进程篇----获取进程ID(By ProcessName)NtQuerySystemInformation

最新推荐文章于 2024-06-07 12:27:53 发布
最新推荐文章于 2024-06-07 12:27:53 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 代码积累记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42021840/article/details/106137368
版权

通过Nt函数NtQuerySystemInformation来获取所有的进程信息,然后进行名称匹配,若匹配成功,返回ProcessID。

 

#ifdef UNICODE
#define GetProcessID_Nt GetProcessID_NtW
#else
#define GetProcessID_Nt GetProcessID_NtA
#endif


BOOL IsBadWritePtr(LPVOID lp, UINT_PTR cb);
BOOL IsBadReadPtr(CONST VOID *lp, UINT_PTR cb);

VOID RtlInitUnicodeString(OUT PUNICODE_STRING DestinationString,IN PCWSTR SourceString OPTIONAL	);
ULONG BaseSetLastNTError(IN NTSTATUS Status);
LONG RtlCompareUnicodeString(IN PUNICODE_STRING s1,IN PUNICODE_STRING s2,IN BOOLEAN  CaseInsensitive);
    BOOL IsBadReadPtr(CONST VOID *lp, UINT_PTR cb)
	{
		char* EndAddress;
		char* StartAddress;
		ULONG PageSize;

		PageSize = PAGE_SIZE; //0x1000
		if (cb != 0)
		{
			if (lp == NULL) {
				return TRUE;
			}

			StartAddress = (char*)lp;
			EndAddress = StartAddress + cb - 1;
			if (EndAddress < StartAddress)
			{
				return TRUE;
			}
			else
			{
				__try
				{
					*(volatile CHAR *)StartAddress;    //获得当前页面是否能读
													   //获得当前虚拟地址的所属页的基地址
					StartAddress = (PCHAR)((ULONG_PTR)StartAddress & (~((LONG)PageSize - 1)));

					EndAddress = (PCHAR)((ULONG_PTR)EndAddress & (~((LONG)PageSize - 1)));

					while (StartAddress != EndAddress)
					{
						StartAddress = StartAddress + PageSize;
						*(volatile CHAR *)StartAddress;
					}
				}
				__except (EXCEPTION_EXECUTE_HANDLER)
				{
					return TRUE;
				}
			}
		}
		return FALSE;
	}
	BOOL IsBadWritePtr(LPVOID lp, UINT_PTR cb)
	{
		char* EndAddress;
		char* StartAddress;
		ULONG PageSize;

		PageSize = PAGE_SIZE;

		if (cb != 0)
		{
			if (lp == NULL)
			{
				return TRUE;
			}

			StartAddress = (PCHAR)lp;
			EndAddress = StartAddress + cb - 1;
			if (EndAddress < StartAddress) {

				return TRUE;
			}
			else
			{
				__try
				{
					*(volatile CHAR *)StartAddress = *(volatile CHAR *)StartAddress;
					StartAddress = (PCHAR)((ULONG_PTR)StartAddress & (~((LONG)PageSize - 1)));
					EndAddress = (PCHAR)((ULONG_PTR)EndAddress & (~((LONG)PageSize - 1)));
					while (StartAddress != EndAddress)
					{
						StartAddress = StartAddress + PageSize;
						*(volatile CHAR *)StartAddress = *(volatile CHAR *)StartAddress;
					}
				}
				__except (EXCEPTION_EXECUTE_HANDLER)
				{
					return TRUE;
				}
			}
		}
		return FALSE;
	}



VOID RtlInitUnicodeString(OUT PUNICODE_STRING DestinationString,IN PCWSTR SourceString OPTIONAL	)
	{
		SIZE_T Size;
#define MAXUSHORT 0xffff
		const SIZE_T MaxSize = (MAXUSHORT & ~1) - sizeof(UNICODE_NULL); // an even number

		if (SourceString)
		{
			Size = wcslen(SourceString) * sizeof(WCHAR);

			if (Size > MaxSize)
				Size = MaxSize;
			DestinationString->Length = (USHORT)Size;
			DestinationString->MaximumLength = (USHORT)Size + sizeof(UNICODE_NULL);
		}
		else
		{
			DestinationString->Length = 0;
			DestinationString->MaximumLength = 0;
		}

