ZwQuerySystemInformation 安全使用心得 Delphi 版。

最新推荐文章于 2021-07-05 16:41:56 发布
最新推荐文章于 2021-07-05 16:41:56 发布
阅读量499 收藏
点赞数
分类专栏: Delphi 文章标签: Delphi ZwQuerySystemInforma
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wang_80919/article/details/8833287
版权

希望大家多多评论,转载请注明出处。


作为 DELPHI 版本,需要引用 jwaNative, JwaWinType ,他们是 JEDI API 的一部分。JEDI 官网有下载。


先给出 2 个辅助函数 和 一些结构体。

type
      
  PRecord = ^TRecord;  
  TRecord = record
  end;  
      
  PSystemInformationList = ^TSystemInformationList;  
  TSystemInformationList = record
    Count: ULONG;  
    List: array [0 .. 0] of TRecord;  
  end;  
      
  PSYSTEM_HANDLE_Informations = ^TSYSTEM_HANDLE_Informations;  
  _SYSTEM_HANDLE_Informations = record
    Count: ULONG;  
    SH: array [0 .. 0] of _SYSTEM_HANDLE_INFORMATION;  
  end;  
      
  TSYSTEM_HANDLE_Informations = _SYSTEM_HANDLE_Informations;  
  SYSTEM_HANDLE_Informations = _SYSTEM_HANDLE_Informations;  
      
  PNM_INFO = ^TNM_INFO;  
      
  _NM_INFO = record
    hFile: THandle;  
    Info: _FILE_NAME_Information;  
    Name: array [0 .. MAX_PATH - 1] of WideChar;  
  end;  
      
  TNM_INFO = _NM_INFO;  
  NM_INFO = _NM_INFO;  
      
Function GetSystemInformationClassSize(Const ATableType: SYSTEM_INFORMATION_CLASS; Const Count: ULONG): ULONG;  
begin
  Result := 0;  
  case ATableType of
    SystemBasicInformation:  
      Result := $002C;  
    SystemProcessorInformation:  
      Result := $0000C;  
    SystemPerformanceInformation:  
      Result := $0138;  
    // SystemTimeInformation: Result := $0020;  
    // SystemPathInformation: Result := $0;  
    // SystemProcessInformation: Result := $00C8 + Count;  
    // SystemCallInformation: Result := $0018 + (Count * $0004);  
    SystemConfigurationInformation:  
      Result := $0018;  
    // SystemProcessorCounters: Result := $0030 + Count;//per cpu  
    SystemGlobalFlag:  
      Result := $0004; // (fails if size != 4)  
    // SystemCallTimeInformation: Result := $0;  
    SystemModuleInformation:  
      Result := $0004 + (Count * Sizeof(SYSTEM_MODULE_INFORMATION)); //(n * 0x011C)  
    SystemLockInformation:  
      Result := $0004 + (Count * Sizeof(SYSTEM_LOCK_INFORMATION)); //(n * 0x0024)  
    // SystemStackTraceInformation: Result := $0;  
    // SystemPagedPoolInformation: Result := $0;  
    // SystemNonPagedPoolInformation: Result := $0;  
    SystemHandleInformation:  
