[笔记]Windows核心编程《番外篇》常用的NT API及使用示例

已于 2022-06-17 17:38:16 修改
阅读量1.4k 收藏 5
点赞数
分类专栏: # windows核心编程 文章标签: windows
于 2022-05-19 16:40:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1113673178/article/details/124864226
版权
本文详细介绍了Windows NTAPI中几个关键函数的使用,如NtQueryInformationProcess、NtSetInformationProcess、ZwCreateThreadEx、NtQueryVirtualMemory,用于获取进程路径、设置进程属性、创建线程、查询内存信息等。示例代码展示了如何利用这些API获取PEB信息、绕过DEP、获取进程映像文件名和内存保护模式等。
摘要由CSDN通过智能技术生成

文章目录

前言

NTAPI:泛指ntdll.dll模块不对外提供的API接口,大多是提供给内核层开发人员使用的。

一般通过动态载入库的方式(LoadLibrary + GetProcAddress)调用

注意:本文主要使用phlib库作为调用NTAPI的库

NtQueryInformationProcess函数

NtQueryInformationProcess
NtQueryInformationProcess用法

函数原型

作用:
通过ProcessInformationClass参数可以查找进程的不同信息,包括PEB信息、WOW64信息、子系统信息、imageFileName映像文件名信息等。

NTSYSCALLAPI
NTSTATUS
NTAPI
NtQueryInformationProcess(
    _In_ HANDLE ProcessHandle,
    _In_ PROCESSINFOCLASS ProcessInformationClass,
    _Out_writes_bytes_(ProcessInformationLength) PVOID ProcessInformation,
    _In_ ULONG ProcessInformationLength,
    _Out_opt_ PULONG ReturnLength
    );

ProcessHandle:进程句柄
ProcessInformationClass:需要检索的进程信息类型,具体参数类型,见本节结尾“进程信息类型表”。

如果第二个参数是ProcessBasicInformation的话,则第三个参数必须为一个指针指向结构PROCESS_BASIC_INFORMATION:

ProcessInformation: 缓冲指针,保存进程信息,大小取决于进程信息类型。
ProcessInformationLength:以字节为单位的缓冲大小
ReturnLength:实际写入到缓冲的字节数

返回值
返回一个NTSTATUS成功或错误代码

附录

进程信息类型表

含义
ProcessBasicInformation 0返回PEB结构指针,检索判断特定进程是否正在被调试
ProcessDebugPort 7返回DWORD指针,检索获得当前进程的调试端口号
ProcessWow64Information 26判断进程是否运行在WOW64环境(WOW64指基于Win32的程序运行在x64系统上)
ProcessImageFileName 27返回Unicode字符串,包含进程的映像文件名
ProcessBreakOnTermination 29返回ULONG值, 判断是否这个进程被认为是重要进程的。(一般系统级别的exe都是重要进程)
ProcessSubsystemInformation 75返回SUBSYSTEM_INFORMATION_TYPE,指出进程的子系统类型。

当ProcessInformationClass为ProcessBasicInformation时:
缓冲区指针 应该指向 _PROCESS_BASIC_INFORMATION

typedef struct
{	  
	  DWORD ExitStatus; // 接收进程终止状态
      DWORD PebBaseAddress; // 接收PEB进程环境块地址
      DWORD AffinityMask; // 接收进程关联掩码
      DWORD BasePriority; // 接收进程的优先级类
      ULONG UniqueProcessId; // 接收进程ID
      ULONG InheritedFromUniqueProcessId; //接收父进程ID
} PROCESS_BASIC_INFORMATION;

示例:从PEB32获得进程路径

代码参考:
CSDN博主「MailSloter」的原创文章

/**
*
* 获得PEB的进程路径
*
*/

#include <phnt_windows.h>
#include <phnt.h>
#include <iostream>
#include <stdio.h>
#include <stdlib.h>


