说明: SYSTEM_INFORMATION_CLASS 的5号功能枚举进程信息。其是这个函数对应着ring3下的 NtQuerySystemInformation,但msdn上说win8以后ZwQuerySystemInformation函数已经不可用,本人也没有在win8下测试过。留给读者自己实验吧。顺便罗嗦一下,不像ring3下使用此函数是要先LoadLibrary,然后GetProcAddress。内核下就简单了,直接声明一下就可以用了(就是这个宏:NTSYSAPI),下面直接附上代码:

#include <ntddk.h>

#define SystemProcessesAndThreadsInformation 5

typedef struct _SYSTEM_PROCESSES

{

	ULONG NextEntryDelta;

	ULONG ThreadCount;

	ULONG Reserved[6];

	LARGE_INTEGER CreateTime;

	LARGE_INTEGER UserTime;

	LARGE_INTEGER KernelTime;

	UNICODE_STRING ProcessName;

	KPRIORITY BasePriority;

	ULONG ProcessId;

	ULONG InheritedFromProcessId;

	ULONG HandleCount;

	ULONG Reserved2[2];

	VM_COUNTERS VmCounters;

	IO_COUNTERS IoCounters;

} _SYSTEM_PROCESSES, *PSYSTEM_PROCESSES;

NTSTATUS EnumSystemProcess( );

NTSYSAPI

NTSTATUS

NTAPI ZwQuerySystemInformation(

IN ULONG SystemInformationClass,

IN OUT PVOID SystemInformation,

IN ULONG SystemInformationLength,

OUT PULONG ReturnLength

);

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath);

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath)

{

	UNREFERENCED_PARAMETER(DriverObject);

	UNREFERENCED_PARAMETER(RegistryPath);

	NTSTATUS status = STATUS_SUCCESS;

	status  = EnumSystemProcess( );

	return status;

}

NTSTATUS EnumSystemProcess( )

{

	NTSTATUS status = STATUS_UNSUCCESSFUL;

	*pRet = FALSE;

	PSYSTEM_PROCESSES pProcessInfo = NULL;

	PSYSTEM_PROCESSES pTemp = NULL;//这个留作以后释放指针的时候用。

	ULONG ulNeededSize;

	ULONG ulNextOffset;

	if (NULL == pProcess)

	{

		return status;

	}

        //第一次使用肯定是缓冲区不够,不过本人在极少数的情况下第二次也会出现不够,所以用while循环

	status = ZwQuerySystemInformation(SystemProcessesAndThreadsInformation , pProcessInfo, 0, &ulNeededSize);

	while (STATUS_INFO_LENGTH_MISMATCH == status)

	{

		pProcessInfo = ExAllocatePoolWithTag(NonPagedPool, ulNeededSize, '1aes');

		pTemp = pProcessInfo;

		if (NULL == pProcessInfo)

		{

			KdPrint(("[allocatePoolWithTag] failed"));

			return status;

		}

		status = ZwQuerySystemInformation(SystemProcessesAndThreadsInformation , pProcessInfo, ulNeededSize, &ulNeededSize);

	}

	if (NT_SUCCESS(status))

	{

		KdPrint(("[ZwQuerySystemInformation]success bufferSize:%x", ulNeededSize));

	}

        else

        {

               KdPrint(("[error]:++++%d", status));

               return status;

        }

	do

	{

		KdPrint(("[imageName Buffer]:%08x", pProcessInfo->ProcessName.Buffer));

		if (MmIsAddressValid(pProcessInfo->ProcessName.Buffer) && NULL != pProcessInfo)

		{

			KdPrint(("[ProcessID]:%d , [imageName]:%ws", pProcessInfo->ProcessId, pProcessInfo->ProcessName.Buffer));

		}

		ulNextOffset = pProcessInfo->NextEntryDelta;

		pProcessInfo = (PSYSTEM_PROCESSES)((PUCHAR)pProcessInfo + pProcessInfo->NextEntryDelta);

	} while (ulNextOffset != 0);

	ExFreePoolWithTag(pTemp, '1aes');

	return status;

}

DbgView查看输出:

分析:win7 x86下运行可得到上面的结果,从结果从可以看在进程链表中,链表的第一个节点是无效的,所以应该事先判断内存的有效性,在进行输出,当时就应为这个问题蓝屏了好多次。害的真惨!!!