      Result := $0004 + (Count * Sizeof(SYSTEM_HANDLE_INFORMATION)); //(n * 0x0010)  
    // SystemObjectTypeInformation: Result := $0038+ + (Count * $0030);// +)  
    SystemPageFileInformation:  
      Result := $0018 + (Count * Sizeof(SYSTEM_PAGEFILE_INFORMATION));  
    // SystemVdmInstemulInformation: Result := $0088;  
    // SystemVdmBopInformation: Result := $0;  
    SystemCacheInformation:  
      Result := $0024;  
    SystemPoolTagInformation:  
      Result := $0004 + (Count * Sizeof(SYSTEM_POOL_TAG_INFORMATION)); // (n * 0x001C)  
    // SystemInterruptInformation: Result := $0000 + Count;//, or 0x0018 per cpu  
    SystemDpcInformation:  
      Result := $0014;  
    // SystemFullMemoryInformation: Result := $0;  
    // SystemLoadDriver: Result := $0018;//, set mode only  
    // SystemUnloadDriver: Result := $0004;//, set mode only  
    // SystemTimeAdjustmentInformation: Result := $000C;//, 0x0008 writeable  
    // SystemSummaryMemoryInformation: Result := $0;  
    // SystemNextEventIdInformation: Result := $0;  
    // SystemEventIdsInformation: Result := $0;  
    SystemCrashDumpInformation:  
      Result := $0004;  
    SystemExceptionInformation:  
      Result := $0010;  
    SystemCrashDumpStateInformation:  
      Result := $0004;  
    // SystemDebuggerInformation: Result := $0002;  
    SystemContextSwitchInformation:  
      Result := $0030;  
    SystemRegistryQuotaInformation:  
      Result := $000C;  
    // SystemAddDriver: Result := $0008;//, set mode only  
    // SystemPrioritySeparationInformatio: Result := $0004;//, set mode only  
    // SystemPlugPlayBusInformation: Result := $0;  
    // SystemDockInformation: Result := $0;  
    // SystemPowerInfo: Result := $0060;// (XP only!)  
    // SystemProcessorSpeedInformation: Result := $000C;// (XP only!)  
    SystemTimeZoneInformation:  
      Result := $00AC;  
    SystemLookasideInformation:  
      Result := Count * $0020;  
    SystemSetTimeSlipEvent:  
      Result := $0;  
    SystemCreateSession:  
      Result := $0;  
    SystemDeleteSession:  
      Result := $0;  
    SystemInvalidInfoClass1:  
      Result := $0;  
    SystemRangeStartInformation:  
      Result := $0004; // (fails if size != 4)  
    SystemVerifierInformation:  
      Result := $0;  
    SystemAddVerifier:  
      Result := $0;  
    SystemSessionProcessesInformation:  
      Result := $0;  
  end;  
end;  
      
