通过ntdll.dll的函数枚举进程

最新推荐文章于 2020-09-22 13:15:00 发布
最新推荐文章于 2020-09-22 13:15:00 发布
阅读量360 收藏
点赞数
分类专栏: C语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19272431/article/details/78914232
版权


C语言代码如下:


#include <windows.h>
#include <stdio.h>
#include <stdlib.h>
#include <NTSecAPI.h>
//定义一个函数指针用来访问ntdll.dll中的ZwQuerySystemInformation函数
typedef DWORD(WINAPI *ZWQUERYSYSTEMINFORMATION)(DWORD, PVOID, DWORD, PDWORD);

//查询进程和线程的宏,还有其他宏
#define SystemProcessesAndThreadsInformation 5
//系统进程信息结构
typedef struct _SYSTEM_PROCESS_INFORMATION
{
    DWORD NexttEntryDelta;
    DWORD ThreadCount;
    DWORD Reserved1[6];
    FILETIME ftCreateTime;
    FILETIME ftUserTime;
    FILETIME ftKernelTime;
    UNICODE_STRING ProcessName;
    DWORD BasePriority;
    DWORD ProcessId;
    DWORD InheritedFromProcessId;
    DWORD HandleCount;
    DWORD Reserved2[6];
    DWORD VmCounters;
    DWORD dCommitCharge;
    PVOID ThreadInfos[1];
}SYSTEM_PROCESS_INFORMATION, *PSYSTEM_PROCESS_INFORMATION;

int  main()
{
    //获取 ntdll.dll模块句柄
    HMODULE hNtDll = GetModuleHandle(L"ntdll.dll");
    if (!hNtDll)
    {
        return 0;
    }

    //获得函数指针
    ZWQUERYSYSTEMINFORMATION ZwQuerySystemInformation =
        (ZWQUERYSYSTEMINFORMATION)GetProcAddress(hNtDll, "ZwQuerySystemInformation");

    //分配内存
    ULONG cbBuffer = 0x100000;
    LPVOID pBuffer = malloc(cbBuffer);
    if (pBuffer == nullptr)
    {
        return 0;
    }
    //得到系统进程信息
    ZwQuerySystemInformation(SystemProcessesAndThreadsInformation, pBuffer, cbBuffer, nullptr);
    //转型
    PSYSTEM_PROCESS_INFORMATION pInfo = (PSYSTEM_PROCESS_INFORMATION)pBuffer;
    int iCount = 0;
    for (;;)
    {
        printf("%d   (%ls)\n", pInfo->ProcessId, pInfo->ProcessName.Buffer);
        //像链表一样一个个查找
        if (pInfo->NexttEntryDelta == 0)
            break;
        pInfo = (PSYSTEM_PROCESS_INFORMATION)(((PUCHAR)pInfo) + pInfo->NexttEntryDelta);
    }
    free(pBuffer);
    system("pause");
    return 0;
}