后记:这里补充一下 SYSTEM_INFORMATION_CLASS 结构:

typedef enum _SYSTEM_INFORMATION_CLASS {

    SystemBasicInformation,

    SystemProcessorInformation,

    SystemPerformanceInformation,

    SystemTimeOfDayInformation,

    SystemPathInformation,

    SystemProcessInformation,   //5号功能

    SystemCallCountInformation,

    SystemDeviceInformation,

    SystemProcessorPerformanceInformation,

    SystemFlagsInformation,

    SystemCallTimeInformation,

    SystemModuleInformation,

    SystemLocksInformation,

    SystemStackTraceInformation,

    SystemPagedPoolInformation,

    SystemNonPagedPoolInformation,

    SystemHandleInformation,

    SystemObjectInformation,

    SystemPageFileInformation,

    SystemVdmInstemulInformation,

    SystemVdmBopInformation,

    SystemFileCacheInformation,

    SystemPoolTagInformation,

    SystemInterruptInformation,

    SystemDpcBehaviorInformation,

    SystemFullMemoryInformation,

    SystemLoadGdiDriverInformation,

    SystemUnloadGdiDriverInformation,

    SystemTimeAdjustmentInformation,

    SystemSummaryMemoryInformation,

    SystemNextEventIdInformation,

    SystemEventIdsInformation,

    SystemCrashDumpInformation,

    SystemExceptionInformation,

    SystemCrashDumpStateInformation,

    SystemKernelDebuggerInformation,

    SystemContextSwitchInformation,

    SystemRegistryQuotaInformation,

    SystemExtendServiceTableInformation,

    SystemPrioritySeperation,

    SystemPlugPlayBusInformation,

    SystemDockInformation,

    SystemPowerInformation,

    SystemProcessorSpeedInformation,

    SystemCurrentTimeZoneInformation,

    SystemLookasideInformation

} SYSTEM_INFORMATION_CLASS, *PSYSTEM_INFORMATION_CLASS;

枚举进程常用5号功能,5号功能结构对应的结构中有很多信息,包括进程Id,父进程名等重要信息,但5号功能的结构有很多种写法,

下面说一下我所知道的三种写法:

1)第一种:

typedef struct _SYSTEM_PROCESS_INFORMATION {

	ULONG NextEntryOffset;      //下一个结构的偏移量,最后一个偏移量为0

	ULONG NumberOfThreads;

	LARGE_INTEGER SpareLi1;

	LARGE_INTEGER SpareLi2;

	LARGE_INTEGER SpareLi3;

	LARGE_INTEGER CreateTime;

	LARGE_INTEGER UserTime;

	LARGE_INTEGER KernelTime;

	UNICODE_STRING ImageName;     //进程名

	KPRIORITY BasePriority;

	HANDLE UniqueProcessId;               //进程ID

	HANDLE InheritedFromUniqueProcessId;   //父进程ID

	ULONG HandleCount;

	ULONG SessionId;       //会话ID

	ULONG_PTR PageDirectoryBase;

	SIZE_T PeakVirtualSize;

	SIZE_T VirtualSize;

	ULONG PageFaultCount;

	SIZE_T PeakWorkingSetSize;

	SIZE_T WorkingSetSize;

	SIZE_T QuotaPeakPagedPoolUsage;

	SIZE_T QuotaPagedPoolUsage;

	SIZE_T QuotaPeakNonPagedPoolUsage;

	SIZE_T QuotaNonPagedPoolUsage;

	SIZE_T PagefileUsage;

	SIZE_T PeakPagefileUsage;

	SIZE_T PrivatePageCount;

	LARGE_INTEGER ReadOperationCount;

	LARGE_INTEGER WriteOperationCount;

	LARGE_INTEGER OtherOperationCount;

	LARGE_INTEGER ReadTransferCount;

	LARGE_INTEGER WriteTransferCount;

