原文发表于百度空间,2008-10-15
==========================================================================

很古老的东西了,写一写,权当练手吧.
本来以为没什么难度,很科普很傻瓜的东西,但是写的时候还是遇到一些问题,进程信息正确,得到的线程信息总是不正确,后来分析了一下,发现这个ntdll sdk中定义的进程信息结构和线程信息结构都有点问题,可能它是来自《Win2000 Native API》一书,不适用于Windows XP。后来参考WRK修正了一下。线程信息结构也有问题,和WRK中的一样,但是结果仍然不正确,简单分析了一下,得出结构大小应为0x40,最终还是修正了一下,才有正确结果。
最终确定的进程结构如下:

typedef struct _SYSTEM_PROCESSES {

ULONG NextEntryDelta;

ULONG ThreadCount;

LARGE_INTEGER Reserved1[];

LARGE_INTEGER CreateTime;

LARGE_INTEGER UserTime;

LARGE_INTEGER KernelTime;

UNICODE_STRING ProcessName;

KPRIORITY BasePriority;

ULONG ProcessId;

ULONG InheritedFromProcessId;

ULONG HandleCount;

ULONG SessionId;

ULONG_PTR PageDirectoryBase;

VM_COUNTERS VmCounters;

ULONG PrivatePageCount;// add by achillis

IO_COUNTERS IoCounters;

SYSTEM_THREADS Threads[];

} SYSTEM_PROCESSES, *PSYSTEM_PROCESSES;

线程信息结构如下:

typedef struct _SYSTEM_THREADS{

    LARGE_INTEGER KernelTime;

    LARGE_INTEGER UserTime;

    LARGE_INTEGER CreateTime;

    ULONG WaitTime;

    PVOID StartAddress;

    CLIENT_ID ClientId;

    KPRIORITY Priority;

    LONG BasePriority;

    ULONG ContextSwitches;

    ULONG ThreadState;

    ULONG WaitReason;

    ULONG Reversed;//add by achillis

} SYSTEM_THREAD_INFORMATION,*PSYSTEM_THREADS;

红色部分是我增加的,也不知道到底对不对,但是目前为止在我的XP SP2上可以得到正确结果。
枚举进程和线程信息的代码如下:

int ShowProcess(void)

{

NTSTATUS status;

DWORD retlen,truelen;

char *buf=NULL,*p=NULL;

ANSI_STRING ansiStr;

int cnt=;

PSYSTEM_PROCESSES pSysProcess;

PSYSTEM_THREADS pSysThread;

status=ZwQuerySystemInformation(SystemProcessInformation,NULL,,&retlen);

truelen=retlen;

status=ZwAllocateVirtualMemory(NtCurrentProcess(),(PVOID*)&buf,,&retlen,MEM_COMMIT,PAGE_READWRITE);

printf("Size of SYSTEM_THREAD:%d\n",sizeof(SYSTEM_THREADS));

p=buf;

status=ZwQuerySystemInformation(SystemProcessInformation,buf,truelen,&retlen);

do

{

   cnt++;

   pSysProcess=(PSYSTEM_PROCESSES)buf;

   RtlUnicodeStringToAnsiString(&ansiStr,&pSysProcess->ProcessName,TRUE);

   printf("Name:%s\n",ansiStr.Buffer);

   RtlFreeAnsiString(&ansiStr);

   printf("ThreadCnt:%d\t",pSysProcess->ThreadCount);

   printf("Priority:%d\t",pSysProcess->BasePriority);

   printf("PID:%4d\t",pSysProcess->ProcessId);

   printf("PPID:%d\n",pSysProcess->InheritedFromProcessId);

   printf("HandleCnt:%d\n",pSysProcess->HandleCount);

   //在每一项SYSTEM_PROCESS结构的最后是一个接一个的SYSTEM_THREAD结构

   //输出每个线程的信息

   if (pSysProcess->ThreadCount&&pSysProcess->ProcessId)

   {

    DWORD i=;

    pSysThread=pSysProcess->Threads;

    for (;i<pSysProcess->ThreadCount;i++)

    {

     printf("Thread[%d] StartAddr:0x%08x\t",i+,pSysThread->StartAddress);

     printf("TID:%d\t",pSysThread->ClientId.UniqueThread);

     printf("SwitchCnt:%d\n",pSysThread->ContextSwitchCount);

     pSysThread++;

    }

   }

   //若NextEntryDelta为0,则表明已结束

   if (pSysProcess->NextEntryDelta==)

   {

    break;

   }

   buf=buf+pSysProcess->NextEntryDelta;

   printf("===============================================================\n");