BOOL GetProcessFullPathByProcessID(ULONG32 ProcessID, WCHAR* BufferData, ULONG BufferLegnth) {
	HANDLE	ProcessHandle = NULL; 
	ProcessHandle = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, FALSE, ProcessID);

	if (ProcessHandle == NULL) {
		return FALSE;
	}

	
	PROCESS_BASIC_INFORMATION	pbi = { 0 };
	SIZE_T	ReturnLength = 0;
	NTSTATUS status = NtQueryInformationProcess(ProcessHandle, ProcessBasicInformation, &pbi, sizeof(PROCESS_BASIC_INFORMATION),
		(PULONG)&ReturnLength);
	
	if (!NT_SUCCESS(status)) {
		CloseHandle(ProcessHandle);
		ProcessHandle = NULL;
		return FALSE;
	}

	PEB	Peb = { 0 };
	status = NtReadVirtualMemory(ProcessHandle, pbi.PebBaseAddress, &Peb, sizeof(PEB32), (SIZE_T*)&ReturnLength);

	if (!NT_SUCCESS(status)) {
		CloseHandle(ProcessHandle);
		ProcessHandle = NULL;
		return FALSE;
	}

	RTL_USER_PROCESS_PARAMETERS RtlUserProcessParameters = { 0 };
	status = NtReadVirtualMemory(ProcessHandle, Peb.ProcessParameters, &RtlUserProcessParameters,
		sizeof(RTL_USER_PROCESS_PARAMETERS), (SIZE_T*)&ReturnLength);

	if (!NT_SUCCESS(status)) {
		CloseHandle(ProcessHandle);
		ProcessHandle = NULL;
		return FALSE;
	}

	if (RtlUserProcessParameters.ImagePathName.Buffer != NULL)
	{
		ULONG v1 = 0;
		if (RtlUserProcessParameters.ImagePathName.Length < BufferLegnth)
		{
			v1 = RtlUserProcessParameters.ImagePathName.Length;
		}
		else
		{
			v1 = BufferLegnth - 10;
		}
		status = ReadProcessMemory(ProcessHandle, RtlUserProcessParameters.ImagePathName.Buffer,
			BufferData, v1, (SIZE_T*)&ReturnLength);
		if (!NT_SUCCESS(status)) 
		{
			CloseHandle(ProcessHandle);
			ProcessHandle = NULL;
			return FALSE;
		}
	}

	CloseHandle(ProcessHandle);
	return TRUE;
}

int main() {
	BOOL bOk = FALSE;
	ULONG32 ProcessID = 0;
	WCHAR   BufferData[MAX_PATH] = { 0 };
	//定义完整路径数组,
	//windows规定存放完整路径的数组最大为260个字节;
	printf("Input Process ID\r\n");
	scanf_s("%d", &ProcessID);
	bOk = GetProcessFullPathByProcessID(ProcessID, BufferData, MAX_PATH);
	//用自定义函数实现从进程ID得到进程完整路径的过程(进程ID,完整路径(存放的数组名),数组长度)

	std::cout << bOk << std::endl;
	if (bOk == TRUE)
	{
		printf("%S\r\n", BufferData);
		//BufferData双字,故用大S输出字符串;
	}

	system("pause");
	return 0;
}

NtSetInformationProcess函数

参考 SetProcessInformation function msdn

设置指定进程的信息

函数原型

BOOL SetProcessInformation(
  [in] HANDLE                    hProcess,
  [in] PROCESS_INFORMATION_CLASS ProcessInformationClass,
       LPVOID                    ProcessInformation,
  [in] DWORD                     ProcessInformationSize
);

