WindowsAPI ——NtQueryInformationProcess

最新推荐文章于 2022-07-29 17:11:04 发布
最新推荐文章于 2022-07-29 17:11:04 发布
阅读量1.8k 收藏 3
点赞数 1
分类专栏: WinAPI 文章标签: winapi
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38933606/article/details/119863806
版权

NtQueryInformationProcess

作用

获取指定文件大小,in byte。

原型

 DWORD GetFileSize(__kernel_entry NTSTATUS NtQueryInformationProcess(
 		  HANDLE ProcessHandle,
 		  PROCESSINFOCLASS  ProcessInformationClass,
 		  PVOID ProcessInformation,
 		  ULONG ProcessInformationLength,
 		  PULONG ReturnLength
);

参数说明

  1. ProcessHandle:检索其信息的进程的句柄。
  2. ProcessInformationClass:要检索的进程信息的类型,此参数可以是PROCESSINFOCLASS枚举中的值之一 。
  3. ProcessInformation:指向调用应用程序提供的缓冲区的指针,函数将请求的信息写入该缓冲区。写入的信息大小取决于ProcessInformationClass参数的数据类型:
    PROCESS_BASIC_INFORMATION
    当ProcessInformationClass 参数是ProcessBasicInformation,缓冲器指向的PROCESSINFORMATION参数应该足够大,以保持单个PROCESS_BASIC_INFORMATION具有下述布局结构:
typedef struct _PROCESS_BASIC_INFORMATION {
PVOID Reserved1;
PPEB PebBaseAddress;
PVOID Reserved2[2];
ULONG_PTR UniqueProcessId;
PVOID Reserved3; 
} PROCESS_BASIC_INFORMATION;

此结构体等价于

typedef struct{
	DWORD ExitStatus;				//プロセス終了状態
	DWORD PebBaseAddress;			//プロセス環境ブロックアドレス
	DWORD AffinityMask;				//プロセス関連マスク
	DWORD BasePriority;				//进程优先级
	ULONG UniqueProcessId;			//进程ID
	ULONG InheritedFromUniqueProcessId;//父进程ID
} PROCESS_BASIC_INFORMATION;
  1. ProcessInformationLength:ProcessInformation参数指向的缓冲区的大小,以字节为单位。
  2. ReturnLength:指向返回信息大小的指针 。

追加说明

  1. 可能会在 Windows 的未来版本中更改或不可用
  2. 该函数一般用以获取父进程ID。

示例

	PROCESS_BASIC_INFORMATION   pbi;
	DWORD	Pid = GetCurrentProcessId();
	PROCNTQSIP NtQueryInfoProcess = (PROCNTQSIP)GetProcAddress(GetModuleHandle("ntdll"), 
																"NtQueryInformationProcess");
	HANDLE	hProcess = OpenProcess(PROCESS_QUERY_INFORMATION, FALSE, Pid );
	
	NtQueryInformationProcess(hProcess,
							ProcessBasicInformation,
							(PVOID)&pbi,
							sizeof(PROCESS_BASIC_INFORMATION),
							NULL
							);
							
