NtQuerySystemInformation来遍历显示进程

最新推荐文章于 2024-06-07 12:27:53 发布
最新推荐文章于 2024-06-07 12:27:53 发布
阅读量4.2k 收藏 5
点赞数
CC 4.0 BY-SA版权
分类专栏: 病毒技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37232329/article/details/111401002
NtQuerySystemInformation是未公开函数,可查询大量系统信息。本文介绍使用该函数查询进程名和对应PID,此函数在ntdll.dll中有导出,代码摘自网络并经大量修改,原程序用于查询特定进程下特定线程状态,核心代码被保留并注释。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

NtQuerySystemInformation属于未公开的函数,没有文档化,头文件中也不存在(winternl.h中有其及其部分数据结构的定义),该函数可以查询到非常大量的系统信息。这里来使用该函数来查询进程名和对应PID。

其在ntdll.dll中有导出

该代码摘自网络,我对其做了大量的修改,废弃掉了大部分不需要的内容并完善了程序, 其本来的用意是查询特定进程下的特定线程状态,我保留了原程序功能的核心代码仅将其注释掉。

#include <windows.h>
#include <tchar.h>
#include <stdio.h>

#define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0)
#define STATUS_SUCCESS ((NTSTATUS) 0x00000000)
#define SystemProcessInformation    5 // 功能号
#define NTAPI    __stdcall

//typedef enum _KWAIT_REASON
//{
//	Executive,
//	FreePage,
//	PageIn,
//	PoolAllocation,
//	DelayExecution,
//	Suspended,
//	UserRequest,
//	WrExecutive,
//	WrFreePage,
//	WrPageIn,
//	WrPoolAllocation,
//	WrDelayExecution,
//	WrSuspended,
//	WrUserRequest,
//	WrEventPair,
//	WrQueue,
//	WrLpcReceive,
//	WrLpcReply,
//	WrVirtualMemory,
//	WrPageOut,
//	WrRendezvous,
//	Spare2,
//	Spare3,
//	Spare4,
//	Spare5,
//	Spare6,
//	WrKernel,
//	MaximumWaitReason
//}KWAIT_REASON;


//typedef struct _SYSTEM_THREAD_INFORMATION
//{
//	LARGE_INTEGER   KernelTime;
//	LARGE_INTEGER   UserTime;
//	LARGE_INTEGER   CreateTime;
//	ULONG           WaitTime;
//	PVOID           StartAddress;
//	CLIENT_ID       ClientId;
//	KPRIORITY       Priority;
//	KPRIORITY       BasePriority;
//	ULONG           ContextSwitchCount;
//	LONG            State;// 状态,是THREAD_STATE枚举类型中的一个值
//	LONG            WaitReason;//等待原因, KWAIT_REASON中的一个值
//} SYSTEM_THREAD_INFORMATION, * PSYSTEM_THREAD_INFORMATION;


// 线程状态的枚举常量
//typedef enum _THREAD_STATE
//{
//	StateInitialized, // 初始化状态
//	StateReady, // 准备状态
//	StateRunning, // 运行状态
//	StateStandby, // 
//	StateTerminated,//关闭
//	StateWait, // 等待
//	StateTransition, // 切换
//	StateUnknown
//}THREAD_STATE;

typedef struct _UNICODE_STRING
{
	USHORT Length;
	USHORT MaximumLength;
	PWSTR  Buffer;
} UNICODE_STRING, * PUNICODE_STRING;

typedef LONG   NTSTATUS;
typedef LONG    KPRIORITY;

typedef struct _CLIENT_ID
{
	DWORD        UniqueProcess;
	DWORD        UniqueThread;
} CLIENT_ID, * PCLIENT_ID;