}while ();

printf("Total:%d\n",cnt);

status=ZwFreeVirtualMemory(NtCurrentProcess(),(PVOID*)&p,&truelen,MEM_RELEASE);

return ;

}

写到这儿又想起了经典的Hook ZwQuerySystemInfoamation隐藏进程,其实SYSTEM_PROCESS结构中的NextEntryDelta作为指向下一个结构的偏移量,其作用类似于指针,使整体构成了一个单链表,要隐藏就是从链表中删除一个元素而已,简单的数据结构知识,呵呵~

【旧文章搬运】ZwQuerySystemInformation枚举进线程信息的更多相关文章

  1. 【旧文章搬运】更正一个枚举PspCidTable时的错误

    原文发表于百度空间及看雪论坛,2009-02-27 看雪论坛地址:https://bbs.pediy.com/thread-82919.htm============================= ...

  2. 【旧文章搬运】PspCidTable概述

    原文发表于百度空间,2009-03-28========================================================================== PspCi ...

  3. 【旧文章搬运】炉子给的SYSTEM_HANDLE_TYPE有点错误

    原文发表于百度空间,2008-12-03========================================================================== 今天写程序 ...

  4. 【旧文章搬运】Windows句柄表分配算法分析(一)

    原文发表于百度空间,2009-03-30========================================================================== 阅读提示: ...

  5. 【旧文章搬运】Windbg+Vmware驱动调试入门(三)---Windbg基本调试入门

    原文发表于百度空间,2009-01-09========================================================================== 这一节的内 ...

  6. 【旧文章搬运】对抗RKU的StealthCode检测

    原文发表于百度空间,2009-07-02========================================================================== 快一个月没 ...

  7. 【旧文章搬运】CsrssWalker学习笔记

    原文发表于百度空间及看雪论坛,2009-05-13 看雪论坛地址:https://bbs.pediy.com/thread-89708.htm============================= ...

  8. 【旧文章搬运】Windows句柄表分配算法分析(实验部分)

    原文发表于百度空间,2009-03-31========================================================================== 理论结合实 ...

  9. 【旧文章搬运】PspCidTable攻与防

    原文发表于百度空间,2009-03-29========================================================================== PspCi ...

随机推荐

  1. Maven生成项目文档

    Maven项目可以通过maven-site-plugin插件生成项目文档,无论什么项目都可以生成. 执行命令: mvn site 生成完成的输出目录在${basedir}/target/site文件夹 ...

  2. 实现uitable cell中点击button设置当前cell为选中状态

    - (void)buttonClick:(id)senser{    NSInteger tag = [senser tag];    NSLog(@"the button tag is % ...

  3. Oracle版本–EBS R12.1.1

    select * from v$version; Oracle Database 11g Enterprise Edition Release 11.1.0.7.0 - 64bit Productio ...

  4. BUPT复试专题—二叉排序树(2012)

    https://www.nowcoder.com/practice/b42cfd38923c4b72bde19b795e78bcb3?tpId=67&tqId=29644&rp=0&a ...

  5. Leetcode第1题至第10题 思路分析及C++实现

    笔者按照目录刷题,对于每一道题,力争使用效率最高(时间复杂度最低)的算法,并全部通过C++代码实现AC.(文中计算的复杂度都是最坏情况复杂度) 因为考虑到大部分读者已经在Leetcode浏览过题目了, ...

  6. Cg入门8:Vertex Shader - 更好的数据组织方式struct

    数据结构的使用:与C语言语法一样 參数的传递:參数匹配的是映射的语义的类型 输入输出:採用结构体,输入输出相应的參数的in和out可省略.函数的參数结构体就是输入參数集,函数的返回结构体就是输出參数集 ...

  7. odoo写邮件添加收件人

    在任何可以写消息的地方点击鼠标     或者回复消息     写消息的框会聚焦并变大             点击撰写框右上角的弹出窗图标     弹出完整的撰写消息窗口     在红色的地方添加收件 ...

  8. SpringBoot学习之启动报错【This application has no explicit mapping for /error.....】

    今天做SpringBoot小例子,在请求controller层的时候出现如下问题. Whitelabel Error Page This application has no explicit map ...

  9. SQL server创建和管理

    数据库函数的应用 数据库的查询方法 修改和替换数据库的数据

  10. java中类加载顺序(深入Java)

    未涉及虚拟机 0.<init>与<clinit>的区别 1.类的加载过程 2.类的使用方式 3.类的加载来源 4.重载之泛型参数不同可以吗 5.参考 引子 记得上次中秋一哥们写 ...