设为首页收藏本站
切换到宽版

龙马谷

 找回密码
 立即注册

QQ登录

只需一步,快速开始

龙马谷»龙马谷论坛 技术专区 C/C++技术分享 查看系统进程信息API ZwQuerySystemInformation
龙马谷VIP会员办理客服QQ:82926983(如果临时会话没有收到回复,请先加QQ好友再发。)
1 [已完结] GG修改器新手入门与实战教程 31课 2 [已完结] GG修改器美化修改教程 6课 3 [已完结] GG修改器Lua脚本新手入门教程 12课
4 [已完结] 触动精灵脚本新手入门必学教程 22课 5 [已完结] 手游自动化脚本入门实战教程 9课 6 [已完结] C++射击游戏方框骨骼透视与自瞄教程 27课
7 [已完结] C++零基础UE4逆向开发FPS透视自瞄教程 29课 8 [已完结] C++零基础大漠模拟器手游自动化辅助教程 22课 9 [已完结] C++零基础开发DXF内存脚本辅助教程 32课
以下是天马阁VIP教程,本站与天马阁合作,赞助VIP可以获得天马阁对应VIP会员,名额有限! 点击进入天马阁论坛
1 [已完结] x64CE与x64dbg入门基础教程 7课 2 [已完结] x64汇编语言基础教程 16课 3 [已完结] x64辅助入门基础教程 9课
4 [已完结] C++x64内存辅助实战技术教程 149课 5 [已完结] C++x64内存检测与过检测技术教程 10课 6 [已完结] C+x64二叉树分析遍历与LUA自动登陆教程 19课
7 [已完结] C++BT功能原理与x64实战教程 29课 8 [已完结] C+FPS框透视与自瞄x64实现原理及防护思路
返回列表 发新帖
查看: 10425|回复: 0

查看系统进程信息API ZwQuerySystemInformation

[复制链接]
天之翼

15

主题

3

回帖

22

积分

编程入门

Rank: 1

龙马币
40
天之翼 | 显示全部楼层 |阅读模式

ZwQuerySystemInformation 查看系统进程信息


  1. #include <ntddk.h>

  3. typedef enum _SYSTEM_INFORMATION_CLASS {
  4.         SystemBasicInformation,
  5.         SystemProcessorInformation,
  6.         SystemPerformanceInformation,
  7.         SystemTimeOfDayInformation,
  8.         SystemPathInformation,
  9.         SystemProcessInformation, //5
  10.         SystemCallCountInformation,
  11.         SystemDeviceInformation,
  12.         SystemProcessorPerformanceInformation,
  13.         SystemFlagsInformation,
  14.         SystemCallTimeInformation,
  15.         SystemModuleInformation,
  16.         SystemLocksInformation,
  17.         SystemStackTraceInformation,
  18.         SystemPagedPoolInformation,
  19.         SystemNonPagedPoolInformation,
  20.         SystemHandleInformation,
  21.         SystemObjectInformation,
  22.         SystemPageFileInformation,
  23.         SystemVdmInstemulInformation,
  24.         SystemVdmBopInformation,
  25.         SystemFileCacheInformation,
  26.         SystemPoolTagInformation,
  27.         SystemInterruptInformation,
  28.         SystemDpcBehaviorInformation,
  29.         SystemFullMemoryInformation,
  30.         SystemLoadGdiDriverInformation,
  31.         SystemUnloadGdiDriverInformation,
  32.         SystemTimeAdjustmentInformation,
  33.         SystemSummaryMemoryInformation,
  34.         SystemNextEventIdInformation,
  35.         SystemEventIdsInformation,
  36.         SystemCrashDumpInformation,
  37.         SystemExceptionInformation,
  38.         SystemCrashDumpStateInformation,
  39.         SystemKernelDebuggerInformation,
  40.         SystemContextSwitchInformation,
  41.         SystemRegistryQuotaInformation,
  42.         SystemExtendServiceTableInformation,
  43.         SystemPrioritySeperation,
  44.         SystemPlugPlayBusInformation,
  45.         SystemDockInformation,
  46.         SystemPowerInformation2,
  47.         SystemProcessorSpeedInformation,
  48.         SystemCurrentTimeZoneInformation,
  49.         SystemLookasideInformation
  50. } SYSTEM_INFORMATION_CLASS, *PSYSTEM_INFORMATION_CLASS;

  52. typedef struct _SYSTEM_THREAD_INFORMATION {
  53.         LARGE_INTEGER           KernelTime;
  54.         LARGE_INTEGER           UserTime;
  55.         LARGE_INTEGER           CreateTime;
  56.         ULONG                   WaitTime;
  57.         PVOID                   StartAddress;
  58.         CLIENT_ID               ClientId;
  59.         KPRIORITY               Priority;
  60.         LONG                    BasePriority;
  61.         ULONG                   ContextSwitchCount;
  62.         ULONG                   State;
  63.         KWAIT_REASON            WaitReason;
  64. }SYSTEM_THREAD_INFORMATION, *PSYSTEM_THREAD_INFORMATION;

