation,
ZwQuerySystemInformation函数查询SystemModuleInformation
gold0523的专栏
04-13 6351
<br />使用ZwQuerySystemInformation函数查询SystemModuleInformation <br /><br />在看到两种用法 <br />第一种: <br />ZwQuerySystemInformation(SystemModuleInformation,&n,0,&n); <br />PULONG p=new ULONG[n]; <br /><br /><br />ZwQuerySystemInformation(SystemModuleInformation,p,n*
LShadowWalker1.0学习笔记
05-03
`HideKernelDriver`函数的核心是获取指定驱动的模块基址,这通过`GetModuleBase`实现,该函数可能使用`ZwQuerySystemInformation`系统调用来获取内核模块信息。成功获取基址后,`GetNumberOfPagesInRange`用于计算...
hook_进程隐藏
07-16
在Windows XP和Windows 7操作系统中,进程隐藏是一种高级技术,通常被安全软件或恶意软件用来规避检测。...这种技术在学习系统底层知识、逆向工程和安全研究中具有重要意义,但应谨慎使用,以免触及法律和道德底线。
易语言驱动判断内核内存是否可读源码
06-02
这可能涉及使用如 ZwQuerySystemInformation 这样的系统调用来获取内存映射信息。 3. **权限检查**:然后,使用内核API函数(如ZwQueryVirtualMemory)检查指定内存区域的访问权限,看是否具有读取权限。 4. **...
易语言NTAPI取进程列表源码.rar
06-28
2. **进程枚举**:获取进程列表的过程涉及到了进程枚举,这通常通过调用`NtQuerySystemInformation`或`ZwQuerySystemInformation`函数实现,这两个函数可以获取系统信息,包括当前运行的进程。 3. **数据结构**:在...
ZwQuerySystemInformation查找进程文件句柄
03-25
ZwQuerySystemInformation查找文件句柄
64位进程隐藏
04-27
64位进程隐藏工具,这个工具为简单版本。经测试,极少情况下会蓝屏
_SYSTEM_PROCESS 32位与64位的结构
whatday的专栏
09-10 3317
typedef ULONG KPRIORITY; typedef enum _SYSTEM_INFORMATION_CLASS    {     SystemBasicInformation,                 //  0 Y N     SystemProcessorInformation,             //  1 Y N     SystemPerfor
获得进程的EPROCESS
Kendiv's Box
01-31 5530
获得进程的EPROCESS发布日期:2004-06-02文摘内容: 文摘出处:http://www.xfocus.net/articles/200406/706.html创建时间:2004-06-01文章属性:原创文章提交:MustBE (zf35_at_citiz.net)By [I.T.S]SystEm32Welcome to our web site http://itaq.ynpc
SYSTEM_HANDLE_TABLE_ENTRY_INFO
weixin_30500473的博客
06-11 543
typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO { USHORT UniqueProcessId; USHORT CreatorBackTraceIndex; UCHAR ObjectTypeIndex; UCHAR HandleAttributes; USHORT HandleValue; PVOID Object...
(转) SYSTEM_HANDLE_INFORMATION中ObjectTypeIndex的定义
小驹的专栏
11-03 4857
typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO{ USHORT UniqueProcessId; USHORT CreatorBackTraceIndex; UCHAR ObjectTypeIndex; UCHAR HandleAttributes; USHORT HandleValue; PVOID Object; ULONG Gran
【工具类】ZwQuerySystemInformation枚举进程
Fzuim的博客
07-25 775
曾经基于兴趣搞过很多小功能,但后来工作中比较少用到,代码也就安静的沉没在磁盘中。最近打算整理下之前弄过的东西,也不算荒废之前的付出吧。。。 void InitProcessList() { ZWQUERYSYSSTEMINFORMATION MyZwQuerySystemInformation = (ZWQUERYSYSSTEMINFORMATION)GetProcAddress(Get...
NtQuerySystemInformation和ZwQuerySystemInformation的区别
陈刚编程心得与知识集
02-25 1650
在R0下 调用ZwQuerySystemInformation 正常使用 调用NtQuerySystemInformation 就错误 不理解 Nt不是比Zw更底层么  为什么调用错误呢  下面贴下代码 代码: extern "C" NTSYSAPI NTSTATUS NtQuerySystemInformation( IN ULONG SystemInformationClass
修改父进程
sx5486510的专栏
07-12 3602
extern "C" { #define NTAPI __stdcall typedef struct _PEB *PPEB; #define PAGE_SIZE 0x1000 typedef LONG NTSTATUS; #define DECLSPEC_IMPORT __declspec(dllimport) #define NTSYSAPI DECLSPEC_IMPORT
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值