Function GetSystemInformationClassHasCount(Const ATableType: SYSTEM_INFORMATION_CLASS): BOOL;  
begin
  Result := False;  
  case ATableType of
    // SystemProcessInformation,  
    // SystemCallInformation,  
    // SystemProcessorCounters,  
    SystemModuleInformation,  
    SystemLockInformation,  
    SystemHandleInformation,  
    // SystemObjectTypeInformation,  
    //SystemPageFileInformation, //好像这个还不确定。  
    // SystemInterruptInformation,  
    SystemPoolTagInformation:  
      Result := True;  
  end;  
  //可以 和 GetSystemInformationClassSize 配合使用。  
end;

上面的 NM_INFO 和本文无关。


大家 可以 方便的使用 GetSystemInformationTable 来 获取所需的系统信息数据。

Function GetSystemInformationTable(hHeap: THandle; Const ATableType: SYSTEM_INFORMATION_CLASS; var buffSize: ULONG): PVOID;  
var
  OldPrivilegeAttributes: ULONG;  
  hFile, hQuery: THandle;  
  Status: NTSTATUS;  
  cbBuffer: Cardinal;  
  AVOID: PVOID;  
  MinBufSize,  
  ReturnLength: ULONG;  
  PReturnLength: PULONG;  
begin
  buffSize := 0;  
  Result := nil;  
  if not EnableDebugPrivilege(GetCurrentProcess, True, OldPrivilegeAttributes) then
    Exit;  
  try
    ReturnLength := 0;  
    cbBuffer := 0;  
    AVOID := nil;  
    PReturnLength := Addr(ReturnLength);  
    Status := ZwQuerySystemInformation(ATableType, AVOID, 0, PReturnLength);  
    if (ReturnLength > 0) then // ReturnLength 一个结构的大小。  
    begin
      cbBuffer := ReturnLength;  
      MinBufSize := ReturnLength;  
      AVOID := HeapAlloc(hHeap, 0 or HEAP_GENERATE_EXCEPTIONS, cbBuffer);  
      if not Assigned(AVOID) then
        Exit;  
      try
        ZeroMemory(AVOID, cbBuffer);  
        Status := ZwQuerySystemInformation(ATableType, AVOID, cbBuffer, PReturnLength);  
        if NTSTATUS_SUCCESS(Status) then
        begin
          Result := AVOID;  
          buffSize := cbBuffer;  
        end
        else if (Status = STATUS_INFO_LENGTH_MISMATCH) and GetSystemInformationClassHasCount(ATableType) then
        begin
          //调试中,下一秒,也许就不够用了。不调试,大概也需要多申请些空间  
          //cbBuffer := GetSystemInformationClassSize(ATableType, PSystemInformationList(AVOID).Count + 100);  
          cbBuffer := Sizeof(PSystemInformationList(AVOID).Count) +  
            (MinBufSize - Sizeof(PSystemInformationList(AVOID).Count)) * (PSystemInformationList(AVOID).Count + 100);  
          HeapFree(hHeap, 0 or HEAP_GENERATE_EXCEPTIONS, AVOID);  
          AVOID := HeapAlloc(hHeap, 0 or HEAP_GENERATE_EXCEPTIONS, cbBuffer);  
          if not Assigned(AVOID) then
            Exit;  
          try
            ZeroMemory(AVOID, cbBuffer);  
            Status := ZwQuerySystemInformation(ATableType, AVOID, cbBuffer, PReturnLength);  
            if NTSTATUS_SUCCESS(Status) then
            begin
              Result := AVOID;  
              buffSize := cbBuffer;  
            end
            else
            begin
              HeapFree(hHeap, 0 or HEAP_GENERATE_EXCEPTIONS, AVOID);  
            end;  
          finally
          end;  
        end
        else
        begin
          HeapFree(hHeap, 0 or HEAP_GENERATE_EXCEPTIONS, AVOID);  
          cbBuffer := $10000;  
          repeat
            AVOID := HeapAlloc(hHeap, 0 or HEAP_GENERATE_EXCEPTIONS, cbBuffer);  
            if not Assigned(AVOID) then
              Exit;  
            ZeroMemory(AVOID, cbBuffer);  
            Status := ZwQuerySystemInformation(ATableType, AVOID, cbBuffer, PReturnLength);  
            if (Status = STATUS_INFO_LENGTH_MISMATCH) then
            begin
              HeapFree(hHeap, 0 or HEAP_GENERATE_EXCEPTIONS, AVOID);  
              cbBuffer := cbBuffer * 2;  
            end;  
            if cbBuffer > $1000000 then
            begin
              Exit;  
            end;  
          until (Status <> STATUS_INFO_LENGTH_MISMATCH);  
          if NTSTATUS_SUCCESS(Status) then
          begin
            Result := AVOID;  
            buffSize := cbBuffer;  
          end
          else
          begin
            HeapFree(hHeap, 0 or HEAP_GENERATE_EXCEPTIONS, AVOID);  
          end;  
        end;  
      finally
      end;  
    end
    else
    begin
      Result := nil;  
      buffSize := 0;  
    end;  
  finally
    SetDebugPrivilege(GetCurrentProcess, OldPrivilegeAttributes, OldPrivilegeAttributes);  
  end;  
end;



第一次 ZwQuerySystemInformation,主要是为了返回 ReturnLength,这个是 最小数据大小,一般对于单个的数据,就直接用这个值。但是对于多个的数据,这个值就是 每一个数据项的大小加上 4 。

第二次调用 ZwQuerySystemInformation,返回了一个数据区,如果多个的数据,肯定会 Status = STATUS_INFO_LENGTH_MISMATCH,所以需要第三次调用。大小有 2 种办法获取(具体看代码)。

