ZwQuerySystemInformation函数的用法

最新推荐文章于 2025-05-14 16:34:35 发布
最新推荐文章于 2025-05-14 16:34:35 发布
阅读量1.1k 收藏
点赞数
分类专栏: 驱动开发学习 文章标签: integer system struct null string basic
本文展示了如何使用C++通过ZwQuerySystemInformation函数获取Windows系统的相关信息,包括处理器数量、进程和线程信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

/*
 *  Author: Leng_que
 *  Date: 2010年1月26日23:44:28
 *  E-mail: leng_que@yahoo.com.cn
 *  Description: 演示了如何通过ZwQuerySystemInformation这个函数获取系统的相关信息
 */

#include <stdio.h>
#include <windows.h>

typedef LONG NTSTATUS;

#define STATUS_SUCCESS                    ((NTSTATUS)0x00000000L)
#define STATUS_UNSUCCESSFUL                ((NTSTATUS)0xC0000001L)
#define STATUS_NOT_IMPLEMENTED            ((NTSTATUS)0xC0000002L)
#define STATUS_INVALID_INFO_CLASS        ((NTSTATUS)0xC0000003L)
#define STATUS_INFO_LENGTH_MISMATCH        ((NTSTATUS)0xC0000004L)

typedef enum _SYSTEM_INFORMATION_CLASS
{
    SystemBasicInformation,                    //  0 Y N
    SystemProcessorInformation,                //  1 Y N
    SystemPerformanceInformation,            //  2 Y N
    SystemTimeOfDayInformation,                //  3 Y N
    SystemNotImplemented1,                    //  4 Y N
    SystemProcessesAndThreadsInformation,    //  5 Y N
    SystemCallCounts,                        //  6 Y N
    SystemConfigurationInformation,            //  7 Y N
    SystemProcessorTimes,                    //  8 Y N
    SystemGlobalFlag,                        //  9 Y Y
    SystemNotImplemented2,                    // 10 Y N
    SystemModuleInformation,                // 11 Y N
    SystemLockInformation,                    // 12 Y N
    SystemNotImplemented3,                    // 13 Y N
    SystemNotImplemented4,                    // 14 Y N
    SystemNotImplemented5,                    // 15 Y N
    SystemHandleInformation,                // 16 Y N
    SystemObjectInformation,                // 17 Y N
    SystemPagefileInformation,                // 18 Y N
    SystemInstructionEmulationCounts,        // 19 Y N
    SystemInvalidInfoClass1,                // 20
    SystemCacheInformation,                    // 21 Y Y
    SystemPoolTagInformation,                // 22 Y N
    SystemProcessorStatistics,                // 23 Y N
    SystemDpcInformation,                    // 24 Y Y
    SystemNotImplemented6,                    // 25 Y N
    SystemLoadImage,                        // 26 N Y
    SystemUnloadImage,                        // 27 N Y
    SystemTimeAdjustment,                    // 28 Y Y
    SystemNotImplemented7,                    // 29 Y N
    SystemNotImplemented8,                    // 30 Y N
    SystemNotImplemented9,                    // 31 Y N
    SystemCrashDumpInformation,                // 32 Y N
    SystemExceptionInformation,                // 33 Y N
    SystemCrashDumpStateInformation,        // 34 Y Y/N
    SystemKernelDebuggerInformation,        // 35 Y N
    SystemContextSwitchInformation,            // 36 Y N
    SystemRegistryQuotaInformation,            // 37 Y Y
    SystemLoadAndCallImage,                    // 38 N Y
    SystemPrioritySeparation,                // 39 N Y
    SystemNotImplemented10,                    // 40 Y N
    SystemNotImplemented11,                    // 41 Y N
    SystemInvalidInfoClass2,                // 42
    SystemInvalidInfoClass3,                // 43
    SystemTimeZoneInformation,                // 44 Y N
    SystemLookasideInformation,                // 45 Y N
    SystemSetTimeSlipEvent,                    // 46 N Y
    SystemCreateSession,                    // 47 N Y
    SystemDeleteSession,                    // 48 N Y
    SystemInvalidInfoClass4,                // 49
    SystemRangeStartInformation,            // 50 Y N
    SystemVerifierInformation,                // 51 Y Y
    SystemAddVerifier,                        // 52 N Y
    SystemSessionProcessesInformation        // 53 Y N

} SYSTEM_INFORMATION_CLASS;

typedef struct _LSA_UNICODE_STRING
{
    USHORT Length;
    USHORT MaximumLength;
    PWSTR Buffer;
    
