ZwQueryInfoMation函数很简单.就是4个参数.

NTSTATUS WINAPI ZwQuerySystemInformation(

  _In_      SYSTEM_INFORMATION_CLASS SystemInformationClass,

  _Inout_   PVOID                    SystemInformation,

  _In_      ULONG                    SystemInformationLength,

  _Out_opt_ PULONG                   ReturnLength

);

函数很简单.就4个参数. 参数已就是传个类型.代表你要查询什么类型.这个函数很强大.基本什么都是可以查询

参数2: 就是一个缓冲区.这个缓冲区是根据你查询的类型.当查询到数据.就会放到这个缓冲区.所以缓冲区可以接受你指定查询类型的数据.所以你想使用强转为一样的类型即可.

参数3: 缓冲区大小.

参数4: 返回大小

所以类别很多.但是MSDN不太全.看看下面吧. 可以定义类型.也有使用例子.

#include <stdio.h>

#include <windows.h>   

typedef LONG NTSTATUS;   

#define STATUS_SUCCESS                  ((NTSTATUS)0x00000000L)

#define STATUS_UNSUCCESSFUL             ((NTSTATUS)0xC0000001L)

#define STATUS_NOT_IMPLEMENTED          ((NTSTATUS)0xC0000002L)

#define STATUS_INVALID_INFO_CLASS       ((NTSTATUS)0xC0000003L)

#define STATUS_INFO_LENGTH_MISMATCH     ((NTSTATUS)0xC0000004L)   

typedef enum _SYSTEM_INFORMATION_CLASS

{

    SystemBasicInformation,                    //  0 Y N

    SystemProcessorInformation,             //  1 Y N

    SystemPerformanceInformation,           //  2 Y N

    SystemTimeOfDayInformation,             //  3 Y N

    SystemNotImplemented1,                  //  4 Y N

    SystemProcessesAndThreadsInformation,   //  5 Y N

    SystemCallCounts,                       //  6 Y N

    SystemConfigurationInformation,         //  7 Y N

    SystemProcessorTimes,                   //  8 Y N

    SystemGlobalFlag,                       //  9 Y Y

    SystemNotImplemented2,                  // 10 Y N

    SystemModuleInformation,                // 11 Y N

    SystemLockInformation,                  // 12 Y N

    SystemNotImplemented3,                  // 13 Y N

    SystemNotImplemented4,                  // 14 Y N

    SystemNotImplemented5,                  // 15 Y N

    SystemHandleInformation,                // 16 Y N

    SystemObjectInformation,                // 17 Y N

    SystemPagefileInformation,              // 18 Y N

    SystemInstructionEmulationCounts,       // 19 Y N

    SystemInvalidInfoClass1,                // 20

    SystemCacheInformation,                 // 21 Y Y

    SystemPoolTagInformation,               // 22 Y N

    SystemProcessorStatistics,              // 23 Y N

    SystemDpcInformation,                   // 24 Y Y

    SystemNotImplemented6,                  // 25 Y N

    SystemLoadImage,                        // 26 N Y

    SystemUnloadImage,                      // 27 N Y

    SystemTimeAdjustment,                   // 28 Y Y

    SystemNotImplemented7,                  // 29 Y N

    SystemNotImplemented8,                  // 30 Y N

    SystemNotImplemented9,                  // 31 Y N

    SystemCrashDumpInformation,             // 32 Y N

    SystemExceptionInformation,             // 33 Y N

    SystemCrashDumpStateInformation,        // 34 Y Y/N

    SystemKernelDebuggerInformation,        // 35 Y N

    SystemContextSwitchInformation,         // 36 Y N

    SystemRegistryQuotaInformation,         // 37 Y Y

    SystemLoadAndCallImage,                 // 38 N Y

    SystemPrioritySeparation,               // 39 N Y

    SystemNotImplemented10,                 // 40 Y N

    SystemNotImplemented11,                 // 41 Y N

    SystemInvalidInfoClass2,                // 42

    SystemInvalidInfoClass3,                // 43

    SystemTimeZoneInformation,              // 44 Y N

    SystemLookasideInformation,             // 45 Y N

    SystemSetTimeSlipEvent,                 // 46 N Y

    SystemCreateSession,                    // 47 N Y

    SystemDeleteSession,                    // 48 N Y

    SystemInvalidInfoClass4,                // 49

    SystemRangeStartInformation,            // 50 Y N

    SystemVerifierInformation,              // 51 Y Y

    SystemAddVerifier,                      // 52 N Y

    SystemSessionProcessesInformation       // 53 Y N   

} SYSTEM_INFORMATION_CLASS;   

typedef struct _LSA_UNICODE_STRING

{

    USHORT Length;

    USHORT MaximumLength;

    PWSTR Buffer;   