如果不确定是不是 多个数据,但是又出现空间不够用的情况,就需要用网络上大家常见的循环增大空间的办法了。


另外 hHeap := GetProcessHeap; 可以得到 hHeap ,而且空间的申请,不一定非要用这个,也可以用  GetMem 等。


最后补上 权限提升函数。

Function SetDebugPrivilege(Const hProcess: THandle; Const PrivilegeAttributes: ULONG; 
  var OldPrivilegeAttributes: ULONG): Boolean; 
var
  hToken: THandle; 
  tp: TOKEN_PRIVILEGES; 
  NewPrivilegeAttributes: ULONG; 
  ReturnLength: ULONG; 
  hProcessToken: THandle; 
begin
  hToken := NULL_Handle; 
  Result := False; 
  OldPrivilegeAttributes := SE_PRIVILEGE_ENABLED_BY_DEFAULT; 
  NewPrivilegeAttributes := PrivilegeAttributes; 
  hProcessToken := hProcess; 
  if hProcessToken = NULL_Handle then
  begin
    hProcessToken := GetCurrentProcess; 
  end; 
  if (OpenProcessToken(hProcessToken, TOKEN_ADJUST_PRIVILEGES, hToken)) // 获得进程访问令牌的句柄 
  then
  begin
    try
      tp.PrivilegeCount := 1; 
      LookupPrivilegeValue(nil, SE_DEBUG_NAME, tp.Privileges[0].Luid); // 查询进程的权限,获取一个权限对应的LUID值 
      OldPrivilegeAttributes := tp.Privileges[0].Attributes; 
      tp.Privileges[0].Attributes := NewPrivilegeAttributes; 
      Result := AdjustTokenPrivileges(hToken, False, tp, sizeof(tp), nil, ReturnLength); // 判断令牌权限,对这个访问令牌进行修改 
    finally
      CloseHandle(hToken); 
    end; 
  end; 
end; 
                 
// 提升当前进程具有权限 
Function EnableDebugPrivilege(Const hProcess: THandle; Const Enable: Boolean; 
  var OldPrivilegeAttributes: ULONG): Boolean; 
var
  hToken: THandle; 
  tp: TOKEN_PRIVILEGES; 
  ReturnLength: ULONG; 
  hProcessToken: THandle; 
begin
  hToken := NULL_Handle; 
  Result := False; 
  OldPrivilegeAttributes := SE_PRIVILEGE_ENABLED_BY_DEFAULT; 
  hProcessToken := hProcess; 
  if hProcessToken = NULL_Handle then
  begin
    hProcessToken := GetCurrentProcess; 
  end; 
  if (OpenProcessToken(hProcessToken, TOKEN_ADJUST_PRIVILEGES, hToken)) // 获得进程访问令牌的句柄 
  then
  begin
    try
      tp.PrivilegeCount := 1; 
      LookupPrivilegeValue(nil, SE_DEBUG_NAME, tp.Privileges[0].Luid); // 查询进程的权限,获取一个权限对应的LUID值 
      OldPrivilegeAttributes := tp.Privileges[0].Attributes; 
      if Enable then
      begin
        tp.Privileges[0].Attributes := tp.Privileges[0].Attributes or SE_PRIVILEGE_ENABLED; 
        // tp.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED; 
      end
      else
      begin
        tp.Privileges[0].Attributes := tp.Privileges[0].Attributes and (not SE_PRIVILEGE_ENABLED); 
        // tp.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED_BY_DEFAULT; 
        // tp.Privileges[0].Attributes := 0; 
      end; 
      Result := AdjustTokenPrivileges(hToken, False, tp, sizeof(tp), nil, ReturnLength); // 判断令牌权限,对这个访问令牌进行修改 
    finally
      CloseHandle(hToken); 
    end; 
  end; 
end;