		DestinationString->Buffer = (PWCHAR)SourceString;
	}

LONG RtlCompareUnicodeString(IN PUNICODE_STRING s1,IN PUNICODE_STRING s2,IN BOOLEAN  CaseInsensitive)
	{
		unsigned int len;
		LONG ret = 0;
		LPCWSTR p1, p2;
		len = min(s1->Length, s2->Length) / sizeof(WCHAR);
		p1 = s1->Buffer;
		p2 = s2->Buffer;



		if (CaseInsensitive)
		{
			p1 = CharUpperW(s1->Buffer);
			p2 = CharUpperW(s2->Buffer);
			while (!ret && len--)
			{
				ret = *p1 - *p2;
				p1++;
				p2++;
			}
		}
		else
		{
			while (!ret && len--)
			{
				ret = *p1 - *p2;

				p1++;
				p2++;
			}
		}
		if (!ret)
		{
			ret = s1->Length - s2->Length;
		}
		return ret;
	}

ULONG BaseSetLastNTError(IN NTSTATUS Status)
{
	LONG ErrorCode;

	ErrorCode = __RtlNtStatusToDosError(Status);
	SetLastError(ErrorCode);
	return(ErrorCode);
}

 

	BOOL GetProcessID_NtA(HANDLE* ProcessIdentify, ULONG_PTR ProcessIdentifyLength,const CHAR* ProcessImageName,ULONG_PTR ProcessImageNameLength)
	{
		BOOL IsOk = TRUE;
		int LastError = 0;
		if (IsBadWritePtr(ProcessIdentify, ProcessIdentifyLength) || IsBadReadPtr(ProcessImageName, ProcessImageNameLength))
		{

			LastError = ERROR_INVALID_PARAMETER;
			goto Exit;
		}

		wchar_t* v5 = NULL;
		int v7 = 0;
		v7 = MultiByteToWideChar(CP_ACP, 0, ProcessImageName, -1, NULL, 0);
		v5 = SysAllocStringLen(NULL, v7 - 1);
		MultiByteToWideChar(CP_ACP, 0, ProcessImageName, -1, v5, v7);

		if (GetProcessID_NtW(ProcessIdentify, ProcessIdentifyLength, v5, v7) == FALSE)
		{

			IsOk = FALSE;
		}
		LastError = GetLastError();

	Exit:
		if (v5 != NULL)
		{
			SysFreeString(v5);
			v5 = NULL;
		}

		SetLastError(LastError);
		return IsOk;
	}
	BOOL GetProcessID_NtW(HANDLE* ProcessIdentify, ULONG_PTR ProcessIdentifyLength,const WCHAR* ProcessImageName,ULONG_PTR ProcessImageNameLength)
	{

		BOOL IsOk = FALSE;
		HANDLE SnapshotHandle = INVALID_HANDLE_VALUE;
		PROCESSENTRY32 ProcessEntry32;
		ProcessEntry32.dwSize = sizeof(PROCESSENTRY32);
		int LastError = 0;
		NTSTATUS  Status = STATUS_SUCCESS;
		if (IsBadWritePtr(ProcessIdentify, ProcessIdentifyLength) ||IsBadReadPtr(ProcessImageName, ProcessImageNameLength))
		{
			LastError = ERROR_INVALID_PARAMETER;
			goto Exit;
		}
		PVOID  ProcThrdInfo = NULL;
		SIZE_T ProcThrdInfoSize = 0;


		UNICODE_STRING v1;

		RtlInitUnicodeString((_STRING_HEIPER_::PUNICODE_STRING)&v1, ProcessImageName);


		for (;;)
		{
			ProcThrdInfoSize += 0x10000;

			Status = __NtAllocateVirtualMemory(NtCurrentProcess(),
				&ProcThrdInfo,
				0,
				&ProcThrdInfoSize,
				MEM_COMMIT,
				PAGE_READWRITE);
#ifndef NT_SUCCESS
#define NT_SUCCESS(StatCode)  ((NTSTATUS)(StatCode) >= 0)
#endif
			if (!NT_SUCCESS(Status))
			{
				LastError =BaseSetLastNTError(Status);
				goto Exit;
			}
#define STATUS_INFO_LENGTH_MISMATCH      ((NTSTATUS)0xC0000004L)
			Status = __NtQuerySystemInformation(SystemProcessInformation,
				ProcThrdInfo,
				ProcThrdInfoSize,
				NULL);
			if (Status == STATUS_INFO_LENGTH_MISMATCH)
			{
				__NtFreeVirtualMemory(NtCurrentProcess(),
					&ProcThrdInfo,
					&ProcThrdInfoSize,
					MEM_RELEASE);
				ProcThrdInfo = NULL;
			}
			else
			{
				break;
			}
		}
		LastError = BaseSetLastNTError(Status);
		if (!NT_SUCCESS(Status))
		{
			goto Exit;
		}