示例:使进程跳过DEP检测 关闭DEP

代码可参考

ZwCreateThreadEx函数

函数原型

NtQueryVirtualMemory

解密NtQueryVirtualMemory
msdn NtQueryVirtualMemor

查询指定进程的某个虚拟地址控件所在的内存对象的一些信息。

函数原型

NTSTATUS NTAPI NtQueryVirtualMemory(
          IN HANDLE               	ProcessHandle,     			//目标进程句柄
          IN PVOID                	BaseAddress,     			//目标内存地址
          IN MEMORY_INFORMATION_CLASS 	MemoryInformationClass,  		//查询内存信息的类别
          OUT PVOID               	Buffer,       				//用于存储获取到的内存信息的结构地址
          IN ULONG                	Length,       				//Buffer的最大长度
          OUT PULONG              	ResultLength OPTIONAL); 		//存储该函数处理返回的信息的长度的ULONG的地址
);

第一个参数是目标进程的句柄;
第二个参数是要查询的内存地址;
第四个参数是根据第三个参数选用不同的结构去接收内存信息的地址。
第五个和第六个参数为Buffer长度,和函数处理结果返回的长度。

第三个参数MEMORY_INFORMATION_CLASS 表示需要获取内存的信息的类型

类型有以下几种:

//MEMORY_INFORMATION_CLASS定义
typedef enum _MEMORY_INFORMATION_CLASS
{
 MemoryBasicInformation,     		//内存基本信息
 MemoryWorkingSetInformation,   	//工作集信息
 MemoryMappedFilenameInformation   	//内存映射文件名信息
} MEMORY_INFORMATION_CLASS;

MemoryBasicInformation

内存基本信息

typedef struct _MEMORY_BASIC_INFORMATION {
    PVOID 		BaseAddress;
    PVOID 		AllocationBase;
    DWORD 		AllocationProtect;
    SIZE_T 		RegionSize;
    DWORD 		State;
    DWORD 		Protect;
    DWORD 		Type;
} MEMORY_BASIC_INFORMATION, *PMEMORY_BASIC_INFORMATION;

代码使用可参考 DllFinder Process::ListModulesVQ

MemoryWorkingSetInformation

工作集信息

typedef struct _MEMORY_WORKING_SET_INFORMATION {
	ULONG		SizeOfWorkingSet;
	DWORD		WsEntries[ANYSIZE_ARRAY];
} MEMORY_WORKING_SET_INFORMATION, *PMEMORY_WORKING_SET_INFORMATION;

MemoryMappedFilenameInformation

内存映射文件名信息

#define _MAX_OBJECT_NAME 1024/sizeof(WCHAR)

typedef struct _MEMORY_MAPPED_FILE_NAME_INFORMATION {
 UNICODE_STRING Name;
 WCHAR     Buffer[_MAX_OBJECT_NAME];
} MEMORY_MAPPED_FILE_NAME_INFORMATION, *PMEMORY_MAPPED_FILE_NAME_INFORMATION;

示例:获取进程映像文件名

示例:查询内存保护模式类型 PAGE_EXECUTE_READWRITE

int main() {
	DWORD dwProcessId = 33700;
	HANDLE hProcess;
	NTSTATUS status = PhNtOpenProcess(&hProcess,
		PROCESS_QUERY_INFORMATION |
		PROCESS_VM_READ, dwProcessId);
	if (!NT_SUCCESS(status)) {
		status = PhNtOpenProcess(&hProcess,
			PROCESS_QUERY_INFORMATION, dwProcessId);
		if (!NT_SUCCESS(status))
			return -1;
	}

	void* pBaseAddres = NULL;

	MEMORY_BASIC_INFORMATION basicInfo;
	while (NT_SUCCESS(NtQueryVirtualMemory(
		hProcess, pBaseAddres, MemoryBasicInformation, &basicInfo,
		sizeof(MEMORY_BASIC_INFORMATION), NULL))) {
		ULONG dwState = basicInfo.State;

