利用ZwQuerySystemInformation和paspi枚举进程

最新推荐文章于 2025-05-14 16:34:35 发布
最新推荐文章于 2025-05-14 16:34:35 发布
阅读量1.1k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pickupyourrevolution/article/details/17510907
本文介绍了如何利用ntdll中的ZwQuerySystemInformation函数进行进程枚举,此方法常见于内核态操作。同时提到了在Windows 7系统下,部分psapi函数如EnumProcesses的变化,它们的功能转移到了kernel32.dll,并以K32EnumProcesses形式存在。此外,还提及批处理文件可以实现进程的自删除功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#include<windows.h>
#include<stdio.h>
#include<ntsecapi.h>
typedef DWORD (WINAPI *ZWQUERYSYSTEMINFORMATION)(DWORD,PVOID,DWORD,PDWORD);
typedef struct _SYSTEM_PROCESS_INFORMATION{
    DWORD NextEntryDelta;
    DWORD ThreadCount;
    DWORD Reserved1[6];
    FILETIME ftCreateTime;
    FILETIME ftUserTime;
    FILETIME ftKernelTime;
    UNICODE_STRING ProcessName;
    DWORD BasePriority;
    DWORD ProcessId;
    DWORD InheritedFromProcessId;
    DWORD HandleCount;
    DWORD Reserved2[2];
    DWORD VmCounters;
    DWORD dCommitCharge;
    PVOID ThreadInfos[1];
}SYSTEM_PROCEESS_INFORMATION,*PSYSTEM_PROCEESS_INFORMATION;
#define SystemProcessesAndThreadsInformation 5
int main(){
    HMODULE hNtDll=GetModuleHandle("ntdll.dll");
    if(hNtDll==NULL)
        return -1;
    ZWQUERYSYSTEMINFORMATION ZwQuerySystemInformation=
    (ZWQUERYSYSTEMINFORMATION)GetProcAddress(hNtDll,"ZwQuerySystemInformation");
    if(ZwQuerySystemInformation==NULL)
        return -1;
    DWORD cbBuffer=0x10000;
    LPVOID pBuffer=NULL;
    if((pBuffer=malloc(cbBuffer))==NULL)
        return -1;
    ZwQuerySystemInformation(SystemProcessesAndThreadsInformation,pBuffer,cbBuffer,NULL);
    PSYSTEM_PROCEESS_INFORMATION pInfo=(PSYSTEM_PROCEESS_INFORMATION)pBuffer;
    char buffer[100];
    if(fp==NULL)
        return -1;
    for(;;){
        wcstombs(buffer,pInfo->ProcessName.Buffer,100);//wchar_t转char
        if(strcmp(buffer,"1.exe")==0){//发现程序是1.exe就杀死该进程
            HANDLE hProcess=OpenProcess(PROCESS_TERMINATE,FALSE,pInfo->ProcessId);
            TerminateProcess(hProcess,0);
        }
        printf("PID:%d \t%ls\n",pInfo->ProcessId,pInfo->ProcessName.Buffer);
        if(pInfo->NextEntryDelta==0){
            break;
        }pInfo=(PSYSTEM_PROCEESS_INFORMATION)(((PUCHAR)pInfo)+pInfo->NextEntryDelta);
    }
    free(pBuffer);
    return 0;
}