typedef struct _VM_COUNTERS
{
	SIZE_T        PeakVirtualSize;
	SIZE_T        VirtualSize;
	ULONG         PageFaultCount;
	SIZE_T        PeakWorkingSetSize;
	SIZE_T        WorkingSetSize;
	SIZE_T        QuotaPeakPagedPoolUsage;
	SIZE_T        QuotaPagedPoolUsage;
	SIZE_T        QuotaPeakNonPagedPoolUsage;
	SIZE_T        QuotaNonPagedPoolUsage;
	SIZE_T        PagefileUsage;
	SIZE_T        PeakPagefileUsage;
} VM_COUNTERS;

typedef struct _SYSTEM_PROCESS_INFORMATION
{
	ULONG            NextEntryDelta; // 指向下一个结构体的指针
	ULONG            ThreadCount; // 本进程的总线程数
	ULONG            Reserved1[6]; // 保留
	LARGE_INTEGER    CreateTime; // 进程的创建时间
	LARGE_INTEGER    UserTime; // 在用户层的使用时间
	LARGE_INTEGER    KernelTime; // 在内核层的使用时间
	UNICODE_STRING   ProcessName; // 进程名
	KPRIORITY        BasePriority; // 
	ULONG            ProcessId; // 进程ID
	ULONG            InheritedFromProcessId;
	ULONG            HandleCount; // 进程的句柄总数
	ULONG            Reserved2[2]; // 保留
	VM_COUNTERS      VmCounters;
	IO_COUNTERS      IoCounters;
	//SYSTEM_THREAD_INFORMATION Threads[5]; // 子线程信息数组
}SYSTEM_PROCESS_INFORMATION, * PSYSTEM_PROCESS_INFORMATION;

typedef DWORD(WINAPI* NTQUERYSYSTEMINFORMATION)(UINT, PVOID, DWORD, PDWORD);

VOID EnumProcesses()
{
	int nRet = 0;
	NTSTATUS status = STATUS_SUCCESS;
	DWORD   dwSize = 0xFFFFF;
	NTQUERYSYSTEMINFORMATION NtQuerySystemInformation = NULL;
	PSYSTEM_PROCESS_INFORMATION pInfo = { 0 };
	LPTSTR pBuf = NULL;

	NtQuerySystemInformation = (NTQUERYSYSTEMINFORMATION)GetProcAddress(
		LoadLibrary("ntdll.dll"), 
		"NtQuerySystemInformation"
	);

	do
	{
		pBuf = new TCHAR[dwSize];
		if (NULL == pBuf)
		{
			break;
		}
		pInfo = (PSYSTEM_PROCESS_INFORMATION)pBuf;
		
		status = NtQuerySystemInformation(
			SystemProcessInformation,
			pInfo,
			dwSize,
			&dwSize
		);
		if (!NT_SUCCESS(status)) {/*如果函数执行失败*/
			break;
		}
		// 遍历结构体,找到对应的进程
		while (pInfo->NextEntryDelta) {
			if (0 != pInfo->ProcessId)
			{
				_tprintf(TEXT("进程名: %wZ, PID: %d\n"), &(pInfo->ProcessName), pInfo->ProcessId);
			}
			//// 这段代码用于查询对应线程是否挂起
			//if (pInfo->ProcessId == dwProcessID) {
			//	// 找到该进程下的对应的线程,也就是遍历所有线程
			//	for (DWORD i = 0; i < pInfo->ThreadCount; i++) {
			//		if (pInfo->Threads[i].ClientId.UniqueThread == dwThreadID) { //找到线程 
			//			//如果线程被挂起
			//			if (pInfo->Threads[i].State == StateWait
			//				&& pInfo->Threads[i].WaitReason == Suspended) {
			//				nRet = 1;
			//				break;
			//			}
			//		}
			//	}
			//	break;
			//}
			pInfo = (PSYSTEM_PROCESS_INFORMATION)(((PUCHAR)pInfo) + pInfo->NextEntryDelta);
		}
	} while (0);

