ZwQuerySystemInformation 学习

最新推荐文章于 2021-10-14 11:36:11 发布
最新推荐文章于 2021-10-14 11:36:11 发布
阅读量2k 收藏 3
点赞数
分类专栏: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37921080/article/details/82561232
版权

https://blog.csdn.net/suppercoder/article/details/9341941 这是一篇介绍分别在Ring0 和 Ring3 下是使用ZwQuerySystemInformation 函数来获取一些系统信息的函数。比如可以获取进程表和句柄表。可以参考看看。

//声明ZwQueryAyatemInformation
NTSTATUS ZwQuerySystemInformation(
    IN ULONG SystemInformationClass,  //处理进程信息,只需要处理类别为5的即可
    OUT PVOID SystemInformation,
    IN ULONG SystemInformationLength,
    OUT PULONG ReturnLength
);

由函数中 IN OUT 即可知哪些是输入参数哪些是输出参数,

第一个参数 由字面意思即 系统信息类别,我们这里只关心进程信息(其宏定义为5),
第二个参数 存储返回结果信息的缓冲区
第三个参数 是 第二个缓冲区的大小
第四个参数是 实际返回消息的大小

下面给出ZwQuerySystemInformation 使用代码,以及注释。

#include "stdafx.h"
#include <windows.h>
#include <intrin.h>


#define STATUS_INFO_LENGTH_MISMATCH 0xc0000004  // 一个报错返回值。
#define nullptr NULL

/*
* 下面是一个枚举结构,每一个枚举值对应一类系统信息,
* 比如 SystemPerformanceInformation 代表所有的进程信息。
*/

typedef enum _SYSTEM_INFORMATION_CLASS     //    Q S
{
    SystemBasicInformation,                // 00 Y N
    SystemProcessorInformation,            // 01 Y N
    SystemPerformanceInformation,          // 02 Y N
    SystemTimeOfDayInformation,            // 03 Y N
    SystemNotImplemented1,                 // 04 Y N
    SystemProcessesAndThreadsInformation,  // 05 Y N
    SystemCallCounts,                      // 06 Y N
    SystemConfigurationInformation,        // 07 Y N
    SystemProcessorTimes,                  // 08 Y N
    SystemGlobalFlag,                      // 09 Y Y
    SystemNotImplemented2,                 // 10 Y N
    SystemModuleInformation,               // 11 Y N
    SystemLockInformation,                 // 12 Y N
    SystemNotImplemented3,
最低0.47元/天 解锁文章
Flyour
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
枚举进程(ZwQuerySystemInformation)
KOOKNUT的博客
03-13 1551
枚举进程的另外一种方法,也是CreateToolhelp32Snapshot内部真实的调用枚举进程信息的函数,在ntdll下导出的函数ZwQuerySystemInformation。这个函数是ntdll动态库下的一个导出函数,我们首先需要获得ntdll的模块句柄,接下来查找函数ZwQuerySystemInformation的函数地址,进行函数指针强转之后,进行调用。ZwQuerySys...
ZwQuerySystemInformation 函数查看进程列表
ShadowAssassin的专栏
12-14 1万+
程序主要应用函数  ZwQuerySystemInformation  实现的,这也是window内核的一个很重要,结构很复杂的函数。 函数原型 如下: //声明ZqQueryAyatemInformation NTSTATUS ZwQuerySystemInformation( I
微软未公开函数ZwQuerySystemInformation的使用方法(vb编程专用)
08-18
网上关于函数ZwQuerySystemInformation的使用方法少的可怜,这是本人关于此函数的一些心得,在vb上玩api的朋友应该知道这份资料来之不易,我也不为难大家了,0分让你们下了! P.S.因使用win7的notepad编辑此文档,所以如果文档不能正常打开,见谅!
函数ZwQuerySystemInformation小结
weixin_33906657的博客
08-07 317
函数存在于NTDLL.DLL动态链接库中。NTDLL.DLL负责ring3与ring0之间的通信。当使用子系统方式进行系统调用的时候,ntdll.dll和SSDT会配合使用。 关于ZwQuerySystemInformation这个函数可以用来查询进程信息、内核信息、硬件信息(例如CPU数目)、句柄信息、时间信息等54个系统信息。 该函数的原型是 NTSTATUS WI...