} LSA_UNICODE_STRING, *PLSA_UNICODE_STRING, UNICODE_STRING, *PUNICODE_STRING;   

typedef struct _CLIENT_ID

{

    HANDLE UniqueProcess;

    HANDLE UniqueThread;   

} CLIENT_ID;   

typedef enum _THREAD_STATE

{

    StateInitialized,

    StateReady,

    StateRunning,

    StateStandby,

    StateTerminated,

    StateWait,

    StateTransition,

    StateUnknown   

} THREAD_STATE;   

typedef enum _KWAIT_REASON

{

    Executive,

    FreePage,

    PageIn,

    PoolAllocation,

    DelayExecution,

    Suspended,

    UserRequest,

    WrExecutive,

    WrFreePage,

    WrPageIn,

    WrPoolAllocation,

    WrDelayExecution,

    WrSuspended,

    WrUserRequest,

    WrEventPair,

    WrQueue,

    WrLpcReceive,

    WrLpcReply,

    WrVirtualMemory,

    WrPageOut,

    WrRendezvous,

    Spare2,

    Spare3,

    Spare4,

    Spare5,

    Spare6,

    WrKernel   

} KWAIT_REASON;   

/*typedef struct _IO_COUNTERS

{

    LARGE_INTEGER ReadOperationCount;   //I/O读操作数目

    LARGE_INTEGER WriteOperationCount;  //I/O写操作数目

    LARGE_INTEGER OtherOperationCount;  //I/O其他操作数目

    LARGE_INTEGER ReadTransferCount;    //I/O读数据数目

    LARGE_INTEGER WriteTransferCount;   //I/O写数据数目

    LARGE_INTEGER OtherTransferCount;   //I/O其他操作数据数目   

} IO_COUNTERS, *PIO_COUNTERS;

  */

typedef struct _VM_COUNTERS

{

    ULONG PeakVirtualSize;              //虚拟存储峰值大小

    ULONG VirtualSize;                  //虚拟存储大小

    ULONG PageFaultCount;               //页故障数目

    ULONG PeakWorkingSetSize;           //工作集峰值大小

    ULONG WorkingSetSize;               //工作集大小

    ULONG QuotaPeakPagedPoolUsage;      //分页池使用配额峰值

    ULONG QuotaPagedPoolUsage;          //分页池使用配额

    ULONG QuotaPeakNonPagedPoolUsage;   //非分页池使用配额峰值

    ULONG QuotaNonPagedPoolUsage;       //非分页池使用配额

    ULONG PagefileUsage;                //页文件使用情况

    ULONG PeakPagefileUsage;            //页文件使用峰值   

} VM_COUNTERS, *PVM_COUNTERS;   

typedef LONG KPRIORITY;   

typedef struct _SYSTEM_THREADS

{

    LARGE_INTEGER KernelTime;

    LARGE_INTEGER UserTime;

    LARGE_INTEGER CreateTime;

    ULONG WaitTime;

    PVOID StartAddress;

    CLIENT_ID ClientId;

    KPRIORITY Priority;

    KPRIORITY BasePriority;

    ULONG ContextSwitchCount;

    THREAD_STATE State;

    KWAIT_REASON WaitReason;   

} SYSTEM_THREADS, *PSYSTEM_THREADS;   

typedef struct _SYSTEM_PROCESSES

{

    ULONG NextEntryDelta;

    ULONG ThreadCount;

    ULONG Reserved1[6];

    LARGE_INTEGER CreateTime;

    LARGE_INTEGER UserTime;

    LARGE_INTEGER KernelTime;

    UNICODE_STRING ProcessName;

    KPRIORITY BasePriority;

    ULONG ProcessId;

    ULONG InheritedFromProcessId;

    ULONG HandleCount;

    ULONG Reserved2[2];

    VM_COUNTERS  VmCounters;

    IO_COUNTERS IoCounters;

    SYSTEM_THREADS Threads[1];   

} SYSTEM_PROCESSES, *PSYSTEM_PROCESSES;   

typedef struct _SYSTEM_BASIC_INFORMATION

{

    BYTE Reserved1[24];

    PVOID Reserved2[4];

    CCHAR NumberOfProcessors;   

} SYSTEM_BASIC_INFORMATION;   

typedef struct tagSYSTEM_MODULE_INFORMATION {

    ULONG Reserved[2];

    PVOID Base;

    ULONG Size;

    ULONG Flags;

    USHORT Index;

    USHORT Unknown;

    USHORT LoadCount;

    USHORT ModuleNameOffset;

    CHAR ImageName[256];

} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;

typedef NTSTATUS (WINAPI *NTQUERYSYSTEMINFORMATION)(IN SYSTEM_INFORMATION_CLASS, IN OUT PVOID, IN ULONG, OUT PULONG OPTIONAL);   

int main(void)

