Windows调试和利用第部分：NTQuerySystemInformation

最新推荐文章于 2024-02-07 11:42:06 发布

EcmShell

最新推荐文章于 2024-02-07 11:42:06 发布

阅读量395

点赞数 3

CC 4.0 BY-SA版权

文章标签： windows

本文链接：https://blog.youkuaiyun.com/EcmShell/article/details/133014092

Windows 专栏收录该内容

163 篇文章 ¥59.90 ¥99.00

订阅专栏

本文详细介绍了Windows Native API中的NTQuerySystemInformation函数，用于获取系统状态和信息，如进程列表。通过示例代码展示了如何使用该函数，并强调了安全性和权限要求。

在Windows操作系统中，NTQuerySystemInformation函数是一个强大的调试和利用工具。它允许开发人员和安全研究人员获取系统状态和信息，以便进行故障排除、性能分析和安全审计等操作。本文将详细介绍NTQuerySystemInformation函数的用法，并提供相应的源代码示例。

NTQuerySystemInformation函数是Windows Native API的一部分，它位于ntdll.dll库中。它的原型如下所示：

NTSTATUS NTAPI NtQuerySystemInformation(
  SYSTEM_INFORMATION_CLASS SystemInformationClass,
  PVOID                    SystemInformation,
  ULONG                    SystemInformationLength,
  PULONG                   ReturnLength
);

该函

了解本专栏

订阅专栏解锁全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

EcmShell

关注关注

3
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

订阅专栏

58、Windows内核兼容性垫片：原理、应用与实验

q9w8e7r6t5的博客

08-06

本文深入解析了Windows内核兼容性垫片机制的工作原理及其应用场景。内容涵盖垫片的基本概念、垫片引擎的初始化与注册流程、垫片数据库（SDB）的结构与解析方式、驱动程序和设备垫片的应用流程，并通过具体实验展示如何使用SDB Explorer和DebugView工具验证垫片的实际效果。此外，还分析了垫片机制的优势、挑战及实际应用案例，帮助读者全面理解内核垫片在系统兼容性支持中的重要作用。

NtQuerySystemInformation

11-19

C++ Builder 6.0写的进程查看工具，关键是NtQuerySystemInformation函数的运用,以及Unicode字符与ANSII字符的转换.

参与评论您还未登录，请先登录后发表或查看评论

NtQuerySystemInformation的使用

乐朝夕与之共

12-19

8651

今天，我们主要讨论的是一个函数NtQuerySystemInformation(ZwQuerySystemInformation)。当然，你不要小看这么一个函数，它却为我们提供了丰富的系统信息，同时还包括对某些信息的控制和设置。以下是这个函数的原型： typedef NTSTATUS (__stdcall *NTQUERYSYSTEMINFORMATION) (IN S

NtQuerySystemInformation函数

zhymxt的专栏

08-29

1046

转自：http://hi.baidu.com/bsbgong/blog/item/675648265f4a920b8b82a1b7.htmlhttp://hi.baidu.com/bsbgong/blog/item/675648265f4a920b8b82a1b7.html Native API乃Windows用户模式中为上层Win32 API提供接口的本机系统服

NtQuerySystemInformation 获取系统信息

欲穷千里目，更上一层楼

12-06

5821

Native API乃Windows用户模式中为上层Win32 API提供接口的本机系统服务。平常我们总是调用MS为我们提供的公用的Win32 API函数来实现来实现我们系统的功能。今天我们要谈的是如何通过本机系统服务(Native API)来探测本机系统信息。当然，微软没有为我们提供关于本机系统服务的文档 (Undocumented)，也就是不会为对它的使用提供任何的保证，所以我们不提倡使用N

eac 反调试_自己动手制作一个过保护调试器

weixin_39850697的博客

12-19

1830

一、起因本人是新手第一次接触驱动开发的小白，事情是这样的，一个星期前突发奇想想做一个调试器保护程序用于调试游戏，既然要调试驱动保护的程序，自然也要深入驱动底层。做调试器必须要hook api去隐藏调试器的参数，所以就有了今天这篇文章。二、准备的东西第一个版本的调试器保护程序就是今天要说的用到ETW(Event Tracing for Windows)hook 去Hook api 实现隐藏参数的...

NtQuerySystemInformation 系统信息

06-17

《深入探索NtQuerySystemInformation：揭示Windows系统信息的秘密》在Windows操作系统中，开发者通常依赖于Microsoft提供的Win32 API来获取和操作系统信息。然而，对于那些寻求更底层控制或者解决特定问题的程序员...

深入易语言调试器：源码操作与系统信息查询技巧

通过这些操作，开发者可以深入到操作系统的核心部分，进行复杂的调试和开发工作。但是这也要求开发者必须具备一定的Windows底层知识和编程经验，以便正确、安全地使用这些API。在使用这些技术时，需要注意的是，...

NtQuerySystemInformation获得某进程某时刻占用的CPU、内存、虚拟内存、句柄数等信息.zip

03-19

NtQuerySystemInformation获得某进程某时刻占用的CPU、内存、虚拟内存、句柄数等信息.zip

NtQuerySystemInformation判断线程是否被挂起/判断线程状态

03-20

NtQuerySystemInformation判断线程是否被挂起/判断线程状态

易语言-用NtQuerySystemInformation函数暴力枚举驱动

06-29

易代码出于本人之手,另附VB代码注释,VB代码非原创,2年前从看雪某个角落瞄出来翻译的[因为我个人非常喜欢把各种语言互相转换- -],一直把这个功能集成在自己的私人模块里,今天拿出来与大家分享. 因为原代码申请内存释放内存用了自己写的内存控制函数[这个暂且不发了,sorry],我已经换为易语言自己的申请内存[注意,我没有释放],释放内存这些请自行解决,否则查询易论坛,一抓一大把.否则将导致内存大量浪费- -这个你懂的.不过不是经常调用也无所谓, lms520

用NtQuerySystemInformation函数暴力枚举驱动

06-01

资源介绍：。易代码出于本人之手,另附VB代码注释,VB代码非原创,2年前从看雪某个角落瞄出来翻译的[因为我个人非常喜欢把各种语言互相转换- -],一直把这个功能集成在自己的私人模块里,今天拿出来与大家分享.因为原代码申请内存释放内存用了自己写的内存控制函数[这个暂且不发了,sorry],我已经换为易语言自己的申请内存[注意,我没有释放],释放内存这些请自行解决,否则查询易论坛,一抓一大把.否则将导致内存大量浪费- -这个你懂的.不过不是经常调用也无所谓,。资源作者：。lms520。资源界面：。资源下载：。

使用 NtQuerySystemInformation 遍历进程信息