} LSA_UNICODE_STRING, *PLSA_UNICODE_STRING, UNICODE_STRING, *PUNICODE_STRING;

typedef struct _CLIENT_ID
{
    HANDLE UniqueProcess;
    HANDLE UniqueThread;

} CLIENT_ID;

typedef enum _THREAD_STATE
{
    StateInitialized,
    StateReady,
    StateRunning,
    StateStandby,
    StateTerminated,
    StateWait,
    StateTransition,
    StateUnknown

} THREAD_STATE;

typedef enum _KWAIT_REASON
{
    Executive,
    FreePage,
    PageIn,
    PoolAllocation,
    DelayExecution,
    Suspended,
    UserRequest,
    WrExecutive,
    WrFreePage,
    WrPageIn,
    WrPoolAllocation,
    WrDelayExecution,
    WrSuspended,
    WrUserRequest,
    WrEventPair,
    WrQueue,
    WrLpcReceive,
    WrLpcReply,
    WrVirtualMemory,
    WrPageOut,
    WrRendezvous,
    Spare2,
    Spare3,
    Spare4,
    Spare5,
    Spare6,
    WrKernel

} KWAIT_REASON;

typedef struct _IO_COUNTERS
{
    LARGE_INTEGER ReadOperationCount;    //I/O读操作数目
    LARGE_INTEGER WriteOperationCount;    //I/O写操作数目
    LARGE_INTEGER OtherOperationCount;    //I/O其他操作数目
    LARGE_INTEGER ReadTransferCount;    //I/O读数据数目
    LARGE_INTEGER WriteTransferCount;    //I/O写数据数目
    LARGE_INTEGER OtherTransferCount;    //I/O其他操作数据数目

} IO_COUNTERS, *PIO_COUNTERS;

typedef struct _VM_COUNTERS
{
    ULONG PeakVirtualSize;                //虚拟存储峰值大小
    ULONG VirtualSize;                    //虚拟存储大小
    ULONG PageFaultCount;                //页故障数目
    ULONG PeakWorkingSetSize;            //工作集峰值大小
    ULONG WorkingSetSize;                //工作集大小
    ULONG QuotaPeakPagedPoolUsage;        //分页池使用配额峰值
    ULONG QuotaPagedPoolUsage;            //分页池使用配额
    ULONG QuotaPeakNonPagedPoolUsage;    //非分页池使用配额峰值
    ULONG QuotaNonPagedPoolUsage;        //非分页池使用配额
    ULONG PagefileUsage;                //页文件使用情况
    ULONG PeakPagefileUsage;            //页文件使用峰值

} VM_COUNTERS, *PVM_COUNTERS;

typedef LONG KPRIORITY;

typedef struct _SYSTEM_THREADS
{
    LARGE_INTEGER KernelTime;
    LARGE_INTEGER UserTime;
    LARGE_INTEGER CreateTime;
    ULONG WaitTime;
    PVOID StartAddress;
    CLIENT_ID ClientId;
    KPRIORITY Priority;
    KPRIORITY BasePriority;
    ULONG ContextSwitchCount;
    THREAD_STATE State;
    KWAIT_REASON WaitReason;

} SYSTEM_THREADS, *PSYSTEM_THREADS;

typedef struct _SYSTEM_PROCESSES
{
    ULONG NextEntryDelta;
    ULONG ThreadCount;
    ULONG Reserved1[6];
    LARGE_INTEGER CreateTime;
    LARGE_INTEGER UserTime;
    LARGE_INTEGER KernelTime;
    UNICODE_STRING ProcessName;
    KPRIORITY BasePriority;
    ULONG ProcessId;
    ULONG InheritedFromProcessId;
    ULONG HandleCount;
    ULONG Reserved2[2];
    VM_COUNTERS  VmCounters;
    IO_COUNTERS IoCounters;
    SYSTEM_THREADS Threads[1];

} SYSTEM_PROCESSES, *PSYSTEM_PROCESSES;

typedef struct _SYSTEM_BASIC_INFORMATION
{
    BYTE Reserved1[24];
    PVOID Reserved2[4];
    CCHAR NumberOfProcessors;