		ULONG ProcOffset = 0;
		PSYSTEM_PROCESS_INFORMATION ProcessInfo;
		ProcessInfo = (PSYSTEM_PROCESS_INFORMATION)ProcThrdInfo;
		do
		{
			ProcessInfo = (PSYSTEM_PROCESS_INFORMATION)((ULONG_PTR)ProcessInfo + ProcOffset);

			if (RtlCompareUnicodeString(((_STRING_HEIPER_::PUNICODE_STRING)&v1),
				((_STRING_HEIPER_::PUNICODE_STRING)&ProcessInfo->ImageName), TRUE) == 0)
			{


				*ProcessIdentify = ProcessInfo->UniqueProcessId;
				IsOk = TRUE;
				goto Exit;
			}




			ProcOffset = ProcessInfo->NextEntryOffset;
		} while (ProcOffset != 0);

		LastError = ERROR_MOD_NOT_FOUND;
	Exit:
		if (ProcThrdInfo != NULL)
		{
			__NtFreeVirtualMemory(NtCurrentProcess(),
				&ProcThrdInfo,
				&ProcThrdInfoSize,
				MEM_RELEASE);
			ProcThrdInfo = NULL;
		}
		SetLastError(LastError);

		return IsOk;
	}

 

`Nobody
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux 下获取进程ID进程
卧龙小学堂
02-26 1万+
<br />最近在学进程间通信,但是我一直没找到一个linux 自带的可以根据进程名来获取进程ID的函数,于是就自己写了一个。可以获取到正确的结果,但是是通过system函数,然后 读取文件获得的,效率不高。如果高人看见来,有什么好的建议请提醒我,谢谢。<br /> <br />//////////////////////////////////////////////////////////GetProcessAttr.h//////////////////////////////////////////
Process-prevent-killed:防止进程被杀死的某种方法
05-15
将NtQuerySystemInformation钩到隐藏的进程(3级环) 它可以防止任务管理器终止进程 仅在NT2000中有效。 不普遍 绕道行驶lib防止被杀 原理与HookNtQuerySystemInformation类似,将OpenProcess挂钩以防止被杀。 在...
NtQuerySystemInformation获得某进程某时刻占用的CPU、内存、虚拟内存、句柄数等信息.zip
03-19
NtQuerySystemInformation获得某进程某时刻占用的CPU、内存、虚拟内存、句柄数等信息.zip
未公开函数 NtQuerySystemInfoMation 遍历进程信息,获得进程的用户名(如: system,Admin..)...
weixin_30367945的博客
05-05 520
目录 遍历进程用户名 代码例子 遍历进程用户名 代码例子 #include <windows.h> #include <iostream> #include <COMDEF.H> #include <stdio.h> #in...
进程遍历-NtQuerySystemInformation枚举
最新发布
hide_in_darkness的博客
06-07 577
​ 数组中下一项的开头是上一项的地址加上 NextEntryOffset 成员中的值。​ HandleCount 成员包含有问题的进程正在使用的句柄总数;​ PeakWorkingSetSize 成员包含进程的工作集的峰值大小(以 KB 为单位)​ BasePriority 成员包含进程的基优先级,即在关联进程中创建的线程的起始优先级。​ PeakVirtualSize 成员包含进程使用的虚拟内存的峰值大小(以字节为单位)​ VirtualSize 成员包含进程使用的虚拟内存的当前大小(以字节为单位)
通过GetProcessNameByProcessId得到进程路径
kernweak的博客
07-19 3935
写主防时,为了拿到进程路径,所以查询发现一种发现一种方式是通过PID,调用PsLookupProcessByProcessId(ProcessId, &ProcessObj)拿到进程的EPROCESS,然后PsGetProcessImageFileName(ProcessObj)拿到进程进程路径。 现在看下PsLookupProcessByProcessId资料 kd> u P...
使用 NtQuerySystemInformation 遍历进程信息
溡漪幽博客
02-07 1183
