_SYSTEM_PROCESS 32位与64位的结构

最新推荐文章于 2022-07-22 00:30:00 发布
最新推荐文章于 2022-07-22 00:30:00 发布
阅读量3.3k 收藏 1
点赞数 1 
typedef ULONG KPRIORITY;


typedef enum _SYSTEM_INFORMATION_CLASS   
{   
 SystemBasicInformation,                 //  0 Y N   
 SystemProcessorInformation,             //  1 Y N   
 SystemPerformanceInformation,           //  2 Y N   
 SystemTimeOfDayInformation,             //  3 Y N   
 SystemNotImplemented1,                  //  4 Y N   
 SystemProcessesAndThreadsInformation,   //  5 Y N   
 SystemCallCounts,                       //  6 Y N   
 SystemConfigurationInformation,         //  7 Y N   
 SystemProcessorTimes,                   //  8 Y N   
 SystemGlobalFlag,                       //  9 Y Y   
 SystemNotImplemented2,                  // 10 Y N   
 SystemModuleInformation,                // 11 Y N   
 SystemLockInformation,                  // 12 Y N   
 SystemNotImplemented3,                  // 13 Y N   
 SystemNotImplemented4,                  // 14 Y N   
 SystemNotImplemented5,                  // 15 Y N   
 SystemHandleInformation,                // 16 Y N   
 SystemObjectInformation,                // 17 Y N   
 SystemPagefileInformation,              // 18 Y N   
 SystemInstructionEmulationCounts,       // 19 Y N   
 SystemInvalidInfoClass1,                // 20   
 SystemCacheInformation,                 // 21 Y Y   
 SystemPoolTagInformation,               // 22 Y N   
 SystemProcessorStatistics,              // 23 Y N   
 SystemDpcInformation,                   // 24 Y Y   
 SystemNotImplemented6,                  // 25 Y N   
 SystemLoadImage,                        // 26 N Y   
 SystemUnloadImage,                      // 27 N Y   
 SystemTimeAdjustment,                   // 28 Y Y   
 SystemNotImplemented7,                  // 29 Y N   
 SystemNotImplemented8,                  // 30 Y N   
 SystemNotImplemented9,                  // 31 Y N   
 SystemCrashDumpInformation,             // 32 Y N   
 SystemExceptionInformation,             // 33 Y N   
 SystemCrashDumpStateInformation,        // 34 Y Y/N   
 SystemKernelDebuggerInformation,        // 35 Y N   
 SystemContextSwitchInformation,         // 36 Y N   
 SystemRegistryQuotaInformation,         // 37 Y Y   
 SystemLoadAndCallImage,                 // 38 N Y   
 SystemPrioritySeparation,               // 39 N Y   
 SystemNotImplemented10,                 // 40 Y N   
 SystemNotImplemented11,                 // 41 Y N   
 SystemInvalidInfoClass2,                // 42   
 SystemInvalidInfoClass3,                // 43   
 SystemTimeZoneInformation,              // 44 Y N   
 SystemLookasideInformation,             // 45 Y N   
 SystemSetTimeSlipEvent,                 // 46 N Y   
 SystemCreateSession,                    // 47 N Y   
 SystemDeleteSession,                    // 48 N Y   
 SystemInvalidInfoClass4,                // 49   
 SystemRangeStartInformation,            // 50 Y N   
 SystemVerifierInformation,              // 51 Y Y   
 SystemAddVerifier,                      // 52 N Y   
 SystemSessionProcessesInformation       // 53 Y N  
} SYSTEM_INFORMATION_CLASS;


typedef struct _LSA_UNICODE_STRING   
{   
 USHORT Length;   
 USHORT MaximumLength;   
 PWSTR Buffer;  
} LSA_UNICODE_STRING, *PLSA_UNICODE_STRING, UNICODE_STRING, *PUNICODE_STRING;


typedef struct _CLIENT_ID   
{   
 HANDLE UniqueProcess;   
 HANDLE UniqueThread;   
} CLIENT_ID;


typedef enum _THREAD_STATE   
{   
 StateInitialized,   
 StateReady,   
 StateRunning,   
 StateStandby,   
 StateTerminated,   
 StateWait,   
 StateTransition,   
 StateUnknown   
} THREAD_STATE; 


