_SYSTEM_PROCESS 32位与64位的结构

最新推荐文章于 2024-02-07 11:42:06 发布
最新推荐文章于 2024-02-07 11:42:06 发布
阅读量3.3k 收藏 1
点赞数 1 
typedef ULONG KPRIORITY;


typedef enum _SYSTEM_INFORMATION_CLASS   
{   
 SystemBasicInformation,                 //  0 Y N   
 SystemProcessorInformation,             //  1 Y N   
 SystemPerformanceInformation,           //  2 Y N   
 SystemTimeOfDayInformation,             //  3 Y N   
 SystemNotImplemented1,                  //  4 Y N   
 SystemProcessesAndThreadsInformation,   //  5 Y N   
 SystemCallCounts,                       //  6 Y N   
 SystemConfigurationInformation,         //  7 Y N   
 SystemProcessorTimes,                   //  8 Y N   
 SystemGlobalFlag,                       //  9 Y Y   
 SystemNotImplemented2,                  // 10 Y N   
 SystemModuleInformation,                // 11 Y N   
 SystemLockInformation,                  // 12 Y N   
 SystemNotImplemented3,                  // 13 Y N   
 SystemNotImplemented4,                  // 14 Y N   
 SystemNotImplemented5,                  // 15 Y N   
 SystemHandleInformation,                // 16 Y N   
 SystemObjectInformation,                // 17 Y N   
 SystemPagefileInformation,              // 18 Y N   
 SystemInstructionEmulationCounts,       // 19 Y N   
 SystemInvalidInfoClass1,                // 20   
 SystemCacheInformation,                 // 21 Y Y   
 SystemPoolTagInformation,               // 22 Y N   
 SystemProcessorStatistics,              // 23 Y N   
 SystemDpcInformation,                   // 24 Y Y   
 SystemNotImplemented6,                  // 25 Y N   
 SystemLoadImage,                        // 26 N Y   
 SystemUnloadImage,                      // 27 N Y   
 SystemTimeAdjustment,                   // 28 Y Y   
 SystemNotImplemented7,                  // 29 Y N   
 SystemNotImplemented8,                  // 30 Y N   
 SystemNotImplemented9,                  // 31 Y N   
 SystemCrashDumpInformation,             // 32 Y N   
 SystemExceptionInformation,             // 33 Y N   
 SystemCrashDumpStateInformation,        // 34 Y Y/N   
 SystemKernelDebuggerInformation,        // 35 Y N   
 SystemContextSwitchInformation,         // 36 Y N   
 SystemRegistryQuotaInformation,         // 37 Y Y   
 SystemLoadAndCallImage,                 // 38 N Y   
 SystemPrioritySeparation,               // 39 N Y   
 SystemNotImplemented10,                 // 40 Y N   
 SystemNotImplemented11,                 // 41 Y N   
 SystemInvalidInfoClass2,                // 42   
 SystemInvalidInfoClass3,                // 43   
 SystemTimeZoneInformation,              // 44 Y N   
 SystemLookasideInformation,             // 45 Y N   
 SystemSetTimeSlipEvent,                 // 46 N Y   
 SystemCreateSession,                    // 47 N Y   
 SystemDeleteSession,                    // 48 N Y   
 SystemInvalidInfoClass4,                // 49   
 SystemRangeStartInformation,            // 50 Y N   
 SystemVerifierInformation,              // 51 Y Y   
 SystemAddVerifier,                      // 52 N Y   
 SystemSessionProcessesInformation       // 53 Y N  
} SYSTEM_INFORMATION_CLASS;


typedef struct _LSA_UNICODE_STRING   
{   
 USHORT Length;   
 USHORT MaximumLength;   
 PWSTR Buffer;  
} LSA_UNICODE_STRING, *PLSA_UNICODE_STRING, UNICODE_STRING, *PUNICODE_STRING;


typedef struct _CLIENT_ID   
{   
 HANDLE UniqueProcess;   
 HANDLE UniqueThread;   
} CLIENT_ID;


