SystemBigPoolInformation 大内存池枚举

已于 2022-08-10 17:13:03 修改
阅读量329 收藏
点赞数
分类专栏: C++ 文章标签: c++ 算法 开发语言
于 2022-08-10 17:11:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzy1448331580/article/details/126270455
版权 
#include <windows.h>
#include <winternl.h>
#include <stdio.h>

#include <memory>

#define SystemBigPoolInformation 66

typedef NTSTATUS(WINAPI* FNtQuerySystemInformation)(
	SYSTEM_INFORMATION_CLASS SystemInformationClass,
	PVOID SystemInformation,
	ULONG SystemInformationLength,
	PULONG ReturnLength);

typedef struct _SYSTEM_BIGPOOL_ENTRY
{
	union 
	{
		PVOID VirtualAddress;
		ULONG_PTR NonPaged : 1;
	};
	ULONG_PTR SizeInBytes;
	union 
	{
		UCHAR Tag[4];
		ULONG TagUlong;
	};
} SYSTEM_BIGPOOL_ENTRY, * PSYSTEM_BIGPOOL_ENTRY;

typedef struct _SYSTEM_BIGPOOL_INFORMATION 
{
	ULONG Count;
	SYSTEM_BIGPOOL_ENTRY AllocatedInfo[ANYSIZE_ARRAY];
} SYSTEM_BIGPOOL_INFORMATION, * PSYSTEM_BIGPOOL_INFORMATION;

int main(int argc, char* argv[])
{
	HMODULE m = GetModuleHandleW(L"ntdll.dll");
	if (!m) return 0;

	FNtQuerySystemInformation NtQuerySystemInformation = (FNtQuerySystemInformation)GetProcAddress(m, "NtQuerySystemInformation");
	if (!NtQuerySystemInformation) return 0;

	// 一定要确保内存空间够大
	ULONG SystemInformationLength = 800000 * 2;
	ULONG ReturnLength = 0;
	
	std::unique_ptr<char> buffer(new char[SystemInformationLength]);
	memset(buffer.get(), 0, SystemInformationLength);
	
	NTSTATUS status = NtQuerySystemInformation((SYSTEM_INFORMATION_CLASS)SystemBigPoolInformation, buffer.get(), SystemInformationLength, &ReturnLength);
	if (status) return 0;

	PSYSTEM_BIGPOOL_INFORMATION bigpools = (PSYSTEM_BIGPOOL_INFORMATION)buffer.get();
	for (ULONG i = 0; i < bigpools->Count; i++)
	{
		SYSTEM_BIGPOOL_ENTRY& entry = bigpools->AllocatedInfo[i];
#ifdef _WIN64
		printf("%lld Tag: %.*s, Address: 0x%llx, Size: 0x%x \n", i, 4, entry.Tag, entry.VirtualAddress, entry.SizeInBytes);
#else
		printf("%ld Tag: %.*s, Address: 0x%x, Size: 0x%x \n", i, 4, entry.Tag, entry.VirtualAddress, entry.SizeInBytes);
#endif
	}