{   

    HINSTANCE ntdll_dll = GetModuleHandle("ntdll.dll");

    if (ntdll_dll == NULL) {

        printf("load ntdll.dll failed.\n");

        return -1;

    }  

    NTQUERYSYSTEMINFORMATION ZwQuerySystemInformation = NULL;

    ZwQuerySystemInformation = (NTQUERYSYSTEMINFORMATION)GetProcAddress(ntdll_dll, "ZwQuerySystemInformation");

    if ( ZwQuerySystemInformation!=NULL )

    {

        SYSTEM_BASIC_INFORMATION sbi = {0};

        NTSTATUS status = ZwQuerySystemInformation(SystemBasicInformation, (PVOID)&sbi, sizeof(sbi), NULL);

        if ( status == STATUS_SUCCESS ) {

            printf("处理器个数:%d\r\n", sbi.NumberOfProcessors);

        } else {

            printf("\r\n SystemBasicInformation error");

        }   

        DWORD dwNeedSize = 0;

        BYTE *pBuffer = NULL;

        printf("---------------------所有进程信息----------------------------------------\n");

        PSYSTEM_PROCESSES psp=NULL;

        status = ZwQuerySystemInformation(SystemProcessesAndThreadsInformation, NULL, 0, &dwNeedSize);

        if ( status == STATUS_INFO_LENGTH_MISMATCH ) {

            pBuffer = new BYTE[dwNeedSize];

            status = ZwQuerySystemInformation(SystemProcessesAndThreadsInformation, (PVOID)pBuffer, dwNeedSize, NULL);

            if ( status == STATUS_SUCCESS )

            {

                psp = (PSYSTEM_PROCESSES)pBuffer;

                printf("PID  线程数 工作集大小 进程名\n");

                do {

                    printf("%-4d", psp->ProcessId);

                    printf(" %3d", psp->ThreadCount);

                    printf(" %8dKB", psp->VmCounters.WorkingSetSize/1024);

                    wprintf(L" %s\n", psp->ProcessName.Buffer);

                    psp = (PSYSTEM_PROCESSES)((ULONG)psp + psp->NextEntryDelta );

                } while ( psp->NextEntryDelta != 0 ); 

                delete []pBuffer;

                pBuffer = NULL;

            }else if ( status == STATUS_UNSUCCESSFUL ) {

                printf("\n STATUS_UNSUCCESSFUL");

            } else if ( status == STATUS_NOT_IMPLEMENTED ) {

                printf("\n STATUS_NOT_IMPLEMENTED");

            } else if ( status == STATUS_INVALID_INFO_CLASS ) {

                printf("\n STATUS_INVALID_INFO_CLASS");

            } else if ( status == STATUS_INFO_LENGTH_MISMATCH ) {

                printf("\n STATUS_INFO_LENGTH_MISMATCH");

            }

        }   

        printf("---------------------系统模块信息----------------------------------------\n");

        status = ZwQuerySystemInformation(SystemModuleInformation, NULL, 0, &dwNeedSize);

        if (status == STATUS_INFO_LENGTH_MISMATCH) {

            pBuffer = new BYTE[dwNeedSize];

            status = ZwQuerySystemInformation(SystemModuleInformation, pBuffer, dwNeedSize, &dwNeedSize);

            if (status == STATUS_SUCCESS) {

                UINT count = *((UINT*)pBuffer);

                printf("模块数:%d\n", count);

                printf("基地址 模块大小 引用计数 模块路径\n");

                PSYSTEM_MODULE_INFORMATION pmi = (PSYSTEM_MODULE_INFORMATION)(pBuffer + sizeof(ULONG));

                for (UINT i = 0; i < count; i++) {

                    printf("0x%08X ", pmi->Base);

                    printf("%8dKB ", pmi->Size / 1024);

                    printf("%2d ", pmi->LoadCount);

                    printf("%s\n", pmi->ImageName);

                    pmi++;

                }

            }

            delete []pBuffer;

        }

    } else {

        printf("Get ZwQuerySystemInformation address error!");

    }   

    FreeLibrary(ntdll_dll);   

    return 0;

此博客非原创.是自己用到的时候查询了一下.觉得有用.所以拷贝到自己博客上.原博客链接

https://www.cnblogs.com/wuliqv/archive/2012/06/20/2557009.html

ZwQuerySystemInfoMation函数使用的更多相关文章

  1. Python 小而美的函数

    python提供了一些有趣且实用的函数,如any all zip,这些函数能够大幅简化我们得代码,可以更优雅的处理可迭代的对象,同时使用的时候也得注意一些情况   any any(iterable) ...