} SYSTEM_BASIC_INFORMATION;

typedef NTSTATUS (WINAPI *NTQUERYSYSTEMINFORMATION)(IN SYSTEM_INFORMATION_CLASS, IN OUT PVOID, IN ULONG, OUT PULONG OPTIONAL);

int main(void)
{
    HINSTANCE ntdll_dll = GetModuleHandle("ntdll.dll");
    if ( ntdll_dll!=NULL )
    {
        NTQUERYSYSTEMINFORMATION dwFunAddress = (NTQUERYSYSTEMINFORMATION)GetProcAddress(ntdll_dll, "ZwQuerySystemInformation");
        if ( dwFunAddress!=NULL )
        {
            //执行 SystemBasicInformation
            SYSTEM_BASIC_INFORMATION sbi = {0};
            NTSTATUS status = dwFunAddress(SystemBasicInformation, (PVOID)&sbi, sizeof(sbi), NULL);
            if ( status == STATUS_SUCCESS )
            {
                printf("处理器个数:%d/r/n", sbi.NumberOfProcessors);
                printf("/r/n");
            }
            else
            {
                printf("/r/n SystemBasicInformation error");
            }
            
            //执行 SystemProcessesAndThreadsInformation
            PSYSTEM_PROCESSES pSp=NULL;
            ULONG retureSize=0;
            
            status = dwFunAddress(SystemProcessesAndThreadsInformation, NULL, 0, &retureSize);
            if ( status == STATUS_INFO_LENGTH_MISMATCH )
            {
                unsigned char *buf = new unsigned char[retureSize];
                if ( buf!=NULL )
                {
                    status = dwFunAddress(SystemProcessesAndThreadsInformation, (PVOID)buf, retureSize, NULL);
                    if ( status == STATUS_SUCCESS )
                    {
                        pSp = (PSYSTEM_PROCESSES)buf;
                        
                        printf("===============所有进程信息=============/r/n");
                        do {
                            
                            printf("进程ID:%d/r/n", pSp->ProcessId);
                            
                            printf("进程名:");
                            wprintf(L"%s/r/n", pSp->ProcessName.Buffer);
                            
                            printf("线程数:%d/r/n", pSp->ThreadCount);
                            printf("工作集大小:%dKB/r/n", pSp->VmCounters.WorkingSetSize/1024);
                            printf("/r/n/r/n");
                            
                            pSp = (PSYSTEM_PROCESSES)( (unsigned long)pSp + pSp->NextEntryDelta );
                            
                        } while ( pSp->NextEntryDelta != 0 );
                        printf("========================================/r/n");
                        
                        delete[] buf;
                        buf = NULL;
                        pSp = NULL;
                    }
                    else if ( status == STATUS_UNSUCCESSFUL )
                    {
                        printf("/r/n STATUS_UNSUCCESSFUL");
                    }
                    else if ( status == STATUS_NOT_IMPLEMENTED )
                    {
                        printf("/r/n STATUS_NOT_IMPLEMENTED");
                    }
                    else if ( status == STATUS_INVALID_INFO_CLASS )
                    {
                        printf("/r/n STATUS_INVALID_INFO_CLASS");
                    }
                    else if ( status == STATUS_INFO_LENGTH_MISMATCH )
                    {
                        printf("/r/n STATUS_INFO_LENGTH_MISMATCH");
                    }
                }
                else
                {
                    printf("/r/n new operation error!");
                }
            }
        }
        else
        {
            printf("/r/n get ZwQuerySystemInformation address error!");
        }
        
