android 枚举运行进程,用ZwQuerySystemInformation枚举进程

最新推荐文章于 2022-04-09 15:01:44 发布
最新推荐文章于 2022-04-09 15:01:44 发布
阅读量126 收藏
点赞数
文章标签: android 枚举运行进程

#include

#define SystemProcessesAndThreadsInformation 5

NTKERNELAPI NTSTATUS ZwQuerySystemInformation(

IN ULONG SystemInformationClass, // SYSTEM_INFORMATION_CLASS

IN OUT PVOID SystemInformation, //需要_SYSTEM_PROCESSES

IN ULONG SystemInformationLength,

OUT PULONG ReturnLength OPTIONAL);

typedef struct _SYSTEM_PROCESSES

{

ULONG NextEntryDelta;

ULONG ThreadCount;

ULONG Reserved[6];

LARGE_INTEGER CreateTime;

LARGE_INTEGER UserTime;

LARGE_INTEGER KernelTime;

UNICODE_STRING ProcessName;

KPRIORITY BasePriority;

ULONG ProcessId;

ULONG InheritedFromProcessId;

ULONG HandleCount;

ULONG Reserved2[2];

VM_COUNTERS VmCounters;

IO_COUNTERS IoCounters;

} _SYSTEM_PROCESSES,*PSYSTEM_PROCESSES;

BOOLEAN EnumProcessList()

{

ULONG cbBuffer = 0x8000; //等下开辟缓冲区的长度,先设为0x8000字节

PVOID pBuffer = NULL; //用来执行缓冲区

NTSTATUS rc; //返回值,等下获取信息的返回值放这里面

LPWSTR pszProcessName; //进程名

PSYSTEM_PROCESSES pInfo; //指向SYSTEM_PROCESSES的指针

do

{

pBuffer = ExAllocatePool (NonPagedPool, cbBuffer); //开辟内存,这里需要非分页内存

if (pBuffer == NULL)

return FALSE; //申请不成功,直接返回失败,不继续了

rc = ZwQuerySystemInformation(SystemProcessesAndThreadsInformation, pBuffer, cbBuffer, NULL);

//获取

if ( rc == STATUS_INFO_LENGTH_MISMATCH) //缓冲区不足

{

ExFreePool(pBuffer);

//缓冲区不足,则先把申请好的删掉,再把申请内存的大小扩大一倍,等下再申请

cbBuffer *= 2;

}

else if (!NT_SUCCESS(rc))

{

ExFreePool(pBuffer);

//其它错误,直接返回失败,不继续

return FALSE;

}

}while (rc == STATUS_INFO_LENGTH_MISMATCH);//直到有充足的缓冲区

//如果没有足够的缓冲区,就会接着循环,直到足够,然后获得了信息

pInfo = (PSYSTEM_PROCESSES)pBuffer;

//这时,缓冲区里就是返回来的进程信息了

while (1)

{

pszProcessName = pInfo->ProcessName.Buffer;

//获取进程名

if (pszProcessName == NULL)

{

pszProcessName = L"NULL";

//为空 则输出时也显示NULL

}

if (pInfo->ProcessId == 0)

{

DbgPrint("PID %5d System Idle Process", pInfo->ProcessId);

//PID是0,系统的

}

else

{

DbgPrint("PID %5d %ws", pInfo->ProcessId, pInfo->ProcessName.Buffer);

//输出PID和进程名

}

if (pInfo->NextEntryDelta == 0)

{

break;

//如果没有下一个就结束

}

pInfo = (PSYSTEM_PROCESSES)(((PUCHAR)pInfo) + pInfo->NextEntryDelta);

//指向下一个

}

ExFreePool(pBuffer);

//全部结束,释放内存

}

void unload(PDRIVER_OBJECT pO)

{

KdPrint(("unload\n"));

}

NTSTATUS DriverEntry( PDRIVER_OBJECT pObj , PUNICODE_STRING path)

{

pObj->DriverUnload = unload;

DbgPrint("load\n");

EnumProcessList();

//功能都在这个函数里

return 0;