typedef enum _THREAD_STATE   
{   
 StateInitialized,   
 StateReady,   
 StateRunning,   
 StateStandby,   
 StateTerminated,   
 StateWait,   
 StateTransition,   
 StateUnknown   
} THREAD_STATE; 


typedef enum _KWAIT_REASON   
{   
 Executive,   
 FreePage,   
 PageIn,   
 PoolAllocation,   
 DelayExecution,   
 Suspended,   
 UserRequest,   
 WrExecutive,   
 WrFreePage,   
 WrPageIn,   
 WrPoolAllocation,   
 WrDelayExecution,   
 WrSuspended,   
 WrUserRequest,   
 WrEventPair,   
 WrQueue,   
 WrLpcReceive,   
 WrLpcReply,   
 WrVirtualMemory,   
 WrPageOut,   
 WrRendezvous,   
 Spare2,   
 Spare3,   
 Spare4,   
 Spare5,   
 Spare6,   
 WrKernel   
} KWAIT_REASON; 


typedef struct _VM_COUNTERS   
{   
 ULONG PeakVirtualSize;       
 ULONG VirtualSize;                
 ULONG PageFaultCount;        
 ULONG PeakWorkingSetSize;    
 ULONG WorkingSetSize;           
 ULONG QuotaPeakPagedPoolUsage;      
 ULONG QuotaPagedPoolUsage;        
 ULONG QuotaPeakNonPagedPoolUsage;  
 ULONG QuotaNonPagedPoolUsage;      
 ULONG PagefileUsage;              
 ULONG PeakPagefileUsage;        
} VM_COUNTERS, *PVM_COUNTERS;


typedef struct _SYSTEM_THREADS_X86 
{   
 LARGE_INTEGER KernelTime;   
 LARGE_INTEGER UserTime;   
 LARGE_INTEGER CreateTime;   
 ULONG WaitTime;   
 PVOID StartAddress;   
 CLIENT_ID ClientId;   
 KPRIORITY Priority;   
 KPRIORITY BasePriority;   
 ULONG ContextSwitchCount;   
 THREAD_STATE State;   
 KWAIT_REASON WaitReason;  
} SYSTEM_THREADS_X86, *PSYSTEM_THREADS_X86;


typedef struct _SYSTEM_THREADS_X64
{   
 LARGE_INTEGER KernelTime;   
 LARGE_INTEGER UserTime;   
 LARGE_INTEGER CreateTime;   
 ULONG WaitTime;   
 PVOID StartAddress;   
 CLIENT_ID ClientId;   
 KPRIORITY Priority;   
 KPRIORITY BasePriority;   
 ULONG ContextSwitchCount;   
 THREAD_STATE ThreadState;   
 KWAIT_REASON WaitReason;   
 ULONG Reserved;
} SYSTEM_THREADS_X64, *PSYSTEM_THREADS_X64;


typedef struct _SYSTEM_PROCESSES_X86  
{   
 ULONG NextEntryDelta;   
 ULONG ThreadCount;   
 ULONG Reserved1[6];   
 LARGE_INTEGER CreateTime;   
 LARGE_INTEGER UserTime;   
 LARGE_INTEGER KernelTime;   
 UNICODE_STRING ProcessName;   
 KPRIORITY BasePriority;   
 ULONG ProcessId;   
 ULONG InheritedFromProcessId;   
 ULONG HandleCount;   
 ULONG Reserved2[2];   
 VM_COUNTERS  VmCounters;   
 IO_COUNTERS IoCounters;   
 SYSTEM_THREADS_X86 Threads[1];   
} SYSTEM_PROCESSES_X86 , *PSYSTEM_PROCESSES_X86;