  66. typedef struct _SYSTEM_PROCESS_INFORMATION {
  67.         ULONG                   NextEntryOffset;
  68.         ULONG                   NumberOfThreads;
  69.         LARGE_INTEGER           Reserved[3];
  70.         LARGE_INTEGER           CreateTime;
  71.         LARGE_INTEGER           UserTime;
  72.         LARGE_INTEGER           KernelTime;
  73.         UNICODE_STRING          ImageName;
  74.         KPRIORITY               BasePriority;
  75.         HANDLE                  ProcessId;
  76.         HANDLE                  InheritedFromProcessId;
  77.         ULONG                   HandleCount;
  78.         ULONG                   Reserved2[2];
  79.         ULONG                   PrivatePageCount;
  80.         VM_COUNTERS             VirtualMemoryCounters;
  81.         IO_COUNTERS             IoCounters;
  82.         SYSTEM_THREAD_INFORMATION           Threads[0];
  83. } SYSTEM_PROCESS_INFORMATION, *PSYSTEM_PROCESS_INFORMATION;

  85. //不加extern "C" 一直报link错误
  86. extern "C"  NTSYSAPI NTSTATUS NTAPI ZwQuerySystemInformation(
  87.         IN ULONG SystemInformationClass,
  88.         IN PVOID SystemInformation,
  89.         IN ULONG SystemInformationLength,
  90.         OUT PULONG ReturnLength);

  92. VOID Unload( __in  struct _DRIVER_OBJECT *DriverObject )
  93. {
  94.         KdPrint(("unload ....."));
  95. }

  97. NTSTATUS Ring0EnumProcess()
  98. {
  99.         ULONG        cbBuffer = 0x8000; //32k
  100.         PVOID        pSystemInfo;
  101.         NTSTATUS status;
  102.         PSYSTEM_PROCESS_INFORMATION pInfo;

  104.         //为查找进程分配足够的空间
  105.         do
  106.         {
  107.                 pSystemInfo = ExAllocatePool(NonPagedPool, cbBuffer);
  108.                 if (pSystemInfo == NULL)        //申请空间失败,返回
  109.                 {
  110.                         return 1;
  111.                 }
  112.                 status = ZwQuerySystemInformation(SystemProcessInformation, pSystemInfo, cbBuffer, NULL );
  113.                 if (status == STATUS_INFO_LENGTH_MISMATCH) //空间不足
  114.                 {
  115.                         ExFreePool(pSystemInfo);
  116.                         cbBuffer *= 2;
  117.                 }
  118.                 else if(!NT_SUCCESS(status))
  119.                 {
  120.                         ExFreePool(pSystemInfo);
  121.                         return 1;
  122.                 }

  124.         } while(status == STATUS_INFO_LENGTH_MISMATCH); //如果是空间不足,就一直循环

  126.         pInfo = (PSYSTEM_PROCESS_INFORMATION)pSystemInfo; //把得到的信息放到pInfo中

  128.         for (;;)
  129.         {
  130.                 LPWSTR pszProcessName = pInfo->ImageName.Buffer;
  131.                 if (pszProcessName == NULL)
  132.                 {
  133.                         pszProcessName = L"NULL";
  134.                 }
  135.                 KdPrint(("PID:%d, process name:%S\n", pInfo->ProcessId, pszProcessName));
  136.                 if (pInfo->NextEntryOffset == 0)        //==0,说明到达进程链的尾部了
  137.                 {
  138.                         break;
  139.                 }
  140.                 pInfo = (PSYSTEM_PROCESS_INFORMATION)(((PUCHAR)pInfo) + pInfo->NextEntryOffset); //遍历

  142.         }
  143.         return STATUS_SUCCESS;
  144. }

  146. NTSTATUS DriverEntry( __in  PDRIVER_OBJECT DriverObject, __in  PUNICODE_STRING RegistryPath)
  147. {
  148.         DriverObject->DriverUnload = Unload;
  149.         Ring0EnumProcess();
  150.         return STATUS_SUCCESS;
  151. }
复制代码


回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

龙马谷| C/C++辅助教程| 安卓逆向安全| 论坛导航| 免责申明|Archiver|
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表龙马谷立场!
任何人不得以任何方式翻录、盗版或出售本站视频,一经发现我们将追究其相关责任!
我们一直在努力成为最好的编程论坛!
Copyright© 2018-2021 All Right Reserved.
关闭

会员办理

售后客服

技术支持

工作时间:9:00-22:00

在线客服
快速回复 返回顶部 返回列表