	LARGE_INTEGER OtherTransferCount;

} SYSTEM_PROCESS_INFORMATION, *PSYSTEM_PROCESS_INFORMATION;

1)第二种

typedef struct _SYSTEM_PROCESSES

{

	ULONG NextEntryDelta;

	ULONG ThreadCount;

	ULONG Reserved[6];

	LARGE_INTEGER CreateTime;

	LARGE_INTEGER UserTime;

	LARGE_INTEGER KernelTime;

	UNICODE_STRING ProcessName;

	KPRIORITY BasePriority;

	ULONG ProcessId;

	ULONG InheritedFromProcessId;

	ULONG HandleCount;

	ULONG Reserved2[2];

	VM_COUNTERS VmCounters;

	IO_COUNTERS IoCounters;

} _SYSTEM_PROCESSES, *PSYSTEM_PROCESSES;

3)第三种

typedef struct _SYSTEM_THREAD {

	LARGE_INTEGER           KernelTime;

	LARGE_INTEGER           UserTime;

	LARGE_INTEGER           CreateTime;

	ULONG                   WaitTime;

	PVOID                   StartAddress;

	CLIENT_ID               ClientId;

	KPRIORITY               Priority;

	LONG                    BasePriority;

	ULONG                   ContextSwitchCount;

	ULONG                   State;

	KWAIT_REASON            WaitReason;

} SYSTEM_THREAD, *PSYSTEM_THREAD;//

typedef struct _SYSTEM_PROCESS_INFORMATION {

	ULONG                   NextEntryOffset; //NextEntryDelta 构成结构序列的偏移量

	ULONG                   NumberOfThreads; //线程数目

	LARGE_INTEGER           Reserved[3];

	LARGE_INTEGER           CreateTime;   //创建时间

	LARGE_INTEGER           UserTime;     //用户模式(Ring 3)的CPU时间

	LARGE_INTEGER           KernelTime;   //内核模式(Ring 0)的CPU时间

	UNICODE_STRING          ImageName;    //进程名称

	KPRIORITY               BasePriority; //进程优先权

	HANDLE                  ProcessId;    //ULONG UniqueProcessId 进程标识符

	HANDLE                  InheritedFromProcessId; //父进程的标识符

	ULONG                   HandleCount; //句柄数目

	ULONG                   Reserved2[2];

	ULONG                   PrivatePageCount;

	VM_COUNTERS             VirtualMemoryCounters; //虚拟存储器的结构

	IO_COUNTERS             IoCounters; //IO计数结构

	SYSTEM_THREAD           Threads[1]; //进程相关线程的结构数组

} SYSTEM_PROCESS_INFORMATION, *PSYSTEM_PROCESS_INFORMATION;

其实这三种结构是相同的,用上面的任意一种代替5号功能的结构都可以实现枚举,本人亲自试验过,没有出现任何问题。

就看个人喜欢用哪一个了,说实话本人喜欢用第一个。

内核下枚举进程 (二)ZwQuerySystemInformation的更多相关文章

  1. Linux内核分析(二)----内核模块简介|简单内核模块实现

    原文:Linux内核分析(二)----内核模块简介|简单内核模块实现 Linux内核分析(二) 昨天我们开始了内核的分析,网上有很多人是用用源码直接分析,这样造成的问题是,大家觉得很枯燥很难理解,从某 ...

  2. “Linux内核分析”实验二报告

    张文俊 + 原创作品转载请注明出处 + <Linux内核分析>MOOC课程http://mooc.study.163.com/course/USTC-1000029000 一.第二周学习内 ...

  3. 痞子衡嵌入式:超级下载算法(RT-UFL)开发笔记(1) - 执行在不同CM内核下

    大家好,我是痞子衡,是正经搞技术的痞子.今天痞子衡给大家介绍的是超级下载算法开发笔记(1)之执行在不同CM内核下. 文接上篇 <RT-UFL - 一个适用全平台i.MXRT的超级下载算法设计&g ...

  4. Windows内核下操作字符串!

    * Windows内核下操作字符串! */ #include <ntddk.h> #include <ntstrsafe.h> #define BUFFER_SIZE 1024 ...

