ZwQuerySystemInformation 简单应用

最新推荐文章于 2022-07-15 14:40:37 发布
最新推荐文章于 2022-07-15 14:40:37 发布
阅读量1.2k 收藏
点赞数
文章标签: module system struct object null include
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wowbell/article/details/6251748
版权

#include <ntddk.h>
#include "struct.h"

typedef struct _SYSTEM_MODULE {
   
    ULONG Reserved1;
    ULONG Reserved2;
    PVOID ImageBaseAddress;
    ULONG ImageSize;
    ULONG Flags;
    USHORT Id;
    USHORT Rank;
    USHORT w018;
    USHORT NameOffset;
    CHAR Name[MAXIMUM_FILENAME_LENGTH];
} SYSTEM_MODULE, *PSYSTEM_MODULE;


typedef struct _SYSTEM_MODULE_INFORMATION{
    ULONG nCount;
    SYSTEM_MODULE module[1];
}SYSTEM_MODULE_INFORMATION,*PSYSTEM_MODULE_INFORMATION;

 

//在ring0 声明下ZwQuerySystemInformation 就可以应用了
NTKERNELAPI
NTSTATUS ZwQuerySystemInformation(
                                  IN  ULONG SystemInformationClass,
                                  IN  OUT PVOID SystemInformation,
                                  IN  ULONG SystemInformationLength,
                                  OUT PULONG ReturnLength OPTIONAL
);

VOID DriverUnload(IN PDRIVER_OBJECT driver)
{
    KdPrint(("Driver unload /r/n"));
}

NTSTATUS QuerySystemInformation()
{
    NTSTATUS status;
    PVOID pbuf=NULL;
    ULONG retlength=0,i;
    PSYSTEM_MODULE_INFORMATION psysinfo;
    PSYSTEM_MODULE    psysmodule;
    pbuf=ExAllocatePool(NonPagedPool,sizeof(SYSTEM_MODULE));
    if(pbuf == NULL )
    {
        KdPrint(("allocate pool failed /r/n"));
        return STATUS_UNSUCCESSFUL;
    }

    status = ZwQuerySystemInformation(SystemModuleInformation,
        pbuf,
        sizeof(SYSTEM_MODULE),
        &retlength);
    if( STATUS_INFO_LENGTH_MISMATCH == status )
    {
        ExFreePool(pbuf);
        pbuf=ExAllocatePool(NonPagedPool , retlength );

        status= ZwQuerySystemInformation(SystemModuleInformation,
            pbuf,
            retlength,
            NULL
            );
        if(STATUS_INFO_LENGTH_MISMATCH == status )
            return STATUS_UNSUCCESSFUL;
       
    }
   
    psysinfo = (PSYSTEM_MODULE_INFORMATION) pbuf;
    psysmodule=psysinfo->module;
    for(i =0 ; i< psysinfo->nCount ;i++ )
    {
        //psysmodule=psysinfo->module;
        KdPrint(("module name : %s /r/n",psysmodule->Name));
        psysmodule++;
    }
   

    return STATUS_SUCCESS;
}

NTSTATUS DriverEntry(PDRIVER_OBJECT driver,PUNICODE_STRING reg_path )
{
    NTSTATUS status;
    driver->DriverUnload=DriverUnload;
    status=QuerySystemInformation();
    if(!NT_SUCCESS(status))
        return STATUS_UNSUCCESSFUL;

