ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 系统相关> 文章详细

【Windows内核研究】使用 NtQuerySystemInformation API 获取进程信息

2022-07-16 14:00:52  阅读:320  来源: 互联网

标签:status NtQuerySystemInformation PhHeapHandle INFORMATION Windows PROCESS API buf


  1. 需要附加依赖项ntdll.lib
  2. 需要导入NtQuerySystemInformation等相关函数的定义。这里使用了ProcessHacker的phnt库。
    Github ProcessHacker phnt
    代码如下:
#include <iostream>
#include <phnt_windows.h>
#include <phnt.h>
using namespace std;

#define PTR_ADD_OFFSET(Pointer, Offset) ((PVOID)((ULONG_PTR)(Pointer) + (ULONG_PTR)(Offset)))

#define PH_NEXT_PROCESS(Process) ( \
    ((PSYSTEM_PROCESS_INFORMATION)(Process))->NextEntryOffset ? \
    (PSYSTEM_PROCESS_INFORMATION)PTR_ADD_OFFSET((Process), \
    ((PSYSTEM_PROCESS_INFORMATION)(Process))->NextEntryOffset) : \
    NULL \
    )

#define PH_FIRST_PROCESS(Processes) ((PSYSTEM_PROCESS_INFORMATION)(Processes))

int main()
{
    ULONG bufferSize;
    PVOID buffer;
    NTSTATUS status;
    PVOID PhHeapHandle;

    PhHeapHandle = RtlCreateHeap(
        HEAP_GROWABLE | HEAP_CLASS_1,
        NULL,
        2 * 1024 * 1024, // 2 MB
        1024 * 1024, // 1 MB
        NULL,
        NULL
    );

    if (! PhHeapHandle)
    {
        return -1;
    }

    bufferSize = 0x4000;
    buffer = RtlAllocateHeap(PhHeapHandle,HEAP_GENERATE_EXCEPTIONS,bufferSize);

    while (TRUE)
    {
        status = NtQuerySystemInformation(
            SystemProcessInformation,
            buffer,
            bufferSize,
            &bufferSize
        );

        if (status == STATUS_BUFFER_TOO_SMALL || status == STATUS_INFO_LENGTH_MISMATCH)
        {
            RtlFreeHeap(PhHeapHandle,0,buffer);
            buffer = RtlAllocateHeap(PhHeapHandle, HEAP_GENERATE_EXCEPTIONS, bufferSize);
        }
        else
        {
            break;
        }
    }

    if (!NT_SUCCESS(status))
    {
        RtlFreeHeap(PhHeapHandle, 0, buffer);
        return status;
    }

    PSYSTEM_PROCESS_INFORMATION process = PH_FIRST_PROCESS(buffer);

    while (process != NULL)
    {
        printf("ImageName is: %ws .\r\n", process->ImageName.Buffer);
        process = PH_NEXT_PROCESS(process);
    }

    RtlFreeHeap(PhHeapHandle, 0, buffer);
    RtlDestroyHeap(PhHeapHandle);

    return 0;
}

标签:status,NtQuerySystemInformation,PhHeapHandle,INFORMATION,Windows,PROCESS,API,buf
来源: https://www.cnblogs.com/ComputerPlayerJs/p/16484056.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有