typedef enum _KWAIT_REASON   
{   
 Executive,   
 FreePage,   
 PageIn,   
 PoolAllocation,   
 DelayExecution,   
 Suspended,   
 UserRequest,   
 WrExecutive,   
 WrFreePage,   
 WrPageIn,   
 WrPoolAllocation,   
 WrDelayExecution,   
 WrSuspended,   
 WrUserRequest,   
 WrEventPair,   
 WrQueue,   
 WrLpcReceive,   
 WrLpcReply,   
 WrVirtualMemory,   
 WrPageOut,   
 WrRendezvous,   
 Spare2,   
 Spare3,   
 Spare4,   
 Spare5,   
 Spare6,   
 WrKernel   
} KWAIT_REASON; 


typedef struct _VM_COUNTERS   
{   
 ULONG PeakVirtualSize;       
 ULONG VirtualSize;                
 ULONG PageFaultCount;        
 ULONG PeakWorkingSetSize;    
 ULONG WorkingSetSize;           
 ULONG QuotaPeakPagedPoolUsage;      
 ULONG QuotaPagedPoolUsage;        
 ULONG QuotaPeakNonPagedPoolUsage;  
 ULONG QuotaNonPagedPoolUsage;      
 ULONG PagefileUsage;              
 ULONG PeakPagefileUsage;        
} VM_COUNTERS, *PVM_COUNTERS;


typedef struct _SYSTEM_THREADS_X86 
{   
 LARGE_INTEGER KernelTime;   
 LARGE_INTEGER UserTime;   
 LARGE_INTEGER CreateTime;   
 ULONG WaitTime;   
 PVOID StartAddress;   
 CLIENT_ID ClientId;   
 KPRIORITY Priority;   
 KPRIORITY BasePriority;   
 ULONG ContextSwitchCount;   
 THREAD_STATE State;   
 KWAIT_REASON WaitReason;  
} SYSTEM_THREADS_X86, *PSYSTEM_THREADS_X86;


typedef struct _SYSTEM_THREADS_X64
{   
 LARGE_INTEGER KernelTime;   
 LARGE_INTEGER UserTime;   
 LARGE_INTEGER CreateTime;   
 ULONG WaitTime;   
 PVOID StartAddress;   
 CLIENT_ID ClientId;   
 KPRIORITY Priority;   
 KPRIORITY BasePriority;   
 ULONG ContextSwitchCount;   
 THREAD_STATE ThreadState;   
 KWAIT_REASON WaitReason;   
 ULONG Reserved;
} SYSTEM_THREADS_X64, *PSYSTEM_THREADS_X64;


typedef struct _SYSTEM_PROCESSES_X86  
{   
 ULONG NextEntryDelta;   
 ULONG ThreadCount;   
 ULONG Reserved1[6];   
 LARGE_INTEGER CreateTime;   
 LARGE_INTEGER UserTime;   
 LARGE_INTEGER KernelTime;   
 UNICODE_STRING ProcessName;   
 KPRIORITY BasePriority;   
 ULONG ProcessId;   
 ULONG InheritedFromProcessId;   
 ULONG HandleCount;   
 ULONG Reserved2[2];   
 VM_COUNTERS  VmCounters;   
 IO_COUNTERS IoCounters;   
 SYSTEM_THREADS_X86 Threads[1];   
} SYSTEM_PROCESSES_X86 , *PSYSTEM_PROCESSES_X86;


typedef struct _SYSTEM_PROCESSES_X64
{
 ULONG NextEntryDelta; //构成结构序列的偏移量;
 ULONG ThreadCount; //线程数目;
 ULONG Reserved1[6];
 LARGE_INTEGER CreateTime; //创建时间;
 LARGE_INTEGER UserTime;//用户模式(Ring 3)的CPU时间;
 LARGE_INTEGER KernelTime; //内核模式(Ring 0)的CPU时间;
 UNICODE_STRING ProcessName; //进程名称;
 KPRIORITY BasePriority;//进程优先权;
 HANDLE ProcessId; //进程标识符;
 HANDLE InheritedFromProcessId; //父进程的标识符;
 ULONG HandleCount; //句柄数目;
 ULONG Reserved2[2];
 ULONG_PTR PageDirectoryBase;
 VM_COUNTERS  VmCounters; //虚拟存储器的结构,见下;
 SIZE_T PrivatePageCount;
 IO_COUNTERS IoCounters; //IO计数结构,见下;
 struct _SYSTEM_THREADS_X64 Threads[1]; //进程相关线程的结构数组
}SYSTEM_PROCESSES_X64,*PSYSTEM_PROCESSES_X64;