		DWORD protectStatus = basicInfo.Protect;

		if (protectStatus == PAGE_EXECUTE_READWRITE) {
			printf("memery PAGE_EXECUTE_READWRITE exist! \n");
			break;
		}

		pBaseAddres = PTR_ADD_OFFSET(pBaseAddres, basicInfo.RegionSize);
	}

	return 0;
}

NtReadVirtualMemory

函数原型

读取进程内存内容

NTSTATUS
NtReadVirtualMemory (
     IN HANDLE ProcessHandle,//进程句柄
     IN PVOID BaseAddress,//基地址
     OUT PVOID Buffer,//输出的内容
     IN SIZE_T BufferSize,//输出大小
     OUT PSIZE_T NumberOfBytesRead OPTIONAL//读取字节数
)

示例:简单用法

int main() {
	int adrnum = 0;
	DWORD dwPid = 26392;
	HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, 0, dwPid);
	NtReadVirtualMemory(hProcess, (PVOID)0x90000, (LPVOID)&adrnum, 4, 0);
	CloseHandle(hProcess);
	printf("%d\n", adrnum);

	system("pause");
	return 0;
}

NtQuerySystemInformation

查询到特定的系统信息

函数原型

NTSYSCALLAPI
NTSTATUS
NTAPI
NtQuerySystemInformation(
    _In_ SYSTEM_INFORMATION_CLASS SystemInformationClass,
    _Out_writes_bytes_opt_(SystemInformationLength) PVOID SystemInformation,
    _In_ ULONG SystemInformationLength,
    _Out_opt_ PULONG ReturnLength
    );

第一个参数 SystemInformationClass: 所要查询的系统信息的类型
第二个参数 SystemInformation:输出的系统信息内容的指针

第三个参数 SystemInformationLength:接受长度

第四个参数 ReturnLength:实际返回长度

示例:查询系统基本信息

SYSTEM_BASIC_INFORMATION systemBasicInformation = {};

NTSTATUS status = NtQuerySystemInformation(
	SystemBasicInformation, &systemBasicInformation, sizeof(SYSTEM_BASIC_INFORMATION), NULL);

NtQueryInformationThread

检索指定的线程信息。

函数原型

NTSYSCALLAPI
NTSTATUS
NTAPI
NtQueryInformationThread(
    _In_ HANDLE ThreadHandle,//线程句柄
    _In_ THREADINFOCLASS ThreadInformationClass, //查询线程信息的类型
    _Out_writes_bytes_(ThreadInformationLength) PVOID ThreadInformation, //接受线程信息的指针
    _In_ ULONG ThreadInformationLength,//线程信息长度
    _Out_opt_ PULONG ReturnLength//返回长度
    );

示例:获得线程起始地址

#include <phnt_windows.h>
#include <phnt.h>
#include <stdio.h>

int main()
{		
		DWORD dwThreadId = GetCurrentThreadId();

		HANDLE hThread = NULL;
		hThread = OpenThread(THREAD_QUERY_INFORMATION, FALSE, dwThreadId);
		if (!hThread)
		{
			return -1;
		}

		DWORD dwStaAddr = NULL;
		DWORD dwReturnLength = 0;

		NTSTATUS status = NtQueryInformationThread(hThread, ThreadQuerySetWin32StartAddress,
			&dwStaAddr, sizeof(dwStaAddr), &dwReturnLength);

		if (!NT_SUCCESS(status))
		{
			return -1;
		}

		printf("0x%p", dwStaAddr);

		return 0;
}

示例:通过线程获得进程ID

THREAD_BASIC_INFORMATION threadBasicInfo;
NtQueryInformationThread(hThread, ThreadBasicInformation, &threadBasicInfo, sizeof(threadBasicInfo), &dwReturnLength);
printf("processId:%d", threadBasicInfo.ClientId.UniqueProcess);