        FreeLibrary(ntdll_dll);
    }
    
    system("pause > nul");
    return 0;
}


Ring3 Hook ZwQuerySystemInformation
11-14
Ring3 Hook ZwQuerySystemInformation实现隐藏进程,在XP里测试通过。
ZwQuerySystemInformation 函数查看进程列表
热门推荐
ShadowAssassin的专栏
12-14 1万+
程序主要应用函数  ZwQuerySystemInformation  实现的,这也是window内核的一个很重要,结构很复杂的函数函数原型 如下: //声明ZqQueryAyatemInformation NTSTATUS ZwQuerySystemInformation( I
Ring3 Hook技术实战:隐藏进程ZwQuerySystemInformation
最新发布
weixin_33622085的博客
05-14 635
在探讨恶意软件和系统监控技术的领域,Ring3 Hook技术以其在非内核级权限下的灵活性和强大的应用潜力而受到关注。本章节将对Ring3 Hook技术做一个基础的介绍,包括其定义、特点以及技术应用场景。Ring3 Hook,又称用户态钩子,是指在操作系统的用户级权限下对系统或应用程序的行为进行拦截的技术。通过对目标进程函数调用的钩挂,可以在不改变原程序代码的情况下,对程序的行为进行监控、记录甚至是改变原有逻辑。与内核级钩子相比,Ring3钩子具有较低的风险和相对简单的实现过程。
ZwQuerySystemInformation
whispermemory的专栏
09-06 1511
ZwQuerySystemInformation 2011-05-06 11:32 最近一直在纠结~~ 代码是网上的~~ #include  #include  #include  #include  #pragma comment( linker,
关于ZwQuerySystemInformation
yuejunqi的专栏
09-01 633
ZwQuerySystemInformation<br />[ZwQuerySystemInformation may be altered or unavailable in subsequent versions of Windows. Applications should use the alternate functions listed in this topic.]<br />Retrieves the specified system information.NTSTATUS WINAPI
微软未公开函数ZwQuerySystemInformation的使用方法(vb编程专用)
08-18
### 微软未公开函数ZwQuerySystemInformation的使用方法(vb编程专用) 在VB编程领域,使用API接口是常见的技术手段之一。然而,并不是所有的API都得到了充分的文档支持,尤其是那些未公开或者较少被提及的API。...
易语言中使用ZwQuerySystemInformation获取准确系统启动时间
通过本文,我们了解了ZwQuerySystemInformation函数的用途、使用方法以及与易语言和GetTickCount()函数的对比。此外,通过实际的项目文件,我们可以看到如何在易语言中实现系统时间的查询功能,这对于进行系统级编程...
使用ZwQuerySystemInformation在Delphi2009下获取进程信息
在讨论如何使用ZwQuerySystemInformation函数获取进程列表信息之前,首先需要对涉及的关键技术概念进行阐述。Delphi 2009是一种流行的集成开发环境(IDE),常用于Windows平台下的应用程序开发。Windows 10是微软...
ZwQuerySystemInformation枚举进程线程的软件源码
04-10
本文将详细介绍该函数用法,并通过分析提供的源码来理解其实现细节。 #### 二、ZwQuerySystemInformation 函数简介 `ZwQuerySystemInformation` 函数允许应用程序或驱动程序查询系统信息。该函数在 Windows 内核...
深入解析ZwQuerySystemInformation:如何获取CPU和内存使用率
在本文的标题和描述中,主要关注于如何使用`ZwQuerySystemInformation`函数获取CPU使用率和内存使用率,这通常是通过查询系统处理器时间和物理内存的使用状态来实现的。 ### CPU使用率 获取CPU使用率一般需要...
ZwQuerySystemInformation 查看系统进程信息
03-27
ZwQuerySystemInformation 查看系统进程信息
ZwQuerySystemInformation获取进程列表信息
04-24
测试环境Delphi2009,Windows10。能够通过ZwQuerySystemInformation获取进程信息块,详细的记录类型的参数都标注清楚的。这个函数相对于进程快照有一个缺陷,不能及时得获取我自己进程的信息。(可能是我自己哪里出错,但进程信息都是能够正确获取的)代码是我自己测试可用的
ZwQuerySystemInformation函数[msdn文档]
一个观察者
08-04 2079
7 out of 15 rated this helpful - Rate this topic [ZwQuerySystemInformation 在Windows 8里不再被使用。而取而代它的, 是在这个主题里列举的替代函数。] 找回指定的系统信息。 语法 C++ NTSTATUS WINAPI ZwQueryS
ZwQuerySystemInformation 学习
Flyour的博客
09-09 2244
https://blog.youkuaiyun.com/suppercoder/article/details/9341941 这是一篇介绍分别在Ring0 和 Ring3 下是使用ZwQuerySystemInformation 函数获取一些系统信息的函数。比如可以获取进程表和句柄表。可以参考看看。 //声明ZwQueryAyatemInformation NTSTATUS ZwQuerySystemI...
ZwQuerySystemInformation 5号功能 : SystemProcessesAndThreadsInformation
dog0230的博客
05-10 431
NTSTATUS NTAPI ZwQuerySystemInformation( ULONG SystemInformationClass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG ReturnLength ); 第一个参...
枚举进程(ZwQuerySystemInformation)
KOOKNUT的博客
03-13 1664
枚举进程的另外一种方法,也是CreateToolhelp32Snapshot内部真实的调用枚举进程信息的函数,在ntdll下导出的函数ZwQuerySystemInformation。这个函数是ntdll动态库下的一个导出函数,我们首先需要获得ntdll的模块句柄,接下来查找函数ZwQuerySystemInformation函数地址,进行函数指针强转之后,进行调用。ZwQuerySys...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值