	return 0;
}

在这里插入图片描述

ThatAllOver
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SYSTEM_INFORMATION_CLASS枚举类型定义
zfs2008zfs的博客
04-13 4859
SYSTEM_INFORMATION_CLASS是一个未文档化的结构体,在很多未文档化的函数中使用,比如ZwQuerySystemInformation、ZwSetSystemInformation中被调用,
_SYSTEM_PROCESS_INFORMATION
denggengwen3333的博客
08-02 1941
#ifdef _WIN64typedef __int64 KPRIORITY;#elsetypedef long KPRIORITY;#endiftypedef struct _SYSTEM_THREAD_INFORMATION{ LARGE_INTEGER KernelTime; LARGE_INTEGER UserTime; LARGE_INTEGER CreateTime; ULO...
_SYSTEM_INFORMATION_CLASS
denggengwen3333的博客
08-02 802
typedef enum _SYSTEM_INFORMATION_CLASS{ SystemBasicInformation, // q: SYSTEM_BASIC_INFORMATION SystemProcessorInformation, // q: SYSTEM_PROCESSOR_INFORMATION SystemPerformanceInformation, // q...
羊年内核堆风水: “Big Kids’ Pool”中的堆喷技术
weixin_33955681的博客
03-08 474
Chuck · 2015/01/28 10:080x00 前言作者:Alex Lonescu题目:Sheep Year Kernel Heap Fengshui: Spraying in the Big Kids’ Pool地址: http://www.alex-ionescu.com/?p=231前几天看到Twitter上推荐的一篇Alex lonescu写的博文,是关于两个新的内核堆喷射技术的...
NtQuerySystemInformation的不同参数的结构
做一个快乐学习者
05-27 1067
__kernel_entry NTSTATUS NtQuerySystemInformation( SYSTEM_INFORMATION_CLASS SystemInformationClass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG ReturnLength ); typed...
Android使用注解代替枚举节省系统内存开销的方法
08-25
然而,对于移动平台如Android,尤其是内存有限的设备,枚举可能会带来较大的内存负担。枚举类型的Dex文件大小通常是普通常量的13倍以上,而且在运行时,每个枚举声明会占用大约20个字节的内存。对于内存敏感的应用,...
深入探究Swift枚举关联值的内存
08-24
"Swift 枚举关联值的内存探究" Swift 枚举关联值的内存探究是 Swift 编程语言中的一项重要概念。本文将对 Swift 枚举关联值的内存布局进行探究,介绍枚举关联值的基本用法和内存占用情况。 1. 枚举关联值的基本...
暴力搜索内存 直接内存搜索枚举内存的原理和实现
07-25
暴力搜索内存直接内存搜索枚举内存的原理和实现 在计算机操作系统中,枚举进程是指通过遍历进程列表来获取正在运行的进程信息的过程。在 Windows 操作系统中,进程的信息存储在内存中,通过遍历内存来枚举进程是...
关于msdn中NtQuerySystemInformation函数说明
babihehe的专栏
06-12 5438
函数原型 typedef   NTSTATUS   (__stdcall   *NTQUERYSYSTEMINFORMATION) ( IN                 SYSTEM_INFORMATION_CLASS    SystemInformationClass, IN   OUT       PVOID
WIN7 RC 系统服务函数变更
kdebug的专栏
02-20 887
以下涵盖了今天大约用了2个小时分析的 Windows 7 RC内核NT*函数的变动,全部来自对WIN7 RC的内核的反汇编,没有太深入分析,包含了一些我觉得有一些意思或者影响的变动、增加的功能和函数等 这里的变动和新增,指的是相对于WRK,即WIN2003 内核的变动,因此有些很多变动在VISTA中就已经有了 (1).NtCreateFile / NtOpenFile: 以下函数将改走
驱动开发笔记1—内核中的事件、进程、线程、自旋锁
qq_42814021的博客
10-09 582
内核模式下的等待 KeWaitForSingleObject() 和 KeWaitForMultipleObjects() NTSTATUS KeWaitForSingleObject( IN PVOID Object, //同步对象的指针 IN KWAIT_REASON WaitReason, //等待的原因,一般为Executive IN KPROCESSOR_MODE WaitMode, //等待模式,说明是在用户模式还是在内核模式下等待,一般为KernelMode IN B
VMProtect SDK使用日记
做一个快乐学习者
09-20 4631
首先是看懂接口 #pragma once #if defined(__APPLE__) || defined(__unix__) #define VMP_IMPORT #define VMP_API #define VMP_WCHAR unsigned short #else #define VMP_IMPORT __declspec(dllimport) #define VMP_API __stdcall #define VMP_WCHAR wchar_t #ifdef _WIN64 #pragma
虚拟硬件大师
做一个快乐学习者
07-01 4546
软件介绍 电脑硬件信息能够随机化或自定义 软件目标 进程模式 | 全局模式 … 网卡MAC/GUID | 硬盘序列号/卷标序列号/容量大小/名称 | 显卡序列号/GUID/显存大小 | CPU型号/序列号 … 程序多开 | 游戏多开 | 机器绑定 | 机器码绕过 … 软件更新 2021.07.01 : 第一个版本,能够随机化指定进程的网卡MAC和硬盘序列号 … 免责声明 使用该软件产生的任何损失与作者无关 效果图 下载地址 : https://wwx.lanzoui.com/ievnaqw6bgb .
C++ Win32 截屏(全屏/指定窗口)
做一个快乐学习者
05-10 3284
项目需要用到截屏相关功能,所以写了一个 头文件: #pragma once #include <Windows.h> #include <string> // 记住包含opencv目录 #include<opencv2\opencv.hpp> // opencv_4.5.1 and contrib #pragma comment(lib,"opencv_core451.lib") #pragma comment(lib,"opencv_highgui..
C++写QQ界面
做一个快乐学习者
02-13 3239
实现效果如图所示: 刚刚写了两天,只实现了一个窗口类和一个按钮类   下载传送门:QQ demo  
C++ 创建桌面快捷方式
做一个快乐学习者
09-03 2519
#include <windows.h> #include <shellapi.h> #include <shlobj.h> #include <assert.h> #include <tchar.h> #pragma comment(lib, "shell32.lib") bool create_link_file( const wchar_t* application, // 快捷方式对应的程序 const wchar_t* argv
C++获取磁盘符
做一个快乐学习者
10-02 2423
#include #include #include using namespace std; int main(int Numbers,char *Str[]) { DWORD Len=GetLogicalDriveStrings(0,0);//获取盘符的长度 char *Driver=new char[Len];//字符数组 GetLogicalDriveStrings
C++实现递归对指定磁盘目录进行遍历
做一个快乐学习者
10-02 2411
C++递归遍历文件,递归函数的原理就是不断调用自己以简化代码,但是递归不能镶套太深,否则将影响程序的执行效率。
枚举类型占多大的内存空间
最新发布
07-27
在 C 语言中,枚举类型的大小取决于其底层数据类型的大小。 枚举类型使用整数常量作为枚举值,编译器会根据枚举值的范围选择适当的整数类型来表示枚举类型。通常情况下,枚举类型的底层数据类型是 `int`。 `int` ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值