typedef struct _SYSTEM_PROCESSES_X64
{
 ULONG NextEntryDelta; //构成结构序列的偏移量;
 ULONG ThreadCount; //线程数目;
 ULONG Reserved1[6];
 LARGE_INTEGER CreateTime; //创建时间;
 LARGE_INTEGER UserTime;//用户模式(Ring 3)的CPU时间;
 LARGE_INTEGER KernelTime; //内核模式(Ring 0)的CPU时间;
 UNICODE_STRING ProcessName; //进程名称;
 KPRIORITY BasePriority;//进程优先权;
 HANDLE ProcessId; //进程标识符;
 HANDLE InheritedFromProcessId; //父进程的标识符;
 ULONG HandleCount; //句柄数目;
 ULONG Reserved2[2];
 ULONG_PTR PageDirectoryBase;
 VM_COUNTERS  VmCounters; //虚拟存储器的结构,见下;
 SIZE_T PrivatePageCount;
 IO_COUNTERS IoCounters; //IO计数结构,见下;
 struct _SYSTEM_THREADS_X64 Threads[1]; //进程相关线程的结构数组
}SYSTEM_PROCESSES_X64,*PSYSTEM_PROCESSES_X64;


对应上32位和64位的_SYSTEM_PROCESS结构后就可以用ZwQuerySystemInformation进行枚举了



whatday
关注
_SYSTEM_PROCESS_INFORMATION
denggengwen3333的博客
08-02 1976
#ifdef _WIN64typedef __int64 KPRIORITY;#elsetypedef long KPRIORITY;#endiftypedef struct _SYSTEM_THREAD_INFORMATION{ LARGE_INTEGER KernelTime; LARGE_INTEGER UserTime; LARGE_INTEGER CreateTime; ULO...
System_Usage.rar_The Process
09-21
7. **数据解析**:获取到的信息通常以结构化的格式(如文本、二进制或XML)存在,程序需要解析这些信息以供用户或后续处理使用。 8. **用户界面**:如果这是一个用户应用程序,可能还包括了展示这些信息的图形用户...
使用 NtQuerySystemInformation 遍历进程信息
最新发布
溡漪幽博客
02-07 1656
通过遍历系统进程信息,我们可以了解系统中运行的各种进程的详细信息,从而更好地进行系统管理和性能优化。本文介绍了一种通过调用 Windows 系统API来获取并遍历系统进程信息的技术,并提供了一段示例代码以帮助读者理解该技术的实现方法。
ZwQuerySystemInformation 查看系统进程信息
热门推荐
小驹的专栏
05-19 1万+
ZwQuerySystemInformation 查看系统进程信息 #include typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation, SystemProcessorInformation, SystemPerformanceInformation, SystemTimeOfDayInform
SYSTEM_PROCESS_INFORMATION SYSTEM_THREAD_INFORMATION
angbagangzhe065140的博客
08-28 526
typedef ULONG KPRIORITY; typedef struct _CLIENT_ID { HANDLE UniqueProcess; HANDLE UniqueThread; } CLIENT_ID, *PCLIENT_ID; typedef enum _KWAIT_REASON { Executive, FreePage, PageI...
SYSTEM_PROCESSES
sdcode2011的专栏
12-17 1722
Native API乃Windows用户模式中为上层Win32 API提供接口的本机系统服务。平常我 们总是调用MS为我们提供的公用的Win32 API函数来实现来实现我们系统的功能。(PS:前 不久,偶写了一个Windows任务管理器,支持对桌面,进程/线程,系统性能,磁盘,环境 变量,事件日志,网络,设备驱动,Win32服务,共享,用户,系统及关机等信息的探测和 控制,完全基于Win3
Shows-the-system-process.rar_The Process_linux 进程
09-21
标题"Shows-the-system-process.rar_The Process_linux 进程"暗示我们将讨论如何查看Linux系统中的进程以及它们的完整路径。 在Linux中,我们可以使用多种命令来查看系统进程: 1. **ps命令**:这是最基础的查看...
WMI.rar_C# WMI_WMI WIN32_process.z_windows wmi_wmi
09-14