以上是利用ntdll中的ZwQuerySystemInformation来实现进程枚举,这个函数也经常在内核态中使用

下面是利用psapi 参考见

http://msdn.microsoft.com/en-us/library/windows/desktop/ms682629(v=vs.85).aspx 

http://msdn.microsoft.com/en-us/library/windows/desktop/ms684894(v=vs.85).aspx

操作系统win7,一些psapi的函数在win7下换了个样子,如EnumProcesses变成了K32EnumProcesses

连实现也从psapi.dll转移到kernel.dll了


#include<stdio.h>
#include<windows.h>
#include<psapi.h>
typedef BOOL (WINAPI*K32EnumProcesses1)(DWORD*,DWORD,LPDWORD);
typedef BOOL (WINAPI*K32EnumProcessModules1)(HANDLE,HMODULE *,DWORD,LPDWORD);
typedef DWORD (WINAPI*K32GetModuleBaseName1)(HANDLE,HMODULE ,LPTSTR,DWORD);
int main(){
	HMODULE k32=GetModuleHandle(TEXT("kernel32.dll"));
	K32EnumProcesses1 MyK32EnumProcesses=(K32EnumProcesses1)GetProcAddress(k32,"K32EnumProcesses");
	K32EnumProcessModules1 MyK32EnumProcessModules=(K32EnumProcessModules1)GetProcAddress(k32,"K32EnumProcessModules");
	K32GetModuleBaseName1 MyK32GetModuleBaseName=(K32GetModuleBaseName1)GetProcAddress(k32,"K32GetModuleBaseNameA");
	//	NewUninstallHook pUninstallHook=(NewUninstallHook)GetProcAddress(dllTest,"UninstallHook");
	DWORD ProcessCount;
	DWORD cbNeeded;
	DWORD ProcessId[1024];
	HMODULE hModule;
	char szPath[MAX_PATH];
	unsigned int i;
	MyK32EnumProcesses(ProcessId,sizeof(ProcessId),&cbNeeded);
	ProcessCount=cbNeeded/sizeof(DWORD);
	for(i=0;i<ProcessCount;i++){
		HANDLE hProcess=OpenProcess(PROCESS_QUERY_INFORMATION|PROCESS_VM_READ,FALSE,ProcessId[i]);
		if(hProcess){
			MyK32EnumProcessModules(hProcess,&hModule,sizeof(hModule),&cbNeeded);
			MyK32GetModuleBaseName(hProcess,hModule,szPath,sizeof(szPath));
			printf("PID:%4d  %s\n",ProcessId[i],szPath);
			if(strcmp(szPath,"1.exe")==0){
				FILE *fp=fopen("kill.bat","w");
				fprintf(fp,"taskkill /im ");
				fprintf(fp,szPath);
				fprintf(fp," /f /t\n");
				fclose(fp);
				ShellExecute(NULL,"open","kill.bat",NULL,NULL,SW_HIDE);
			}
		}else {
			continue;
		}
	}
	return 0;
}