wang_80919
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
枚举进程(ZwQuerySystemInformation)
KOOKNUT的博客
03-13 1552
枚举进程的另外一种方法,也是CreateToolhelp32Snapshot内部真实的调用枚举进程信息的函数,在ntdll下导出的函数ZwQuerySystemInformation。这个函数是ntdll动态库下的一个导出函数,我们首先需要获得ntdll的模块句柄,接下来查找函数ZwQuerySystemInformation的函数地址,进行函数指针强转之后,进行调用。ZwQuerySys...
ZwQuerySystemInformation 安全使用心得 Delphi
weixin_30462049的博客
07-24 298
作为DELPHI本,需要引用jwaNative,JwaWinType,他们是JEDIAPI的一部分。JEDI官网有下载。 先给出2个辅助函数和一些结构体。 type PRecord=^TRecord; TRecord=record end; PSystemInformationList...
劫持ZwQuerySystemInformation进行进程隐藏
苞米地里捉小鸡的博客
10-14 945
背景 进程隐藏,顾名思义就是运行注入程序之后,可以在任务管理器中让可见的目标进程消失。 当然,进程隐藏的方法有很多,例如 DLL 劫持、DLL注入、代码注入、进程内存替换、HOOK API 等等。我们本文要介绍的就是 HOOK API 函数 ZwQuerySystemInformation 实现的隐藏指定进程。 主要思路是通过Hook API技术抓ZwQuerySystemInformation函数,对它获取的进程列表信息进行修改,把有我们要隐藏的进程信息从中去掉,那么 ZwQuerySystemIn
ZwQuerySystemInformation使用
huangai93的专栏
07-01 820
该函数存在于NTDLL.DLL动态链接库中。NTDLL.DLL负责ring3与ring0之间的通信。当使用子系统方式进行系统调用的时候,ntdll.dll和SSDT会配合使用。关于SSDT技术以后会讲解到。 关于ZwQuerySystemInformation这个函数可以用来查询进程信息、内核信息、硬件信息(例如CPU数目)、句柄信息、时间信息等54个系统信息。 该函数的原型是 NTSTAT
ZwQuerySystemInformation枚举内核模块及简单应用
weixin_30832405的博客
07-27 125
简单说,即调用第11号功能,枚举一下内核中已加载的模块。部分代码如下://功能号为11,先获取所需的缓冲区大小ZwQuerySystemInformation(SystemModuleInformation,NULL,0,&needlen);//申请内存ZwAllocateVirtualMemory(NtCurrentProcess(),(PVOID*)&pBuf,0,&n...
关于未公开函数ZwQuerySystemInformation使用
热门推荐
行者无疆的专栏
07-16 1万+
最近看一些关于内核方面的资料,碰到未公开函数,未能在微软官方找到答案,从网上了解到一些信息,摘录下来备用。       我看到驱动程序调用的一段代码的使用: ULONG GetModuleBase(PCHAR szModuleName) { ULONG uSize = 0x10000; PVOID pModuleInfo = ExAllocatePoolWithTag(NonP
ZwQuerySystemInformation
friendan的专栏
09-11 3155
ZwQuerySystemInformation.h #ifndef ZwQuerySystemInformation_H_ #define ZwQuerySystemInformation_H_ #include typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation,
ZwQuerySystemInformation 学习
Flyour的博客
09-09 2096
https://blog.csdn.net/suppercoder/article/details/9341941 这是一篇介绍分别在Ring0 和 Ring3 下是使用ZwQuerySystemInformation 函数来获取一些系统信息的函数。比如可以获取进程表和句柄表。可以参考看看。 //声明ZwQueryAyatemInformation NTSTATUS ZwQuerySystemI...