总结

二进制怪兽
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Windows核心编程》若干知识点实战应用分享
dvlinker的技术专栏
01-21 3万+
Windows核心编程》若干知识点应用实践分享,希望大家能够仔细研读,在提升理论知识水平的同时,也能有效地提高分析解决问题的技能。
[网络安全自学篇] 八十四.《Windows黑客编程技术详解》之VS环境配置、基础知识及DLL延迟加载详解(1)
杨秀璋的专栏
06-19 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第一篇文章主要包括两部分内容,开发环境(VS、编译设置)、基础技术、运行单一实例(互斥对象示例)、DLL延迟加载(skin++换皮肤示例)、资源释放(MFC示例)。希望对您有所帮助~
使用 NtSetInformationProcess hook syscall
05-30
使用 NtSetInformationProcess hook syscall 文件是使用例子
NtQueryInformationProcess用法
yiyefangzhou24的专栏
03-12 2万+
<br />      从所周知,在Windows NT/2000系统的API黑洞之一便是NTDLL.DLL,此DLL包含了许多未公开的API函数。本文将列举一、二,并以如何获取任何指定进程的父进程ID为例作为示范。<br />   NTDLL.DLL中有一个函数叫NtQueryInformationProcess,用它可以将指定类型的进程信息拷贝到某个缓冲。其原型如下:<br />NTSYSAPI<br />NTSTATUS<br />NTAPI<br />NtQueryInformationProces
线程入口地址 类封装
08-13 724
#pragma once typedef LONG NTSTATUS; typedef NTSTATUS(WINAPI *NTQUERYINFORMATIONTHREAD)( HANDLE ThreadHandle, ULONG ThreadInformationClass, PVOID ThreadInformation, ULONG ThreadInformationLength, ...
ret2lib bypass dep 学习笔记(0day2Edition NtSetInformationProcess)
Catch me if you can
04-21 2355
DEP绕过ROP(ret2lib)技术总结样本空间测试环境 操作系统:windows xp sp3 工具:immunity debugger 样本源码: #include <stdio.h> #include <string.h> #include <windows.h> char shellcode[]= "\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x
[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例
热门推荐
杨秀璋的专栏
07-31 10万+
最近开始学习网络安全相关知识,接触了好多新术语,感觉自己要学习的东西太多,真是学无止境,也发现了好几个默默无闻写着博客、做着开源的大神。准备好好学习下新知识,并分享些博客与博友们一起进步,加油。非常基础的文章,大神请飘过,谢谢各位看官!
Windows系统常用网络命令详解及命令示例(全)
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
10-24 6202
windows网络命令大合集
未公开API函数的完整说明(很全的版本)
09-10
未公开API函数的完整说明或者叫做未文档化API函数的完整说明。如果您是一位有一定经验的应用程序或者驱动开发程序员,那么您一定知道这份资料对于您的价值和意义。微软出于某些考虑,并没有在MSDN上面把所有的API都公布出来,但是API虽然事实存在于各个版本的操作系统中。某些时候使用正确合理的使用这些未公开的API函数,可以起到事半功倍和意想不到的效果,轻松实现某些本来很难实现的特殊的功能。 本文档以PDF格式,分类清晰,注解详细,从应用程序开发,到系统驱动开发,从进程,文件处理,到虚拟内存,即插即用,电源管理,注册表,NTFS文件格式,无所不包。总共分成21个大类,几千个没有公开的API函数的详细说明! 1 System Information and Control 1 2 Objects, Object Directories, and Symbolic Links 59 3 Virtual Memory 81 4 Sections 101 5 Threads 113 6 Processes 133 7 Jobs 175 8 Tokens 189 9 Synchronization 207 10 Time 241 11 Execution Profiling 247 12 Ports (Local Procedure Calls) 256 13 Files 277 14 Registry Keys 341 15 Security and Auditing 371 16 Plug and Play and Power Management 391 A Miscellany 405 B Calling System Services from Kernel Mode 429 C Intel Platform-Specific Entry Points to Kernel Mode 435 D Exceptions and Debugging 439 E NTFS On-Disk Structure 457