通过遍历系统进程信息,我们可以了解系统中运行的各种进程的详细信息,从而更好地进行系统管理和性能优化。本文介绍了一种通过调用 Windows 系统API来获取并遍历系统进程信息的技术,并提供了一段示例代码以帮助读者理解该技术的实现方法。
ring3-kit:使用NT API挂钩从任务管理器隐藏进程(NtQuerySystemInformation
05-27
使用NT挂钩(NtQuerySystemInformation)从任务管理器中隐藏进程。 一个简单的Ring-3(用户模式)rootkit。 如何 将API函数NtQuerySystemInformation()与我们自己的函数挂钩,该函数对任务管理器隐藏进程 挂钩...
C/C++-数据结构-进程保护-操作系统大作业
02-04
Hook NtOpenProcess实行通过进程名与进程ID来保护进程,对于保护进ID,可以防止用户恶意的使打PID5、6、7之类的来打开PID为4的进程。 Hook NtQuerySystemInformation实现只显示当前用户的进程功能。 内核用户管理,在...
易语言驱动级枚举系统进程源码-易语言
06-13
枚举进程就是遍历这个表格,获取每个进程的详细信息,如进程ID进程名、优先级等。 - 这通常需要调用像`NtQuerySystemInformation`这样的系统API,这些API在用户模式下无法直接访问。 - 驱动级枚举可以获取到更多...
易语言NTAPI取进程列表源码-易语言
06-13
使用NTAPI获取进程列表可以得到更为详尽的数据,比如线程信息、进程上下文等。 3. **源码分析**: "易语言NTAPI取进程列表源码"是指使用易语言编写的代码,用于通过NTAPI获取并显示系统中的进程列表。源码分析主要...
C#获取当前运行的进程
08-20
C#获取当前运行的进程,代码中引入的using System.Diagnostics; 是要用到名称空间中的Process 类,本例将枚举windows当前正在运行的所有进程,并把这些进程信息显示在ListView列表中,这些进程信息主要是进程ID,优先级,专用内存大小,启动时间并填入ListView控件中,程序利用进程获取进程数组。
获取进程ID
08-20
编译环境:VC++6.0 ; 语言:VC++,MFC基于对话框的编程 ;功能:通过映像名称(PS:QQ的映像名称为QQ.exe *32,通过资源管理器即可看到)获取进程ID ; 说明:仅有一个功能,个人兴趣所写,不足之处请指点批评。
获取进程
06-24
用C语言实现获取linux进程中的进程号、父进程号、组进程
C#获取运行程序的进程ID
weixin_34221276的博客
06-16 1200
 C#获取运行程序的进程ID [DllImport("User32.dll", CharSet = CharSet.Auto)] public static extern int GetWindowThreadProcessId(IntPtr hwnd, out int ID); [DllImport("user32.dll", EntryPoint = "FindWindow"...
函数简介——获取进程相关ID函数
weixin_42645653的博客
11-14 2565
说明:   本文章旨在总结备份、方便以后查询,由于是个人总结,如有不对,欢迎指正;另外,内容大部分来自网络、书籍、和各类手册,如若侵权请告知,马上删帖致歉。   QQ 群 号:513683159 【相互学习】 内容来源:   《Linux系统编程》   《Linux网络编程》 一、函数介绍   位于:unistd.h / 获取调用进程进程ID. / extern __pid_t getpid (void) __THROW; / 获取调用进程的父进程进程ID / extern __pid_t
获取进程和线程id函数简介
^_^TaeYang-Jade^_^
11-25 1465
C语言getpid函数简介   函数功能:取得进程识别码   相关函数:fork,kill,getpid   头文件:旧版本:unistd.h,在VC++6.0下可以用process.h   函数原型:旧的原型为pid_t getpid(void);,推荐使用int _getpid( void );这种形式。注意,函数名第一个字符是下划线。
在windows中有几个获取进程列表的api
05-25
在Windows中,获取进程列表的API有以下几个: 1. EnumProcesses:该函数可以列举系统中所有进程的PID,但无法获取进程详细信息。 2. CreateToolhelp32Snapshot:该函数可以创建系统进程的快照,然后可以使用其他函数(如Process32First和Process32Next)遍历进程列表并获取详细信息。 3. NtQuerySystemInformation:该函数可以获取系统信息,包括进程列表和详细信息。但是,它需要使用系统调用而不是标准Win32 API,因此使用它需要更高的权限。 4. PSAPI:该库提供了多个函数来获取进程和模块信息,如EnumProcesses,EnumProcessModules等。 需要注意的是,以上API都需要管理员权限才能获取完整的进程列表和详细信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值