软件安全期末总结
夏日 の blog
07-05 6241
软件自身安全(软件缺陷与漏洞)、恶意软件攻击与检测、软件逆向分析(软件破解)与防护按漏洞可能对系统造成的直接威胁划分获取访问权限漏洞、权限提升漏洞、拒绝服务攻击漏洞、恶意软件植入漏洞、数据丢失或泄露漏洞等按漏洞的成因划分输入验证错误、访问验证错误、竞争条件错误、意外情况处理错误、设计错误、配置错误、环境错误等按漏洞的严重等级划分可分为高、中、低三个级别远程和本地管理员对应为高,普通用户权限、权限提升、读取受限文件远程和本地拒绝服务对应为中,远程非授权文件存取、口令恢复、欺骗。
ZwQuerySystemInformation获取进程列表信息
04-24
测试环境Delphi2009,Windows10。能够通过ZwQuerySystemInformation获取进程信息块,详细的记录类型的参数都标注清楚的。这个函数相对于进程快照有一个缺陷,不能及时得获取我自己进程的信息。(可能是我自己哪里...
ZwQuerySystemInformation 查看系统进程信息
03-27
5. **处理安全问题**: 使用`ZwQuerySystemInformation`需要相应的权限,普通用户可能无法直接调用。通常,需要以管理员权限运行程序或者使用适当的权限提升机制。 ### 应用场景 - **系统监控**: 开发系统监控工具...
获得系统的总信息,如CPU使用率,内存使用率等.如何取得像任务管理器的,进程CPU占用率啊_ZwQuerySystemInformation详解
03-20
`ZwQuerySystemInformation`函数的使用通常涉及以下几个步骤: 1. **定义系统信息类**:首先,你需要确定要查询的系统信息类型。例如,要获取CPU使用率,你需要使用`SystemProcessInformation`信息类。内存使用情况...
微软未公开函数ZwQuerySystemInformation使用方法(vb编程专用)
08-18
### 微软未公开函数ZwQuerySystemInformation使用方法(vb编程专用) 在VB编程领域,使用API接口是常见的技术手段之一。然而,并不是所有的API都得到了充分的文档支持,尤其是那些未公开或者较少被提及的API。...
Delphi下真正隐藏进程的代码
04-03
Delphi中,要实现这样的功能,开发者可能需要使用WinAPI函数,比如`NtQuerySystemInformation`或`ZwQuerySystemInformation`,这些函数允许低级别的系统信息查询。通过调用这些函数并提供适当的参数,可以获取系统...
chromedriver-mac-arm64_126.0.6474.0.zip
07-31
chromedriver-mac-arm64_126.0.6474.0.zip
chromedriver-mac-arm64_128.0.6548.0.zip
07-31
chromedriver-mac-arm64_128.0.6548.0.zip
MySQL查询加速器:利用Query Cache提升效率
07-31
MySQL是一个流行的开源关系型数据库管理系统(RDBMS),广泛用于Web应用程序的后端数据存储。它基于结构化查询语言(SQL)来管理数据,并且是LAMP(Linux, Apache, MySQL, PHP/Python/Perl)技术栈的一部分,这个技术栈常用于构建动态网站和Web应用程序。 MySQL的特点包括: - **开放源代码**:MySQL的源代码是公开的,任何人都可以自由使用和修改。 - **跨平台**:MySQL可以在多种操作系统上运行,包括Linux、Windows、macOS等。 - **高性能**:MySQL以其快速的查询处理和良好的性能而闻名。 - **可靠性**:MySQL提供了多种机制来确保数据的完整性和可靠性,包括事务支持、备份和恢复功能。 - **易于使用**:MySQL提供了简单直观的界面和丰富的文档,便于用户学习和使用。 - **可扩展性**:MySQL支持从小型应用到大型企业级应用的扩展。 - **社区支持**:由于其广泛的使用,MySQL拥有一个活跃的开发者社区,提供大量的资源和支持。 MySQL被广泛应用于各种场景,包括在线事务处理(OL
Objective-C语言的基础教程.md
最新发布
07-31
Objective-C是一种面向对象的编程语言,是C语言的扩展。它主要用于苹果的iOS和macOS应用程序开发。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值