  5. python下实现二叉堆以及堆排序

    python下实现二叉堆以及堆排序 堆是一种特殊的树形结构, 堆中的数据存储满足一定的堆序.堆排序是一种选择排序, 其算法复杂度, 时间复杂度相对于其他的排序算法都有很大的优势. 堆分为大头堆和小头堆 ...

  6. Linux内核学习笔记二——进程

    Linux内核学习笔记二——进程   一 进程与线程 进程就是处于执行期的程序,包含了独立地址空间,多个执行线程等资源. 线程是进程中活动的对象,每个线程都拥有独立的程序计数器.进程栈和一组进程寄存器 ...

  7. QrenCode : 命令行下生成二维码图片

    对于二维码大家应该并不陌生,英文名为 2-dimensional bar code 或 QR Code,是一种用图形记载信息的技术,最常见的是应用在手机应用上.用户通过手机摄像头扫描二维码或输入二维码 ...

  8. QrenCode : linux命令行下生成二维码图片

    原文链接:http://wowubuntu.com/qrencode.html # 作者:riku/ / 本文采用CC BY-NC-SA 2.5协议授权,转载请注明本文链接. 对于二维码大家应该并不陌 ...

  9. windows 内核下获取进程路径

    windows 内核下获取进程路径 思路:1):在EPROCESS结构中获取.此时要用到一个导出函数:PsGetProcessImageFileName,申明如下: NTSYSAPI UCHAR *  ...

随机推荐

  1. NOIp2018集训test-9-5(am)

    Problem A. maze 递归处理,题解写得真简单. 我大概这辈子也写不出来这种东西吧. Problem B. count 容易发现合法的数中一定有且仅有两个数加起来等于10,其他数两两配对加起 ...

  2. Java-Class-C:org.springframework.http.converter.StringHttpMessageConverter

    ylbtech-Java-Class-C:org.springframework.http.converter.StringHttpMessageConverter 1.返回顶部 1.1. impor ...

  3. 剑指offer——03替换空格

    题目描述 请实现一个函数,将一个字符串中的每个空格替换成“%20”.例如,当字符串为We Are Happy.则经过替换之后的字符串为We%20Are%20Happy.   注意事项: <剑指o ...

  4. [Java]读取文件方法大全(转载)

    1.按字节读取文件内容2.按字符读取文件内容3.按行读取文件内容4.随机读取文件内容 public class ReadFromFile { /** * 以字节为单位读取文件,常用于读二进制文件,如图 ...

  5. 01、requests 基本使用

    requests模块的基本使用 基于网络请求的模块. 环境的安装:pip install requests 作用:模拟浏览器发起请求 分析requests的编码流程: 1.指定url 2.发起了请求 ...

  6. Visual Studio Git代码管理环境部署

    Visual Studio 2010 部署Git代码管理环境. 第一:首先做Git的安装和环境部署 1.下载并安装Git软件,在windows环境下的Git叫做“msysGit”,官网地址为https ...

  7. java内存模型和垃圾回收

    摘抄并用于自查 JVM内存模型 1. Java程序具体执行的过程: Java源代码文件(.java后缀)会被Java编译器编译为字节码文件(.class后缀) 由JVM中的类加载器加载各个类的字节码文 ...

  8. Error: Cannot find module '@babel/core'

    报错如下 产生原因 babel-loader和babel-core版本不对应所产生的, babel-loader 8.x对应babel-core 7.x babel-loader 7.x对应babel ...

  9. spring整合Quartz框架过程,大家可以参考下

    这篇文章详细介绍了spring集成quartz框架流程,通过示例代码进行了详细说明,对学习或任务有参考学习价值,并可供需要的朋友参考. 1.quartz框架简介(m.0831jl.com) quart ...

  10. 1003CSP-S模拟测试赛后总结

    我是垃圾……我只会骗分. 拿到题目通读一遍,感觉T3(暴力)是个树剖+线段树. 刚学了树刨我这个兴奋啊.然而手懒决定最后再说. 对着T1一顿yyxjb码了个60pts的测试点分治就失去梦想了.(顺便围 ...