}

刘幺幺
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ZwQuerySystemInformation枚举进程线程的软件源码
04-10
ZwQuerySystemInformation枚举进程线程VB很实用的源码,精心挑选的精品源码
frida枚举进程模块,hook WS2_32.dll recv
friendan的专栏
03-19 1884
py文件: # -*- coding: utf-8 -*- import os import sys # reload(sys) # sys.setdefaultencoding( "utf-8" ) import importlib importlib.reload(sys) import frida # frida-ls-devices # frida-ps # frida-ps -U ...
枚举当前系统进程以及进程加载模块
C++ 永无止境
04-03 1万+
枚举当前系统进程的方法大致分一下几个步骤:一、 提升应用程序的进程权限///////////////自定义函数实现///////////////// BOOL PromotePrivilege(BOOL bEnable) { // 附给本进程特权,以便访问系统进程 HANDLE hToken; // 打开一个进程的访问令牌 if(::OpenProcessToken(::GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToken))
JAVA函数(方法)
热门推荐
[email protected]的博客
07-26 4万+
函数的概念: 函数是定义在类中的一段独立的代码块,用来实现某个功能。Java中,函数又被称为方法。 函数的主要作用是为了提高代码的复用性。 函数都是在栈内存中运行运行的函数处在栈顶。 函数格式:修饰符 返回值类型 函数名 ( [ 参数类型1 参数名1,参数类型2 参数名2.... ] ){ // [ ] ...
(转)SystemProcessesAndThreadsInformation
weixin_30493401的博客
01-25 182
http://hi.baidu.com/hanjdud8606/item/7a970408a95acc843d42e27f NTSTATUS NTAPI ZwQuerySystemInformation( ULONG SystemInformationClass, PVOID SystemInformation, ULONG Syst...
Android中的枚举
As_thin的博客
04-09 5980
在ARouter源码中发现使用到了枚举,说明枚举并不是不常见的,刚好枚举在我的视野中处于盲区,于是打算周末加班给拿下,扩展视野。 了解枚举之前首先说一下什么是常量和变量: 常量 - 声明后无法改变的量 变量 - 声明赋值后可以改变的量 枚举为常量,我们平时使用常量的地方都可以用枚举来代替! 可怕吗,敲了这么多代码,我竟然连这点常识都不知道!因为我只在书本中了解过,并没有真正应用过。 既然可以用枚举去代替我们平时的常量肯定是有原因的(不要为了用而用,根据具体需求,具体玩耍),为什么呢? 相比我们平时用到的方式
ZwQuerySystemInformation 查看系统进程信息
03-27
ZwQuerySystemInformation 查看系统进程信息
hook-zwquerysysteminformation.rar_hook_进程隐藏
07-14
ring 0 hook zwquerysysteminformation 可以达到隐藏进程操作
ZwQuerySystemInformation查找进程文件句柄
03-25
ZwQuerySystemInformation查找文件句柄
易语言强力打开结束进程模块
08-16
强力打开结束进程模块 系统结构:强力结束进程,强力打开进程,ZwQuerySystemInformation,取指针_字节集,RtlMoveMemory3,ZwOpenProcess,RtlMoveMemory1,ZwQueryInformationProcess,ZwDuplicateObject,ZwCreateJobObject...
Android-安卓进程跨app通信框架
08-13
本框架实现了安卓进程跨app通信的方便调用和封装
分析进程句柄_任务管理器获取进程模块的三两事
weixin_42509888的博客
01-11 489
前言第一次看到改进程名是在PChunter上,当时虽然觉得挺牛皮的,但是没深入去研究。最近看到病毒通过进程名来检测沙箱的一些文章,就打算用改进程名的方式来绕过检测。刚开始是打算研究任务管理器获取进程的方式,然后中间动手脚来修改进程名。后面搞的差不多后突然想到,一般这种病毒都是利用CreateToolhelp32Snapshot,Process32First和Process32Next这一套函数来实...
驱动枚举进程
爱杀之爪的矩阵
03-14 1955
Driver.cpp // DriEnumProcess.cpp : Defines the entry point for the console application.//#include "Driver.h"#include "ntddk.h"#include #include "stdarg.h"#include "stdio.h"#include "ntddkbd.h"
内核下枚举进程 (二)ZwQuerySystemInformation
10-09 773
说明: SYSTEM_INFORMATION_CLASS 的5号功能枚举进程信息。其是这个函数对应着ring3下的 NtQuerySystemInformation,但msdn上说win8以后ZwQuerySystemInformation函数已经不可用,本人也没有在win8下测试过。留给读者自己实验吧。顺便罗嗦一下,不像ring3下使用此函数是要先LoadLibrary,然后GetPr...
利用NtQuerySystemInformation函数遍历进程,遍历线程,获取线程挂起或运行状态
weixin_30709061的博客
06-03 546
? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 ...
ZwQuerySystemInformation枚举进程
chinghoi's blog
06-26 2724
ZwQuerySystemInformation函数的SystemProcessesAndThreadsInformation功能号实现驱动枚举进程:第一个参数为传入功能号, 第二个参数为输出进程信息的缓冲区, 为一个指向SYSTEM_PROCESS_INFORMATION结构体指针,结构的NextEntryOffset成员指向下一项目, 遍历此链表即可枚举进程,指向0则表示已达链表尾部第三个参数
【原创】枚举Android系统的进程、任务和服务的信息
weixin_30426065的博客
03-29 101
一、简介   在Android Market上,不乏各种各样的手机管理软件,360手机安全软件,QQ手机安全助手,开机自启动管理软件,等等之类的~这些软件给我的一个感觉是,做手机管理软件的都很NX,于是自己也想实现一个很小的功能,比如:枚举Android系统中进程Process、任务Task和服务Service的信息。   首先在网上收集资料,想了解一下大N们是如何编写这类软件的,但是找了半天...
枚举进程(ZwQuerySystemInformation)
KOOKNUT的博客
03-13 1537
枚举进程的另外一种方法,也是CreateToolhelp32Snapshot内部真实的调用枚举进程信息的函数,在ntdll下导出的函数ZwQuerySystemInformation。这个函数是ntdll动态库下的一个导出函数,我们首先需要获得ntdll的模块句柄,接下来查找函数ZwQuerySystemInformation的函数地址,进行函数指针强转之后,进行调用。ZwQuerySys...
android 枚举运行进程,android - 错误:程序类型已经存在:com.google.protobuf.DescriptorProtos $ EnumDescriptorProto $ Bu...
weixin_33470084的博客
05-28 328
几个小时后,我决定分享我的问题。(以及数小时的堆栈溢出后)根build.gradlebuildscript {repositories {google()jcenter()}dependencies {classpath 'com.android.tools.build:gradle:3.3.2'classpath 'com.google.gms:google-services:4.2.0'cla...
zwquerysysteminformation 获取进程路径
最新发布
05-01
zwquerysysteminformation 是Windows API中的一个函数,它的作用是获取系统信息。具体来说,它会返回一个指向SYSTEM_INFORMATION结构体的指针,这个结构体包含了许多系统信息,比如处理器数量、内存大小和当前时间...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值