NT内核函数枚举系统所有进程.

最新推荐文章于 2022-10-14 13:15:37 发布
最新推荐文章于 2022-10-14 13:15:37 发布
阅读量1.1k 收藏
点赞数
分类专栏: VC 文章标签: integer system struct access object class
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tangjian001/article/details/7284376
版权

//头文件部分.h


#define NT_SUCCESS(status)          ((NTSTATUS)(status)>=0)
#define STATUS_INFO_LENGTH_MISMATCH ((NTSTATUS)0xC0000004L)
#define STATUS_ACCESS_DENIED        ((NTSTATUS)0xC0000022L)
#define DEF_BUF_SIZE  1024

typedef LONG    NTSTATUS;
typedef ULONG   ACCESS_MASK;
typedef ULONG    KPRIORITY ;
typedef DWORD    ACCESS_MASK ;


BOOL EnumProcessInfo();


typedef enum _SYSTEM_INFORMATION_CLASS {
 SystemBasicInformation,                // 0 Y N
 SystemProcessorInformation,            // 1 Y N
 SystemPerformanceInformation,        // 2 Y N
 SystemTimeOfDayInformation,            // 3 Y N
 SystemNotImplemented1,                // 4 Y N
 SystemProcessesAndThreadsInformation, // 5 Y N
 SystemCallCounts,                    // 6 Y N
 SystemConfigurationInformation,        // 7 Y N
 SystemProcessorTimes,                // 8 Y N
 SystemGlobalFlag,                    // 9 Y Y
 SystemNotImplemented2,                // 10 Y N
 SystemModuleInformation,            // 11 Y N
 SystemLockInformation,                // 12 Y N
 SystemNotImplemented3,                // 13 Y N
 SystemNotImplemented4,                // 14 Y N
 SystemNotImplemented5,                // 15 Y N
 SystemHandleInformation,            // 16 Y N
 SystemObjectInformation,            // 17 Y N
 SystemPagefileInformation,          