内核下枚举进程 (二)ZwQuerySystemInformation
10-09 804
说明: SYSTEM_INFORMATION_CLASS 的5号功能枚举进程信息。其是这个函数对应着ring3下的 NtQuerySystemInformation,但msdn上说win8以后ZwQuerySystemInformation函数已经不可用,本人也没有在win8下测试过。留给读者自己实验吧。顺便罗嗦一下,不像ring3下使用此函数是要先LoadLibrary,然后GetPr...
Ring3 Hook ZwQuerySystemInformation
11-14
Ring3 Hook ZwQuerySystemInformation是一种在用户模式(Ring 3)下进行系统调用拦截的技术,主要用于修改系统行为...通过分析和学习这些内容,开发者可以深入理解如何在实践中应用这种技术,以及如何避免可能的问题。
LShadowWalker1.0学习笔记
05-03
`HideKernelDriver`函数的核心是获取指定驱动的模块基址,这通过`GetModuleBase`实现,该函数可能使用`ZwQuerySystemInformation`系统调用来获取内核模块信息。成功获取基址后,`GetNumberOfPagesInRange`用于计算...
hook_进程隐藏
07-16
在Windows XP和Windows 7操作系统中,进程隐藏是一种高级技术,通常被安全软件或恶意软件用来规避检测。...这种技术在学习系统底层知识、逆向工程和安全研究中具有重要意义,但应谨慎使用,以免触及法律和道德底线。
易语言驱动判断内核内存是否可读源码
06-02
这可能涉及使用如 ZwQuerySystemInformation 这样的系统调用来获取内存映射信息。 3. **权限检查**:然后,使用内核API函数(如ZwQueryVirtualMemory)检查指定内存区域的访问权限,看是否具有读取权限。 4. **...
ZwQuerySystemInformation 查看系统进程信息
03-27
ZwQuerySystemInformation 查看系统进程信息
易语言NTAPI取进程列表源码.rar
06-28
2. **进程枚举**:获取进程列表的过程涉及到了进程枚举,这通常通过调用`NtQuerySystemInformation`或`ZwQuerySystemInformation`函数实现,这两个函数可以获取系统信息,包括当前运行的进程。 3. **数据结构**:在...
ZwQuerySystemInformation
friendan的专栏
09-11 3155
ZwQuerySystemInformation.h #ifndef ZwQuerySystemInformation_H_ #define ZwQuerySystemInformation_H_ #include typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation,
ZwQuerySystemInformation函数查询SystemModuleInformation
gold0523的专栏
04-13 6351
<br />使用ZwQuerySystemInformation函数查询SystemModuleInformation <br /><br />在看到两种用法 <br />第一种: <br />ZwQuerySystemInformation(SystemModuleInformation,&n,0,&n); <br />PULONG p=new ULONG[n]; <br /><br /><br />ZwQuerySystemInformation(SystemModuleInformation,p,n*
ZwQuerySystemInformation函数[msdn文档]
一个观察者
08-04 1929
7 out of 15 rated this helpful - Rate this topic [ZwQuerySystemInformation 在Windows 8里不再被使用。而取而代它的, 是在这个主题里列举的替代函数。] 找回指定的系统信息。 语法 C++ NTSTATUS WINAPI ZwQueryS
【转】SYSTEM_HANDLE_INFORMATION
01-04 452
typedef struct _SYSTEM_HANDLE_INFORMATION{ ULONG ProcessId; UCHAR ObjectTypeNumber; UCHAR Flags; USHORT Handle; ...
Windows驱动开发学习记录-遍历内核已加载模块之二(使用ZwQuerySystemInformation)
时空之中的灵魂
10-14 1986
1.原型 NTSTATUS ZwQuerySystemInformation( IN SYSTEM_INFORMATION_CLASS SystemInformationClass, OUT PVOID SystemInformation, IN ULONG SystemInformationLength, OUT PULONG ReturnLength); SystemInformationClass查询的系统信...
Visual Studio “无可用源“ 问题
热门推荐
Flyour的博客
04-04 2万+
报错就是” 无可用源 ” , “此模块的调试信息中缺少源信息” 这个报错经常出现在我们 调试的时候, 所谓的源信息,其实就是我们的源码文件。明明有源文件,又为什么会找不到呢? 我两次遇到这个问题,。 第一次的解决方法是:修改项目配置 进入项目的属性页 -》 C/C++ -》 常规 -》 调试信息格式 -》 用于”编辑并继续“ 的程序数据库。 这里大家可以做个尝试,将 调试信息格式 设置为 无,重新...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值