	if (NULL != pBuf)
	{
		delete[] pBuf;
		pBuf = NULL;
	}
}

int _tmain()
{
	EnumProcesses();
	system("pause");

	return(0);
}

//BOOL IsThreadAlive(DWORD dwThreadID)
//{
//	BOOL bRet = FALSE;
//	DWORD ExitCode = 0;
//
//	HANDLE hThread = OpenThread(THREAD_QUERY_INFORMATION, FALSE, dwThreadID);
//	if (hThread != NULL) {
//		if (GetExitCodeThread(hThread, &ExitCode)) {
//			if (ExitCode == STILL_ACTIVE)
//				bRet = TRUE;
//		}
//		CloseHandle(hThread);
//	}
//	return bRet;
//}

下面给出运行效果:

(完)

操作系统[系统学习二]
weixin_40996518的博客
09-09 645
文章目录系统调用什么是系统调用为什么提供系统调用系统调用和库函数的区别系统调用背后的过程总结进程定义组成组织方式链接方式索引方式进程的特性总结进程的状态与转换三种基本状态状态转换总结 系统调用 什么是系统调用 操作系统作为应用程序/用户 和 底层硬件之间的接口, 需要为上层提供一些服务. 这些接口分为命令接口(面向用户) 和 程序接口(面向应用程序) 程序接口 就是由 一组系统调用构成. 应用程序可通过系统调用 来执行一些特权指令 为什么提供系统调用 防止各个应用程序随意使用这些共享的系统资源,
【超详细】遍历Windows进程
weixin_34391445的博客
11-11 2212
摘要 遍历系统进程常用的有三种方式 头文件<Tlhelp32.h>,先使用CreateToolhelp32Snapshot创建系统快照,即拷贝一份系统所有进程的信息到指定的结构体PROCESSENTRY32中,然后使用Process32First和Process32Next获得每一个进程的详细信息。需要注意的是编译成32位程...
进程遍历-NtQuerySystemInformation枚举
最新发布
hide_in_darkness的博客
06-07 973
​ 数组中下一项的开头是上一项的地址加上 NextEntryOffset 成员中的值。​ HandleCount 成员包含有问题的进程正在使用的句柄总数;​ PeakWorkingSetSize 成员包含进程的工作集的峰值大小(以 KB 为单位)​ BasePriority 成员包含进程的基优先级,即在关联进程中创建的线程的起始优先级。​ PeakVirtualSize 成员包含进程使用的虚拟内存的峰值大小(以字节为单位)​ VirtualSize 成员包含进程使用的虚拟内存的当前大小(以字节为单位)
NtQuerySystemInformation 系统信息
06-17
Native API乃Windows用户模式中为上层Win32 API提供接口的本机系统服务。平常我们总是调用MS为我们提供的公用的Win32 API函数来实现来实现我们系统的功能。今天我们要谈的是如何通过本机系统服务(Native API)来探测本机系统信息。当然,微软没有为我们提供关于本机系统服务的文档 (Undocumented),也就是不会为对它的使用提供任何的保证,所以我们不提倡使用Native API来开发软件。不过在特殊情况下,本机系统服务却为我们提供了通向“秘密”的捷径,本文详细介绍了NtQuerySystemInformation的技术秘密
NtQuerySystemInformation的使用
乐朝夕与之共
12-19 8605
今天,我们主要讨论的是一个函数NtQuerySystemInformation(ZwQuerySystemInformation)。当然,你不要小看这么一个函数,它却为我们提供了丰富的系统信息,同时还包 括对某些信息的控制和设置。以下是这个函数的原型:  typedef NTSTATUS (__stdcall *NTQUERYSYSTEMINFORMATION)     (IN      S
使用 NtQuerySystemInformation 遍历进程信息
溡漪幽博客
02-07 2578
通过遍历系统进程信息,我们可以了解系统中运行的各种进程的详细信息,从而更好地进行系统管理和性能优化。本文介绍了一种通过调用 Windows 系统API来获取并遍历系统进程信息的技术,并提供了一段示例代码以帮助读者理解该技术的实现方法。