对应上32位和64位的_SYSTEM_PROCESS结构后就可以用ZwQuerySystemInformation进行枚举了



whatday
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【旧文章搬运】ZwQuerySystemInformation枚举进线程信息
weixin_30648963的博客
12-26 279
原文发表于百度空间,2008-10-15========================================================================== 很古老的东西了,写一写,权当练手吧.本来以为没什么难度,很科普很傻瓜的东西,但是写的时候还是遇到一些问题,进程信息正确,得到的线程信息总是不正确,后来分析了一下,发现这个ntdll sdk中定义的进程信息结构...
SYSTEM_PROCESSES
sdcode2011的专栏
12-17 1693
Native API乃Windows用户模式中为上层Win32 API提供接口的本机系统服务。平常我 们总是调用MS为我们提供的公用的Win32 API函数来实现来实现我们系统的功能。(PS:前 不久,偶写了一个Windows任务管理器,支持对桌面,进程/线程,系统性能,磁盘,环境 变量,事件日志,网络,设备驱动,Win32服务,共享,用户,系统及关机等信息的探测和 控制,完全基于Win3
_SYSTEM_THREAD_INFORMATION
denggengwen3333的博客
08-02 578
#ifdef _WIN64typedef __int64 KPRIORITY;#elsetypedef long KPRIORITY;#endif typedef struct _SYSTEM_THREAD_INFORMATION { LARGE_INTEGER KernelTime; LARGE_INTEGER UserTime; LARGE_INTEGER CreateTim...
SYSTEM_PROCESS_INFORMATION SYSTEM_THREAD_INFORMATION
angbagangzhe065140的博客
08-28 476
typedef ULONG KPRIORITY; typedef struct _CLIENT_ID { HANDLE UniqueProcess; HANDLE UniqueThread; } CLIENT_ID, *PCLIENT_ID; typedef enum _KWAIT_REASON { Executive, FreePage, PageI...
C++ 枚举进程中的线程
LYSM
09-01 991
CreateToolhelp32Snapshot HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); if(hProcessSnap == INVALID_HANDLE_VALUE){ cout << "创建进程快照失败" << endl; return FALSE; } PROCESSENTRY32 process = {sizeof(PROCESSENTRY32)}; for(Proc
32位64位下,SYSTEM_THREADS与SYSTEM_PROCESSES结构
VHeroin的博客
08-01 1447
32位的没有什么好说的,关键是64位的资料比较少。这个结构体,网上有说,但是不太准确,测试发现前半部分对了,后半部分不对(获取线程信息的时候不对)。最后结合一些例子和计算,整出来了. typedef struct _SYSTEM_THREADS {  LARGE_INTEGER  KernelTime;  LARGE_INTEGER  UserTime;  LARGE_INT
71117408_梅洛瑜_Operation system experiment report_3th1
08-08
5. 主要数据结构:使用五个线程函数对应五个进程,系统中不同进程的可用资源、已分配资源和最大需求资源存储在三个数组中。获取用户输入的需求队列后,程序首先通过银行家算法确保其安全性,满足条件后输出安全序列...
gaussian process in dynamic system.zip
07-10
该例程包含三个文件夹 主要是高斯过程在动态系统的应用 本例程主要使用了二阶的一个系统结构 三个程序分别代表高斯过程在动态系统中的验证,改变超参数sigman之后的预测分析,以及突然改变输入动态范围时的情况 ...
[Android][frameworks][HIDL]使用HIDL新建虚拟HAL以实现system_server与native进程双向通信(二)——踩坑篇
01-03
在上一篇中,我们已经搭建好了服务端的代码结构,并且保证编译通过; 但是由于各种坑的存在,我们无法直接让服务端跑起来,因此本篇不是写客户端调用,而是一篇和编译规则定义、selinux规则添加等相关的踩坑总集,...
计算机组成与结构:lecture 8 Operating System Support.pdf
06-14
操作系统支持在计算机组织与结构的学习中占据着至关重要的位置,特别是在第八讲中,主要探讨了操作系统的作用、进程管理以及内存管理。操作系统是计算机系统中最基础的系统程序,它为用户和计算机之间提供了一个接口...
oracle教程02_oracle体系结构.pptx
11-23
3. **后台进程**:如PMON(Process Monitor)、SMON(System Monitor)等,它们在数据库启动时自动启动,执行系统级别的监控和维护任务。 其中,一些关键的后台进程包括: - PMON:监控和清理资源,处理失败的进程...
【转】SYSTEM_HANDLE_INFORMATION
01-04 438