标题"WMI.rar_C# WMI_WMI WIN32_process.z_windows wmi_wmi"中,核心关键词是"C# WMI",表明这是一个关于使用C#编程语言来操作Windows Management Instrumentation(WMI)的示例,其中可能涉及到WIN32_process接口。...
操作系统——PCB模拟代码.zip_control system_优先级调度_动态优先 界面_模拟操作系统_进程
09-23
进程控制块(PCB,Process Control Block)是操作系统用来记录和控制进程状态的关键数据结构。它包含了进程的基本信息,如进程ID、当前状态(就绪、运行、等待等)、CPU寄存器的保存值、内存分配情况、进程调度信息...
src_过pg_过windowspg_64位SSDThook实现方法_过PG_
09-30
标题中的“src_过pg_过windowspg_64位SSDThook实现方法_过PG_”似乎是指一个关于在64位Windows系统下绕过Process Guard (PG)并通过修改System Service Dispatch Table (SSDT)实现hook的技术教程。描述中的“WINDOWS ...
32位64位下,SYSTEM_THREADS与SYSTEM_PROCESSES结构
VHeroin的博客
08-01 1484
32位的没有什么好说的,关键是64位的资料比较少。这个结构体,网上有说,但是不太准确,测试发现前半部分对了,后半部分不对(获取线程信息的时候不对)。最后结合一些例子和计算,整出来了. typedef struct _SYSTEM_THREADS {  LARGE_INTEGER  KernelTime;  LARGE_INTEGER  UserTime;  LARGE_INT
未公开函数 NtQuerySystemInfoMation 遍历进程信息,获得进程的用户名(如: system,Admin..)...
weixin_30367945的博客
05-05 534
目录 遍历进程用户名 代码例子 遍历进程用户名 代码例子 #include <windows.h> #include <iostream> #include <COMDEF.H> #include <stdio.h> #in...
SYSTEM_INFORMATION_CLASS
afsafs1231的博客
06-27 184
typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation, // 0 Y N SystemProcessorInformation, // 1 Y N SystemPerformanceInformation,...
Github每日精选(第6期):systeminforme Windows下的系统信息管理
haleycat的博客
07-22 621
这是一个强大的Windows 下的系统管理工具,包含进程,服务,网络,硬盘,cpu等信息的管理,里面的代码比较容易阅读,做相关方面的可以参考里面的代码。
注入Dll 阻止任务管理器结束进程 -- Win 10/11
溡漪幽博客
10-05 648
资源管理器通过NtQuerySystemInformation获取进程信息,通过TerminateProcess以及EndTask等函数终止进程,我们可以通过挂钩途径中的多个R3函数实现在资源管理器中保护进程。可以看出该接口返回的结构体包含链表结构,我们可以通过断链方法隐藏进程,或者通过记录查找到的进程信息,在联合挂钩NtOpenProcess等函数来保护进程。其他部分不在详细叙述,给出完整代码,需要注意的是,该挂钩只适用于Taskmgr不适用于procexp等程序。
(转) SYSTEM_HANDLE_INFORMATION中ObjectTypeIndex的定义
小驹的专栏
11-03 4892
typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO{ USHORT UniqueProcessId; USHORT CreatorBackTraceIndex; UCHAR ObjectTypeIndex; UCHAR HandleAttributes; USHORT HandleValue; PVOID Object; ULONG Gran
windows-kernel-programming 中文读后感-第四章
jiaodou2的博客
09-20 458
windows-kernel-programming_compress.pdf
利用NtQuerySystemInformation函数遍历进程,遍历线程,获取线程挂起或运行状态
weixin_30709061的博客
06-03 588
? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 ...
SYSTEM_PROCESS_INFORMATION 结构
03-31
SYSTEM_PROCESS_INFORMATION 结构体是 Windows 操作系统内部使用的一种数据结构,用于描述系统中正在运行的进程的信息。该结构体定义如下: ```c typedef struct _SYSTEM_PROCESS_INFORMATION { ULONG ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值