AREH
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
打印出ntdll.dll中所有函数名字和地址
dididisailor的博客
11-26 2977
0x01 打印出ntdll.dll中所有函数名字和地址 0x02 在任何进程中都可以找到ntdll.dll和kernel32.dll这个动态链接库的基地址,另外每一个动态链接库基地址实际上都存放在一个双向链表的节点上,只要找到这个双向链表,就可以找到所需要的动态链接库基地址,然后就可以调用乱七八糟的函数,将shellcode放在一个精妙的地方。 0x03 代码如下: // GetKern...
windows黑客编程系列(九):使用ntdll.dll中并未公开的API进行压缩
至臻求学,胸怀云月
04-24 2860
文章目录压缩技术利用WIN32自带API实现数据压缩WIN APIRtlGetCompressionWorkSpaceSizeRtlCompressBufferRtlDecompressBuffer编码实现运行效果 压缩技术 病毒木马悄悄的隐藏在别人的计算机上,目的是搜集用户的隐私数据。为了顺利完成任务,不可避免的会使用用户计算机的资源,而且这很可能会引起用户的察觉。 为了减少被发现的可能,病...
通过中转DLL函数实现DLL劫持
CSDN
09-22 7395
当我们运行程序时,一般情况下会默认加载Ntdll.dll和Kernel32.dll这两个链接库,在进程未被创建之前Ntdll.dll库就被默认加载了,三环下任何对其劫持都是无效的,除了该Dll外,其他的Dll都是在程序运行时,在输入表中查找到对应关系后才会被装载到内存中的,理论上来说对除NtDll以外的其他库都是可操作的。编译main.cpp 动态加载函数,将lyshark.dll放入同一个目录下即可,程序运行后会动态调用DLL中的导出函数。默认会生成如下样子,直接在里面加上一个弹窗,然后编译DLL
NT 函数原型
lei35151的专栏
11-15 4297
NTSYSAPI NTSTATUS NTAPI NtAcceptConnectPort( OUT PHANDLE PortHandle, IN PVOID PortIdentifier, IN PPORT_MESSAGE Message, IN BOOLEAN Accept, IN OUT PPORT_VIEW ServerView OPTIONAL, OUT PREMOTE_P
枚举系统中正在运行的进程
02-06
`NtQuerySystemInformation`函数枚举进程的核心,它允许开发者获取系统信息,包括进程和线程详细数据。通过指定`SystemProcessInformation`作为参数,我们可以得到系统中所有进程的信息。这种方法虽然更底层,但...
另类遍历进程代码
09-08
3. **读取`Psapi.dll`或`ntdll.dll`中的导出函数**:有些另类的遍历进程方法是利用动态链接库(DLL)中的函数,如`EnumProcesses`和`EnumProcessModules`。这些函数并不总是被常规的安全软件检测到,因此可能用于...
易语言驱动级枚举系统进程源码
06-01
2. **系统调用**:驱动级枚举系统进程需要使用到特定的系统调用,如Windows API中的`NtQuerySystemInformation`函数,来获取系统信息,包括进程列表。在易语言中,这些调用通常通过动态链接库(DLL)导入实现。 3. ...
C#中进程的挂起与恢复
08-31
在默认情况下,C#的`System.Diagnostics.Process`类并不直接提供挂起和恢复进程的功能,但可以通过调用Windows API中的非公开函数来实现这一目标。 1. **进程挂起与恢复的基本原理**: 进程的挂起和恢复是通过操作...
四种方法实现VC枚举系统当前进程
09-04
它需要包含`ntdll.dll`库,并使用`NtQuerySystemInformation`函数。这种方法需要对Windows内核有一定的理解: ```cpp NTSTATUS status; PSYSTEM_PROCESS_INFORMATION procInfo = NULL; ULONG size = 0; do { ...
ntdll.dll导出函数统计
05-14
主要记录ntdll.dll导出的所有函数。可以查看所有导出的函数
ntdll.lib和ntdll.h文件压缩包
04-11
ntdll.lib和ntdll.h文件压缩包,免积分下载
windows xp sp3 系统ntdll.dll所有导出的API函数列表大全(整理在此,方便查阅,学习)
关注互联网安全的小虾米一枚
03-13 1万+
NTDLL  ntdll.dllNT操作系统重要的模块。 XP的核心dll——ntdll.dll ordinal hint RVA name 8 0 0001D5A0 CsrAllocateCaptureBuffer 9 1 0001D601 CsrAllocateMessagePointer
GetModuleHandle
qq_37244872的博客
10-14 777
#pragma pack(8) typedef struct _PROCESS_BASIC_INFORMATION64 { NTSTATUS ExitStatus; UINT32 Reserved0; UINT64 PebBaseAddress; UINT64 AffinityMask; UINT32 BasePriority; UINT32 Reserved1; UINT64 ...
反调试学习
haodawei123的博客
12-18 228
1、PEB反调试 BeingDebugged :1 NtGlobalFlag :0x70 ```cpp #include "..//ntdll//ntdll.h"//导入ntdll.h头文件 #pragma comment(lib, "..//ntdll//ntdll_x86.lib")//静态链接库 #define OUTMESSAGE(a,b) printf("%-36s %s\n",...
ntdll函数逆向
qq_41490873的博客
06-16 1187
RtlEncodePointer :该函数的作用是把传进来的值和进程的指定信息进行异或 然后返回该值 .text:7C9333DF __stdcall RtlEncodePointer(x) .text:7C9333DF public _RtlEncodePointer@4 .text:7C9333DF _RtlEncodePointer@4 proc near ; CODE XREF: RtlDecodePointer(x)+6↓j .text:7C
在应用层使用ntdll.dll中的未导出函数
fengkuangfj的专栏
06-05 3614
// Test.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" typedef NTSTATUS (NTAPI* NTCREATEFILE)( OUT PHANDLE FileHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, OUT PIO
ntdll.dll学习总结
热门推荐
bcbobo21cn的专栏
10-16 1万+
ntdll.dll ntdll.dll描述了windows本地NTAPI的接口。是重要的Windows NT内核级文件。当Windows启动时,ntdll.dll就 驻留在内存中特定的写保护区域,使别的程序无法占用这个内存区域。[1]  中文名 ntdll.dll 外文名 NT Layer DLL 版    本 6.3.9600.17736 系统DLL文件 是 属    于 Wind
通过反汇编ntdll.dll可以通过汇编代码重写ntdll.dll中的api吗
最新发布
07-14
通过反汇编ntdll.dll可以获取其汇编代码,然后可以尝试通过修改汇编代码来重写ntdll.dll中的API。然而,这是一项相当复杂和高风险的任务,需要对汇编语言、操作系统内部机制和Windows API有深入的理解。 在尝试重写...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值