typedef struct _SYSTEM_HANDLE_INFORMATION{ ULONG ProcessId; UCHAR ObjectTypeNumber; UCHAR Flags; USHORT Handle; ...
Github每日精选(第6期):systeminforme Windows下的系统信息管理
haleycat的博客
07-22 548
这是一个强大的Windows 下的系统管理工具,包含进程,服务,网络,硬盘,cpu等信息的管理,里面的代码比较容易阅读,做相关方面的可以参考里面的代码。
挂起线程注入
拉塞尔的博客
04-11 689
首先,通过获得目标进程Id,再根据与进程Id获得目标进程的主线程Id,将主线程Id挂起,获得该线程的背景上下文,将该线程的Eip改为自己的ShellCode,最后恢复线程。 重要的函数顺序为:      OpenThread-->SuspendThread-->GetThreadContext-->获取EIP-->修改EIP-->SetThreadContext-->ResumeThread
隐藏进程-学习总结
yshshx的博客
12-05 523
原理 1向进程中注入dll 2dll的功能是:hook创建进程,和hook ZwSystemInformation
NtQuerySystemInformation的不同参数的结构
做一个快乐学习者
05-27 1036
__kernel_entry NTSTATUS NtQuerySystemInformation( SYSTEM_INFORMATION_CLASS SystemInformationClass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG ReturnLength ); typed...
【原创】X64 枚举 内核 符号~~~~
落笔飞花笑百生的博客
09-04 2705
typedef NTSTATUS (*ZWQUERYSYSTEMINFORMATION) ( IN ULONG SystemInformationClass, OUT PVOID SystemInformation, IN ULONG Length, OUT PULONG ReturnLength ); typedef unsigned long DWORD;
(转) SYSTEM_HANDLE_INFORMATION中ObjectTypeIndex的定义
weixin_33862514的博客
05-13 277
typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO{ USHORT UniqueProcessId; USHORT CreatorBackTraceIndex; UCHAR ObjectTypeIndex; UCHAR HandleAttributes; USHORT HandleValue; PVOID Object; ULONG Gr...
Windows驱动开发学习记录-遍历内核已加载模块之二(使用ZwQuerySystemInformation)
时空之中的灵魂
10-14 1925
1.原型 NTSTATUS ZwQuerySystemInformation( IN SYSTEM_INFORMATION_CLASS SystemInformationClass, OUT PVOID SystemInformation, IN ULONG SystemInformationLength, OUT PULONG ReturnLength); SystemInformationClass查询的系统信...
SYSTEM_PROCESS_INFORMATION 结构
最新发布
03-31
SYSTEM_PROCESS_INFORMATION 结构体是 Windows 操作系统内部使用的一种数据结构,用于描述系统中正在运行的进程的信息。该结构体定义如下: ```c typedef struct _SYSTEM_PROCESS_INFORMATION { ULONG NextEntryOffset; ULONG NumberOfThreads; LARGE_INTEGER Reserved[3]; LARGE_INTEGER CreateTime; LARGE_INTEGER UserTime; LARGE_INTEGER KernelTime; UNICODE_STRING ImageName; ULONG BasePriority; HANDLE ProcessId; HANDLE InheritedFromProcessId; } SYSTEM_PROCESS_INFORMATION, *PSYSTEM_PROCESS_INFORMATION; ``` 其中,各个字段的含义如下: - NextEntryOffset:下一个进程信息结构体在系统进程链表中的偏移量,如果没有下一个结构体,则为 0。 - NumberOfThreads:该进程包含的线程数目。 - Reserved:保留字段。 - CreateTime:进程创建时间。 - UserTime:进程在用户模式下运行的时间。 - KernelTime:进程在内核模式下运行的时间。 - ImageName:进程的映像名称(可执行文件的名称)。 - BasePriority:进程的基本优先级。 - ProcessId:进程的唯一标识符。 - InheritedFromProcessId:如果该进程是通过父进程继承而来,则为父进程的唯一标识符;否则为 0。 SYSTEM_PROCESS_INFORMATION 结构体通常用于系统监控工具或者进程管理工具中,可以通过 Windows API 获取系统进程链表中的所有进程信息,并进行相应的处理和分析。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值