NT API说明文档
06-18
/* * ntapi.h * * Windows NT Native API * * Most structures in this file is obtained from Windows NT/2000 Native API * Reference by Gary Nebbett, ISBN 1578701996. * * This file is part of the w32api package.
[网络安全自学篇] 九十二.《Windows黑客编程技术详解》之病毒启动技术创建进程API、突破SESSION0隔离、内存加载详解(3)
杨秀璋的专栏
07-27 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第三篇文章主要介绍木马病毒启动技术,包括创建进程API、突破SESSION0隔离、内存加载详解,希望对您有所帮助。
遍历进程内存
qq_41490873的博客
07-13 367
#include<windows.h> #include<stdio.h> #define NT_SUCCESS(Status) (((NTSTATUS)(Status)) >= 0) // private typedef enum _MEMORY_INFORMATION_CLASS { MemoryBasicInformation, // MEMORY_BASIC_INFORMATION MemoryWorkingSetInformation, // MEMORY_WOR
利用进程ID获取主线程ID
TJT999
02-19 9148
<br />利用进程ID获取主线程ID,仅适用于单线程。多线程应区分哪个是主线程,区分方法待验证<br />(1)好像可以用StartTime最早的,不过通过线程执行时间不一定可靠,要是在最开始就CreateThread了,线程的执行时间会相同。可以通过回溯栈上的值来判断哪个线程是主线程,主线程的栈多少有些不同。最明显就是主线程栈上的PE入口点 信息,没有这个的就是子线程。<br /> (2)CsrProcessLink中取CsrProcessInfo->ClientId.UniqueThread即可,
恶意代码分析常见Windows函数
weixin_30932215的博客
09-07 345
accept   用来监听入站网络连接,这个函数预示着程序会在一个套接字上监听入站网络连接。 AdjustTokenPrivileges   用来启用或禁用特定的访问权限。执行进程注入的恶意代码会经常调用这个函数 ,来取得额外的权限。 AttachThreadInput   将一个线程处理的输入附加到另一个线程上,使得第二个线程接收到输入事件。如键盘和鼠标事件。击键记录器和其他...
遍历进程线程
qq_25420503的专栏
03-02 1370
typedef struct _CL_PROCESS_THREADINFO { LPVOID pvStartAddr; // 线程的起始地址 DWORD dwTid; // 线程Id WCHAR wszModuleName[MAX_PATH]; // 所属的模块路径 }CL_PROCESS_THREADINFO;  BOOL CLThread::QueryThreadInf
CVE-2018-0751
如鹿渴慕泉水的专栏
01-12 1401
using NtApiDotNet; using SandboxAnalysisUtils; using System; using System.Reflection; using System.Windows.Forms; namespace PoC { static class Program { static NtToken GetProcessToken
windows核心编程_笔记合集.zip
最新发布
10-07
windows核心编程_笔记合集.zip是一个压缩文件,其中包含了与Windows操作系统相关的核心编程知识的笔记合集。 在这个压缩文件中,可能会包含一系列的文本文件或文件夹,它们记录了关于Windows核心编程的各种技术、概念、方法和实例。这些笔记可以是作者自己的总结和心得,也可能是从其他资源中整理和归纳而来。 这个压缩文件可以在计算机上解压缩,解压后可以方便地查看和阅读其中的内容。通过阅读这些笔记,我们可以更深入地了解Windows操作系统的内部机制和编程模式,掌握与Windows平台相关的软件开发技术。 笔记合集中可能包括以下内容:Windows系统结构、进程管理、内存管理、文件系统、网络编程、设备驱动程序开发等。通过学习这些内容,我们可以了解操作系统的运行原理,为我们开发高效稳定的Windows应用程序提供指导和支持。 总之,windows核心编程_笔记合集.zip是一个包含了丰富Windows核心编程知识的压缩文件,对于对操作系统开发感兴趣的人士来说,它是一个非常有价值的资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

二进制怪兽

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值