  2. 探究javascript对象和数组的异同,及函数变量缓存技巧

    javascript中最经典也最受非议的一句话就是:javascript中一切皆是对象.这篇重点要提到的,就是任何jser都不陌生的Object和Array. 有段时间曾经很诧异,到底两种数据类型用来 ...

  3. JavaScript权威指南 - 函数

    函数本身就是一段JavaScript代码,定义一次但可能被调用任意次.如果函数挂载在一个对象上,作为对象的一个属性,通常这种函数被称作对象的方法.用于初始化一个新创建的对象的函数被称作构造函数. 相对 ...

  4. C++对C的函数拓展

    一,内联函数 1.内联函数的概念 C++中的const常量可以用来代替宏常数的定义,例如:用const int a = 10来替换# define a 10.那么C++中是否有什么解决方案来替代宏代码 ...

  5. 菜鸟Python学习笔记第一天:关于一些函数库的使用

    2017年1月3日 星期二 大一学习一门新的计算机语言真的很难,有时候连函数拼写出错查错都能查半天,没办法,谁让我英语太渣. 关于计算机语言的学习我想还是从C语言学习开始为好,Python有很多语言的 ...

  6. javascript中的this与函数讲解

    前言 javascript中没有块级作用域(es6以前),javascript中作用域分为函数作用域和全局作用域.并且,大家可以认为全局作用域其实就是Window函数的函数作用域,我们编写的js代码, ...

  7. 复杂的 Hash 函数组合有意义吗?

    很久以前看到一篇文章,讲某个大网站储存用户口令时,会经过十分复杂的处理.怎么个复杂记不得了,大概就是先 Hash,结果加上一些特殊字符再 Hash,结果再加上些字符.再倒序.再怎么怎么的.再 Hash ...

  8. JS核心系列:浅谈函数的作用域

    一.作用域(scope) 所谓作用域就是:变量在声明它们的函数体以及这个函数体嵌套的任意函数体内都是有定义的. function scope(){ var foo = "global&quo ...

  9. C++中的时间函数

    C++获取时间函数众多,何时该用什么函数,拿到的是什么时间?该怎么用?很多人都会混淆. 本文是本人经历了几款游戏客户端和服务器开发后,对游戏中时间获取的一点总结. 最早学习游戏客户端时,为了获取最精确 ...

随机推荐

  1. java之struts2之ajax

    1.Ajax 技术在现有开发中使用非常多,大多是做管理类型系统.在servlet中可以使用ajax.在struts2中共还可以使用servlet的方式来实现ajax. 2.案例:用户名检查 publi ...

  2. 搭建SpriBoot开发环境

      一.搭建springboot开发环境 需求:使用springboot搭建一个项目,编写一个controller控制器,使用浏览器正常访问 springboot1.x版本--> 基于sprin ...

  3. 如何回答——请简述MySQL索引类型

    想必大家在被问到这个问题的时候,在网上总是能搜到不同的回答,却又各不相同.其实这些答案大部分都是正确的,只不过在阐述MySQL索引类型的时候从不同方面入手而已.这里归纳如下,具体的机制可以参考其他博文 ...

  4. elasticsearch授权访问

    1.search guard插件 https://www.cnblogs.com/shifu204/p/6376683.html 2.Elasticsearch-http-basic 不支持es5,忽 ...

  5. javascript 区域外事件捕捉setCapture

    今天遇到了这个方法,便去度娘了解了下 函数功能:该函数在属于当前线程的指定窗口里设置鼠标捕获.一旦窗口捕获了鼠标,所有鼠标输入都针对该窗口,无论光标是否在窗口的边界内.同一时刻只能有一个窗口捕获鼠标. ...

  6. 内存域水印值:min_free_kbytes

    1.内存域水印值:需要为关键性分配保留的内存空间的最小值:该值保存在全局变量min_free_kbytes中 2.内存域水印值的计算由函数init_per_zone_pages_min完成: /* * ...

  7. 将Centos7的yum配置为阿里云的镜像(完美解决yum下载太慢的问题)

    2017-02-17 16:02:30 张老湿 阅读数 13768     http://mirrors.aliyun.com/help/centos?spm=5176.bbsr150321.0.0. ...

  8. 六、MySQL系列之数据备份(六)

    本篇主要介绍用户授权.以及数据备份等知识: 一.用户授权 首先我们需要知道的是: 所有的用户及权限信息都存储在mysql数据库下的user表中,故我们可以通过查看user表的记录来查看用户权限信息,当 ...

  9. java对象json序列化时忽略值为null的属性

    环境: jdk: openjdk11 操作系统: windows 10教育版1903 目的: 如题,当一个对象里有些属性值为null 的不想参与json序列化时,可以添加如下注解 import com ...

  10. @RequestMapping中的注解

    在org.springframework.spring-web的jar包中在以下层级下: org.springframework.web.bind.annotation; // // Source c ...