NtQuerySystemInformation 枚举进程
10-08 764
函数原型:NTSTATUS WINAPI NtQuerySystemInformation( _In_ SYSTEM_INFORMATION_CLASS SystemInformationClass, _Inout_ PVOID SystemInformation, _In_ ULONG...
通过遍历所有进程并检查线程的上下文来检测KeAttachProcess。_C_C++_下载.zip
04-26
1. **遍历进程**:程序首先需要获取当前系统中的所有进程信息。这可以通过调用`NtQuerySystemInformation`函数,使用`SystemProcessInformation`作为信息类来实现。 2. **检查线程上下文**:对于每个进程,程序需要...
NtQuerySystemInformation获得某进程某时刻占用的CPU、内存、虚拟内存、句柄数等信息.zip
03-19
这通常涉及到遍历结构体数组,查找对应进程ID的过程。 4. **计算资源使用情况**:根据解析出的进程信息,可以计算出CPU使用率、物理内存、虚拟内存和句柄数量。CPU使用率通常需要连续测量两次,并计算差值,然后...
X64进程遍历并获取进程主线程
qq_36453052的博客
12-03 2361
x64下windbg显示进程结构体 1: kd> dt _SYSTEM_PROCESS_INFORMATION ole32!_SYSTEM_PROCESS_INFORMATION    +0x000 NextEntryOffset  : Uint4B    +0x004 NumberOfThreads  : Uint4B    +0x008 WorkingSetPrivateSize
多级优先队列.zip
01-23
java实现的多级反馈队列,带图形界面
NtQuerySystemInformation函数暴力枚举驱动
06-01
资源介绍:。易代码出于本人之手,另附VB代码注释,VB代码非原创,2年前从看雪某个角落瞄出来翻译的[因为我个人非常喜欢把各种语言互相转换- -],一直把这个功能集成在自己的私人模块里,今天拿出来与大家分享.因为原代码申请内存释放内存用了自己写的内存控制函数[这个暂且不发了,sorry],我已经换为易语言自己的申请内存[注意,我没有释放],释放内存这些请自行解决,否则查询易论坛,一抓一大把.否则将导致内存大量浪费- -这个你懂的.不过不是经常调用也无所谓,。资源作者:。lms520。资源界面:。资源下载:。
NtQuerySystemInformation
11-19
C++ Builder 6.0写的进程查看工具,关键是NtQuerySystemInformation函数的运用,以及Unicode字符与ANSII字符的转换.
NtQuerySystemInformation判断线程是否被挂起/判断线程状态
03-20
NtQuerySystemInformation判断线程是否被挂起/判断线程状态
易语言-用NtQuerySystemInformation函数暴力枚举驱动
06-29
易代码出于本人之手,另附VB代码注释,VB代码非原创,2年前从看雪某个角落瞄出来翻译的[因为我个人非常喜欢把各种语言互相转换- -],一直把这个功能集成在自己的私人模块里,今天拿出来与大家分享. 因为原代码申请内存释放内存用了自己写的内存控制函数[这个暂且不发了,sorry],我已经换为易语言自己的申请内存[注意,我没有释放],释放内存这些请自行解决,否则查询易论坛,一抓一大把.否则将导致内存大量浪费- -这个你懂的.不过不是经常调用也无所谓, lms520
VB6实现NtQuerySystemInformation API枚举进程线程
### 知识点:使用VB6调用NtQuerySystemInformation API枚举系统进程和线程 #### 1. NtQuerySystemInformation API函数概述 `NtQuerySystemInformation` 是一个在Windows NT系列操作系统中提供的底层系统调用,主要...
利用NtQuerySystemInformation函数遍历进程,遍历线程,获取线程挂起或运行状态
weixin_30709061的博客
06-03 635
? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 ...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值