这又是一种杀死进程的方式,是利用批处理文件,批处理也能实现自删除,因为批处理能删除自身

参考资料:WINDOWS黑客技术揭秘与攻防  1  C语言篇

                                      -------------------------http://blog.youkuaiyun.com/pickupyourrevolution



枚举进程(ZwQuerySystemInformation)
KOOKNUT的博客
03-13 1664
枚举进程的另外一种方法,也是CreateToolhelp32Snapshot内部真实的调用枚举进程信息的函数,在ntdll下导出的函数ZwQuerySystemInformation。这个函数是ntdll动态库下的一个导出函数,我们首先需要获得ntdll的模块句柄,接下来查找函数ZwQuerySystemInformation的函数地址,进行函数指针强转之后,进行调用。ZwQuerySys...
Ring3 Hook ZwQuerySystemInformation
11-14
Ring3 Hook ZwQuerySystemInformation实现隐藏进程,在XP里测试通过。
ZwQuerySystemInformation 函数查看进程列表
热门推荐
ShadowAssassin的专栏
12-14 1万+
程序主要应用函数  ZwQuerySystemInformation  实现的,这也是window内核的一个很重要,结构很复杂的函数。 函数原型 如下: //声明ZqQueryAyatemInformation NTSTATUS ZwQuerySystemInformation( I
Ring3 Hook技术实战:隐藏进程ZwQuerySystemInformation
最新发布
weixin_33622085的博客
05-14 631
在探讨恶意软件系统监控技术的领域,Ring3 Hook技术以其在非内核级权限下的灵活性强大的应用潜力而受到关注。本章节将对Ring3 Hook技术做一个基础的介绍,包括其定义、特点以及技术应用场景。Ring3 Hook,又称用户态钩子,是指在操作系统的用户级权限下对系统或应用程序的行为进行拦截的技术。通过对目标进程函数调用的钩挂,可以在不改变原程序代码的情况下,对程序的行为进行监控、记录甚至是改变原有逻辑。与内核级钩子相比,Ring3钩子具有较低的风险相对简单的实现过程。
ZwQuerySystemInformation
whispermemory的专栏
09-06 1510
ZwQuerySystemInformation 2011-05-06 11:32 最近一直在纠结~~ 代码是网上的~~ #include  #include  #include  #include  #pragma comment( linker,
【旧文章搬运】ZwQuerySystemInformation枚举内核模块及简单应用
weixin_30920853的博客
12-26 229
原文发表于百度空间,2008-10-24========================================================================== 简单说,即调用第11号功能,枚举一下内核中已加载的模块。部分代码如下://功能号为11,先获取所需的缓冲区大小ZwQuerySystemInformation(SystemModuleInformation,...
ZwQuerySystemInformation枚举进程
收集学习过程中对自己有帮助的牛人文章
11-28 1932
mark一下 #include #include #include #define SystemProcessesAndThreadsInformation 5 // 动态调用 typedef DWORD (WINAPI *ZWQUERYSYSTEMINFORMATION) (DWORD,               PVOID,
ZwQuerySystemInformation枚举进程线程的软件源码
04-10
### ZwQuerySystemInformation 枚举进程线程的 VB 源码分析 #### 一、概述 本篇文章将深入分析一份 VB(Visual Basic)代码,该代码利用 `ZwQuerySystemInformation` 函数来枚举系统中的进程线程信息。`...
易语言枚举进程所有句柄信息的代码
08-26
以上就是易语言中枚举进程所有句柄信息的基本流程关键代码。在实际应用中,可能还需要根据需求进行额外的错误处理优化,例如增加日志记录、异常处理等。此外,需要注意权限问题,因为某些句柄可能需要管理员权限...
ZwQuerySystemInformation 查看系统进程信息
03-27
在Windows操作系统中,`ZwQuerySystemInformation`是一个内核级的系统调用,用于获取系统级别的信息,包括但不限于进程、线程、内存管理、硬件配置等。这个API函数是NTDLL库的一部分,专为底层系统编程调试设计。...
ZwQuerySystemInformation获取进程列表信息
04-24
测试环境Delphi2009,Windows10。能够通过ZwQuerySystemInformation获取进程信息块,详细的记录类型的参数都标注清楚的。这个函数相对于进程快照有一个缺陷,不能及时得获取我自己进程的信息。(可能是我自己哪里出错,但进程信息都是能够正确获取的)代码是我自己测试可用的
关于ZwQuerySystemInformation
yuejunqi的专栏
09-01 633
ZwQuerySystemInformation<br />[ZwQuerySystemInformation may be altered or unavailable in subsequent versions of Windows. Applications should use the alternate functions listed in this topic.]<br />Retrieves the specified system information.NTSTATUS WINAPI
【工具类】ZwQuerySystemInformation枚举进程
Fzuim的博客
07-25 859
曾经基于兴趣搞过很多小功能,但后来工作中比较少用到,代码也就安静的沉没在磁盘中。最近打算整理下之前弄过的东西,也不算荒废之前的付出吧。。。 void InitProcessList() { ZWQUERYSYSSTEMINFORMATION MyZwQuerySystemInformation = (ZWQUERYSYSSTEMINFORMATION)GetProcAddress(Get...
ZwQuerySystemInformation函数[msdn文档]
一个观察者
08-04 2077
7 out of 15 rated this helpful - Rate this topic [ZwQuerySystemInformation 在Windows 8里不再被使用。而取而代它的, 是在这个主题里列举的替代函数。] 找回指定的系统信息。 语法 C++ NTSTATUS WINAPI ZwQueryS
ZwQuerySystemInformation 学习
Flyour的博客
09-09 2243
https://blog.youkuaiyun.com/suppercoder/article/details/9341941 这是一篇介绍分别在Ring0 Ring3 下是使用ZwQuerySystemInformation 函数来获取一些系统信息的函数。比如可以获取进程句柄表。可以参考看看。 //声明ZwQueryAyatemInformation NTSTATUS ZwQuerySystemI...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值