    return STATUS_SUCCESS;
}

wowbell
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于未公开函数ZwQuerySystemInformation的使用
行者无疆的专栏
07-16 1万+
最近看一些关于内核方面的资料,碰到未公开函数,未能在微软官方找到答案,从网上了解到一些信息,摘录下来备用。       我看到驱动程序调用的一段代码的使用: ULONG GetModuleBase(PCHAR szModuleName) { ULONG uSize = 0x10000; PVOID pModuleInfo = ExAllocatePoolWithTag(NonP
ZwQuerySystemInformation获取进程列表信息
04-24
测试环境Delphi2009,Windows10。能够通过ZwQuerySystemInformation获取进程信息块,详细的记录类型的参数都标注清楚的。这个函数相对于进程快照有一个缺陷,不能及时得获取我自己进程的信息。(可能是我自己哪里出错,但进程信息都是能够正确获取的)代码是我自己测试可用的
ring0实现进程的隐藏
yuanxiaobo007的专栏
01-24 1838
要在ring0下实现隐藏进程,hook ssdt ZwQuerySystemInFormation ,任务管理器就是调用此函数获取进程对象.传进一个进程的PID即可 // NTSTATUS MyZwQuerySystemInformation // ( // __in SYSTEM_INFORMATION_CLASS SystemInformationClass, // __inout
函数ZwQuerySystemInformation小结
weixin_33906657的博客
08-07 315
函数存在于NTDLL.DLL动态链接库中。NTDLL.DLL负责ring3与ring0之间的通信。当使用子系统方式进行系统调用的时候,ntdll.dll和SSDT会配合使用。 关于ZwQuerySystemInformation这个函数可以用来查询进程信息、内核信息、硬件信息(例如CPU数目)、句柄信息、时间信息等54个系统信息。 该函数的原型是 NTSTATUS WI...
使用NtQuerySystemInformation遍历进程信息[详细篇]
最新发布
weixin_42270114的博客
07-15 5816
使用NtQuerySystemInformation遍历进程信息[详细篇]
ZwQuerySystemInformation查找进程文件句柄
03-25
`ZwQuerySystemInformation`是Windows NT内核的一个低级别系统调用,它允许用户模式的应用程序获取系统信息,如进程、线程、内存管理、对象管理等。这个函数提供了丰富的信息查询选项,其中`...
ZwQuerySystemInformation 查看系统进程信息
03-27
1. **声明函数**: 首先需要在用户模式代码中声明`ZwQuerySystemInformation`函数,因为它是内核模式的,不直接暴露给用户模式应用程序。 2. **分配缓冲区**: 调用`ZwQuerySystemInformation`前,你需要预先分配一个...
ZwQuerySystemInformation的完整声明
08-18
在我的资源《微软未公开函数ZwQuerySystemInformation的使用方法(vb编程专用)》中的声明不完整,会造成运行错误,这个文档是完整的声明,加了一个Enum让大家可以顺利编写程序。
Ring3 Hook ZwQuerySystemInformation
11-14
Ring3 Hook ZwQuerySystemInformation是一种在用户模式(Ring 3)下进行系统调用拦截的技术,主要用于修改系统行为或获取额外的信息。在这个特定的场景中,它被用来隐藏进程,使得该进程在操作系统中变得不可见。这...
微软未公开函数ZwQuerySystemInformation的使用方法(vb编程专用)
08-18
网上关于函数ZwQuerySystemInformation的使用方法少的可怜,这是本人关于此函数的一些心得,在vb上玩api的朋友应该知道这份资料来之不易,我也不为难大家了,0分让你们下了! P.S.因使用win7的notepad编辑此文档,所以如果文档不能正常打开,见谅!
ZwQuerySystemInformation枚举进程线程的软件源码
04-10
ZwQuerySystemInformation枚举进程线程VB很实用的源码,精心挑选的精品源码
ZwQuerySystemInformation枚举内核模块及简单应用
创造神话,实现梦想!
08-14 4470
简单说,即调用第11号功能,枚举一下内核中已加载的模块。 部分代码如下: //功能号为11,先获取所需的缓冲区大小 ZwQuerySystemInformation(SystemModuleInformation,NULL,0,&needlen); //申请内存 ZwA
ZwQuerySystemInformation 安全使用心得 Delphi 版
weixin_30462049的博客
07-24 296
作为DELPHI版本,需要引用jwaNative,JwaWinType,他们是JEDIAPI的一部分。JEDI官网有下载。 先给出2个辅助函数和一些结构体。 type PRecord=^TRecord; TRecord=record end; PSystemInformationList...
操作系统[系统学习二]
weixin_40996518的博客
09-09 322
文章目录系统调用什么是系统调用为什么提供系统调用系统调用和库函数的区别系统调用背后的过程总结进程定义组成组织方式链接方式索引方式进程的特性总结进程的状态与转换三种基本状态状态转换总结 系统调用 什么是系统调用 操作系统作为应用程序/用户 和 底层硬件之间的接口, 需要为上层提供一些服务. 这些接口分为命令接口(面向用户) 和 程序接口(面向应用程序) 程序接口 就是由 一组系统调用构成. 应用程序可通过系统调用 来执行一些特权指令 为什么提供系统调用 防止各个应用程序随意使用这些共享的系统资源,
ZwQuerySystemInformation函数查询SystemModuleInformation
gold0523的专栏
04-13 6347
<br />使用ZwQuerySystemInformation函数查询SystemModuleInformation <br /><br />在看到两种用法 <br />第一种: <br />ZwQuerySystemInformation(SystemModuleInformation,&n,0,&n); <br />PULONG p=new ULONG[n]; <br /><br /><br />ZwQuerySystemInformation(SystemModuleInformation,p,n*
ZwQuerySystemInformation
whispermemory的专栏
09-06 1463
ZwQuerySystemInformation 2011-05-06 11:32 最近一直在纠结~~ 代码是网上的~~ #include  #include  #include  #include  #pragma comment( linker,

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值