	CloseHandle(hProcess);
摩尔の
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ring3触发BSOD代码实现及内核逆向分析
a1007063309的博客
05-15 420
0、引言 做过Windows内核开发或者驱动开发的朋友,必然常常会遇到BSoD,其全称为Blue Screen of Death;of作为介词,其缩写o则需要小写了;然而Windows NT内核当时推出时,想必微软也大势宣传其是进程安全的,不像DOS那样,一个进程挂了,整个系统就挂了;当然,如果对于系统启动过程非常熟悉的话,应该听说过一些系统的关键进程如csrss.exe挂了的话,则整个系统必然挂;这篇文章的目的就是揭露这后边的秘密,看看系统是如何选择性死亡了,这也牵扯到另一桩生意——一些恶意代码就喜欢鱼
进程伪装实现将进程伪装成任意程序
yeanhoo的博客
09-24 6282
进程伪装 修改指定进程环境块中的进程路径以及命令行信息,从而达到进程 伪装的效果。 获取进程的句柄 内联汇编获取peb 修改命令行和imagepath #include<windows.h> #include<winternl.h> BOOL DisguiseProcess(wchar_t *lpwszPath, wchar_t *lpwszCmd); int main() { wchar_t *lpwszPath = L"c:\\windows\\system32\\c
NtQueryInformationProcess (反调试)
lwhaaaa的博客
04-26 2701
文章目录0x01 NtQueryInformationProcess ()一、NtQueryInformationProcess ()二、CheckRemoteDebuggerPresent() 0x01 NtQueryInformationProcess () 一、NtQueryInformationProcess () ​ 函数原型: NTSYSAPI NTSTATUS NTAPI NtQueryInformationProcess (   IN HANDLE         ProcessHandl
反调试 - NtQueryInformationProcess(ProcessDebugPort,ProcessDebugFlags,ProcessDebugObjectHandle)
LYSM
09-16 3940
NtQueryInformationProcess 是微软 未公开 的一个 API,嗯,这个反调试的方法有一个特点就是 能过吾爱破解版OD! ,其他版本的OD没有尝试,但相信这种反调试手法可以检测大部分的第三方OD。 首先需要知道的几点: // NtQueryInformationProcess 函数原型 __kernel_entry NTSTATUS NtQueryInformationPro...
C++ 反反调试(NtQueryInformationProcess
LYSM
09-17 2061
关于 NtQueryInformationProcess 的反调试参考这篇文章 没错! 这也是我写的(可能这就是所谓的自己打自己把 /手动滑稽 |ू・ω・` )) 首先我们看下之前写的代码(部分): status = NtQueryInformationProcess( GetCurrentProcess(), // 进程句柄 ...
C++ 修改指定进程 PEB 中路径和命令行信息实现进程伪装
LYSM
06-24 2610
背景 所谓的进程伪装,指的修改任意一个指定进程的信息,是它的信息在系统中的显示是另一个进程的信息,这样看来,指定的进程就像是被伪装的进程一样,因为进程信息相同,但实际上,它还是原来的进程,做着原来的进程操作。 函数介绍 NtQueryInformationProcess NTSTATUS WINAPI NtQueryInformationProcess( _In_ HANDLE ProcessHandle, // 要获取信息的进程的句柄。
VC获取父进程PID
Koma的主页
11-26 9931
VC获取父进程PID,深度遍历至父结点Demo
NtQueryInformationProcess用法
热门推荐
yiyefangzhou24的专栏
03-12 2万+
<br />      从所周知,在Windows NT/2000系统的API黑洞之一便是NTDLL.DLL,此DLL包含了许多未公开的API函数。本文将列举一、二,并以如何获取任何指定进程的父进程ID为例作为示范。<br />   NTDLL.DLL中有一个函数叫NtQueryInformationProcess,用它可以将指定类型的进程信息拷贝到某个缓冲。其原型如下:<br />NTSYSAPI<br />NTSTATUS<br />NTAPI<br />NtQueryInformationProces
易语言真实API模块
08-16
易语言真实API模块源码 系统结构:BaseSetLastNTError,调用_KiFastSystemCall,备份_调用_KiFastSystemCall,调用_NtQueryInformationProcess,调用_NtSetInformationThread,调用_NtDeviceIoControlFile,调用_...
API创建查看进程窗口.rar
04-04
4. **获取进程信息**:利用进程句柄,可以通过`NtQueryInformationProcess`或`QueryProcessInformation`等API获取进程详细信息,如进程名、进程路径、窗口信息等。 5. **创建窗口显示进程**:使用Windows API中的...
Windows NT 2000 Native API Reference.rar
03-19
7. **系统调用**:Windows NT 2000的内核提供了许多系统调用,如NtQueryInformationProcess和NtCreateFile,它们是系统内部操作的底层接口,通常只在底层驱动程序或系统服务中使用。 通过深入学习和理解《Windows ...
Windows核心编程(第五版)源码
03-23
1. **Windows API**: Windows API是Windows操作系统提供的函数库,用于开发应用程序。源码中会包含大量的API调用示例,如CreateProcess、CreateThread、FindResource等,这些API涵盖了进程、线程、窗口、内存、文件...
易语言非真实API模块
08-16
易语言非真实API模块源码 系统结构:调用_NtQueryInformationProcess,调用_NtSetInformationThread,调用_NtDeviceIoControlFile,调用_NtFsControlFile,调用_NtWaitForSingleObject,调用_NtSetInformationFile,调用_...
Win2K下关联进程/端口之代码初步分析
09-13 1074
作者:Shotgun@xici.net    在西祠或者中绿的BBS中,经常见到网友问:如何才能关联我的进程和端口呀?没错,关联进程和端口是一个非常有用的功能,你可以清楚地知道哪些程序在使用哪些端口,对于查杀木马很有帮助。可是我们虽然可以使用任务管理器浏览进程列表,使用Netstat查看端口的使用状况,却没有一个命令可以直接关联进程和端口(WinXP上增加了新的NetStat功能,支持直接查看
《逆向工程核心原理》学习笔记(七):反调试技术
闵行小鱼塘
05-28 1999
继续学习《逆向工程核心原理》,本篇笔记是第七部分:反调试技术,包括一些静态反调试技术和动态反调试技术
ProcessHaceker 进程模块枚举
最新发布
maomao171314的专栏
07-29 311
进程模块枚举
Windows下反反调试技术汇总
qq138480084的博客
09-15 2476
Windows下反反调试技术汇总 Windows下反反调试技术汇总一、前言二、静态反调试技术2.1 进程状态检测2.2 调试环境检测三、动态反调试技术3.1 时钟检测3.2 异常处理3.3 0xCC探测3.4 硬件断点检测3.5 单步检测3.6自调试四、总结 一、前言 对于安全研究人员来说,调试过程中经常会碰到反调试技术,原因很简单:调试可以窥视程序的运行“秘密”,而程序作者想要通过反调试手段隐藏他们的“秘密”,普通程序需要防止核心代码被调试逆向,恶意代码需要隐藏自己的恶意行为防止被跟
反调试之IsDebuggerPresent()分析
sanqiuai的博客
08-04 785
哪个DLL导出了该函数? 查MSDN可知 学习一个函数最好的方式是在自己的程序里面调用该函数,并分析自己的程序,我用c写了一个简单的程序,函数不断循环打印“I am running…”,并不断检查是否程序被调试,如果程序被调试,则输出“软件正在被调试”,然后退出 如何找到main函数 打开OD附加调试 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值