最低0.47元/天 解锁文章
tangjian001
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内核进程总结
zhuhuibeishadiao
05-02 3591
我知道的有三种方法 这里的第三种和第二种是一样的 隐藏进程也可以在这么做手脚 但需要注意多线程,在操作前,理应加锁 可以参考这篇文章 http://blog.csdn.net/zfdyq0/article/details/41813747 1.暴力枚进程 通过PsLookupProcessByProcessId获得EPROCESS 第一个参数我们使用循环 填入0~6553
内核下枚进程(一)进程活动链
10-08 198
今天学会了一种在内核下枚进程的方法,写下来与大家共享。用到了的是EPROCESS 结构,EPROCESS 是一个关于进程的结构,此结构很庞大,包括的内容非常丰富.由于此结构未文档化所以用windbg来查看输入dt _eprocess命令查看该结构如下: ntdll!_EPROCESS +0x000 Pcb : _KPROCESS //进程控制...
NtQuerySystemInformation 枚进程
10-08 716
函数原型:NTSTATUS WINAPI NtQuerySystemInformation( _In_ SYSTEM_INFORMATION_CLASS SystemInformationClass, _Inout_ PVOID SystemInformation, _In_ ULONG...
驱动开发:内核中枚进线程与模块
CSDN
10-14 1万+
内核进程使用`PspCidTable` 这个未公开的函数,它能最大的好处是能得到进程的EPROCESS地址,由于是未公开的函数,所以我们需要变相的调用这个函数,通过`PsLookupProcessByProcessId`函数查到进程的EPROCESS,如果`PsLookupProcessByProcessId`返回失败,则证明此进程不存在,如果返回成功则把EPROCESS、PID、PPID、进程名等通过DbgPrint打印到屏幕上。
易语言源码NT进程.rar
03-30
易语言源码NT进程.rar 易语言源码NT进程.rar 易语言源码NT进程.rar 易语言源码NT进程.rar 易语言源码NT进程.rar 易语言源码NT进程.rar
Nt内核函数大全[文].pdf
10-11
Nt内核函数大全是Windows操作系统的核心组件之一,提供了大量的内核函数,供开发者调用,以实现各种系统级别的操作。本文档对Nt内核函数大全进行了详细的介绍,包括其功能、参数、返回值等方面的信息。 ...
NT进程.rar
03-11
在Windows NT内核系列操作系统(包括Windows NT、2000、XP、Server 2003、Vista、7、8、10等)中,进程是一项重要的系统管理任务,它允许用户或程序获取系统当前正在运行的所有进程的信息。这个"NT进程....
易语言NT进程.rar
02-23
总的来说,“易语言NT进程.rar”这个压缩包为学习和理解如何在易语言环境下实现Windows NT内核进程提供了一个实用的工具和参考资料,无论是对易语言开发者还是对想要了解系统编程的人员来说,都是一份...
windowsNt内核函数大全.doc
最新发布
05-15
综上所述,Windows NT内核函数提供了强大的底层操作系统管理功能,涵盖了设备驱动管理、性能监控与调试、内存管理与电源管理、对象管理以及注册表管理等多个方面。通过合理地使用这些函数,开发者可以构建出高效...
MFC枚进程内核句柄
12-01
用MFC写的一个枚进程内核句柄的工具,类似于XT或者process exp查看进程句柄的功能,运行效果见blog
NTAPI枚指定进程中指定模块创建的线程
热门推荐
Rprop
01-24 3万+
代码示例了如何使用API枚指定进程中指定模块创建的线程, 注意该方案存在一定局限性, 就是模块的起始地址和线程起始地址之间的关系无法保证, 可能存在漏掉的.
通过PspCidTable枚进程
liuhaidon1992的博客
01-08 302
如果当前进程为System进程,就意味着此次打开的内核对象访问权限属于内核,那么就使用内核句柄表, 内 核句柄与用户句柄不同的地方就在于内核句柄需要或上一个0x80000000即最高位置为1作为标识, 但是实际在使用句柄的时候还是不需要这个最高位值的。进程的句柄表由EPROCESS中的 ObjectTable成员进行管理, 句柄表有3种内存结构分别为一级表,二级表以及三级表。表的结构 由进程中的句...
进程 模块 堆栈
x
10-22 329
void walkProcess() { HANDLE hSnap = CreateToolhelp32Snapshot( TH32CS_SNAPPROCESS, 0 ); if(hSnap == INVALID_HANDLE_VALUE) return; PROCESSENTRY32 p32; p32.dwSize = sizeof(PROCES...
使用NtQuerySystemInformation遍历进程信息[详细篇]
weixin_42270114的博客
07-15 5878
使用NtQuerySystemInformation遍历进程信息[详细篇]
NT驱动框架及主要函数、宏
zyorz的博客
05-08 1256
主要函数DriverEntry和DriverUnload在单线程环境运行,处于System进程上下文。IRP分发函数DispatchCreate()对应IRP_MJ_CREATE DispatchRead()对应IRP_MJ_READ DispatchWrite()对应IRP_MJ_WRITE DispatchControl()对应IRP_MJ_DEVICE_CONTROLDispatchCl
Nt函数原型
weixin_30883271的博客
04-06 310
Nt函数原型 1 NTSTATUS 2 NTAPI 3 NtAcceptConnectPort( 4 OUT PHANDLE PortHandle, 5 IN PVOID PortIdentifier, 6 ...
VisualC++信息安全编程(5)获取windows登陆账户密码
tubaluer
01-06 346
Windows Logon Process,Windows NT 用户登陆程序,管理用户登录和退出。 因为登陆的域名和用户名是明文存储在winlogon进程里的,而Password是限定了查找本进程用户的密码<167-174: GetEnvironmentVariableW(L"USERNAME", UserName, 0x400); GetEnvironmentVariableW (L...
内核下枚进程 (二)ZwQuerySystemInformation
10-09 804
说明: SYSTEM_INFORMATION_CLASS 的5号功能枚进程信息。其是这个函数对应着ring3下的 NtQuerySystemInformation,但msdn上说win8以后ZwQuerySystemInformation函数已经不可用,本人也没有在win8下测试过。留给读者自己实验吧。顺便罗嗦一下,不像ring3下使用此函数是要先LoadLibrary,然后GetPr...
Windows NT内核关键函数详解
"本文主要介绍了NT内核函数的多种关键操作,包括驱动程序的加载、卸载、调试、系统调试控制、电源管理以及对象管理等多个方面。这些函数是Windows操作系统内核的重要组成部分,用于实现系统级的操作和控制。" 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值