原文发表于百度空间,2008-10-15
==========================================================================

很古老的东西了,写一写,权当练手吧.
本来以为没什么难度,很科普很傻瓜的东西,但是写的时候还是遇到一些问题,进程信息正确,得到的线程信息总是不正确,后来分析了一下,发现这个ntdll sdk中定义的进程信息结构和线程信息结构都有点问题,可能它是来自《Win2000 Native API》一书,不适用于Windows XP。后来参考WRK修正了一下。线程信息结构也有问题,和WRK中的一样,但是结果仍然不正确,简单分析了一下,得出结构大小应为0x40,最终还是修正了一下,才有正确结果。
最终确定的进程结构如下:

typedef struct _SYSTEM_PROCESSES {

ULONG NextEntryDelta;

ULONG ThreadCount;

LARGE_INTEGER Reserved1[];

LARGE_INTEGER CreateTime;

LARGE_INTEGER UserTime;

LARGE_INTEGER KernelTime;

UNICODE_STRING ProcessName;

KPRIORITY BasePriority;

ULONG ProcessId;

ULONG InheritedFromProcessId;

ULONG HandleCount;

ULONG SessionId;

ULONG_PTR PageDirectoryBase;

VM_COUNTERS VmCounters;

ULONG PrivatePageCount;// add by achillis

IO_COUNTERS IoCounters;

SYSTEM_THREADS Threads[];

} SYSTEM_PROCESSES, *PSYSTEM_PROCESSES;

线程信息结构如下:

typedef struct _SYSTEM_THREADS{

    LARGE_INTEGER KernelTime;

    LARGE_INTEGER UserTime;

    LARGE_INTEGER CreateTime;

    ULONG WaitTime;

    PVOID StartAddress;

    CLIENT_ID ClientId;

    KPRIORITY Priority;

    LONG BasePriority;

    ULONG ContextSwitches;

    ULONG ThreadState;

    ULONG WaitReason;

    ULONG Reversed;//add by achillis

} SYSTEM_THREAD_INFORMATION,*PSYSTEM_THREADS;

红色部分是我增加的,也不知道到底对不对,但是目前为止在我的XP SP2上可以得到正确结果。
枚举进程和线程信息的代码如下:

int ShowProcess(void)

{

NTSTATUS status;

DWORD retlen,truelen;

char *buf=NULL,*p=NULL;

ANSI_STRING ansiStr;

int cnt=;

PSYSTEM_PROCESSES pSysProcess;

PSYSTEM_THREADS pSysThread;

status=ZwQuerySystemInformation(SystemProcessInformation,NULL,,&retlen);

truelen=retlen;

status=ZwAllocateVirtualMemory(NtCurrentProcess(),(PVOID*)&buf,,&retlen,MEM_COMMIT,PAGE_READWRITE);

printf("Size of SYSTEM_THREAD:%d\n",sizeof(SYSTEM_THREADS));

p=buf;

status=ZwQuerySystemInformation(SystemProcessInformation,buf,truelen,&retlen);

do

{

   cnt++;

   pSysProcess=(PSYSTEM_PROCESSES)buf;

   RtlUnicodeStringToAnsiString(&ansiStr,&pSysProcess->ProcessName,TRUE);

   printf("Name:%s\n",ansiStr.Buffer);

   RtlFreeAnsiString(&ansiStr);

   printf("ThreadCnt:%d\t",pSysProcess->ThreadCount);

   printf("Priority:%d\t",pSysProcess->BasePriority);

   printf("PID:%4d\t",pSysProcess->ProcessId);

   printf("PPID:%d\n",pSysProcess->InheritedFromProcessId);

   printf("HandleCnt:%d\n",pSysProcess->HandleCount);

   //在每一项SYSTEM_PROCESS结构的最后是一个接一个的SYSTEM_THREAD结构

   //输出每个线程的信息

   if (pSysProcess->ThreadCount&&pSysProcess->ProcessId)

   {

    DWORD i=;

    pSysThread=pSysProcess->Threads;

    for (;i<pSysProcess->ThreadCount;i++)

    {

     printf("Thread[%d] StartAddr:0x%08x\t",i+,pSysThread->StartAddress);

     printf("TID:%d\t",pSysThread->ClientId.UniqueThread);

     printf("SwitchCnt:%d\n",pSysThread->ContextSwitchCount);

     pSysThread++;

    }

   }

   //若NextEntryDelta为0,则表明已结束

   if (pSysProcess->NextEntryDelta==)

   {

    break;

   }

   buf=buf+pSysProcess->NextEntryDelta;

   printf("===============================================================\n");

}while ();

printf("Total:%d\n",cnt);

status=ZwFreeVirtualMemory(NtCurrentProcess(),(PVOID*)&p,&truelen,MEM_RELEASE);

return ;

}

写到这儿又想起了经典的Hook ZwQuerySystemInfoamation隐藏进程,其实SYSTEM_PROCESS结构中的NextEntryDelta作为指向下一个结构的偏移量,其作用类似于指针,使整体构成了一个单链表,要隐藏就是从链表中删除一个元素而已,简单的数据结构知识,呵呵~

【旧文章搬运】ZwQuerySystemInformation枚举进线程信息的更多相关文章

  1. 【旧文章搬运】更正一个枚举PspCidTable时的错误

    原文发表于百度空间及看雪论坛,2009-02-27 看雪论坛地址:https://bbs.pediy.com/thread-82919.htm============================= ...

  2. 【旧文章搬运】PspCidTable概述

    原文发表于百度空间,2009-03-28========================================================================== PspCi ...

  3. 【旧文章搬运】炉子给的SYSTEM_HANDLE_TYPE有点错误

    原文发表于百度空间,2008-12-03========================================================================== 今天写程序 ...

  4. 【旧文章搬运】Windows句柄表分配算法分析(一)

    原文发表于百度空间,2009-03-30========================================================================== 阅读提示: ...

  5. 【旧文章搬运】Windbg+Vmware驱动调试入门(三)---Windbg基本调试入门

    原文发表于百度空间,2009-01-09========================================================================== 这一节的内 ...

  6. 【旧文章搬运】对抗RKU的StealthCode检测

    原文发表于百度空间,2009-07-02========================================================================== 快一个月没 ...

  7. 【旧文章搬运】CsrssWalker学习笔记

    原文发表于百度空间及看雪论坛,2009-05-13 看雪论坛地址:https://bbs.pediy.com/thread-89708.htm============================= ...

  8. 【旧文章搬运】Windows句柄表分配算法分析(实验部分)

    原文发表于百度空间,2009-03-31========================================================================== 理论结合实 ...

  9. 【旧文章搬运】PspCidTable攻与防

    原文发表于百度空间,2009-03-29========================================================================== PspCi ...

随机推荐

  1. Ubuntu 16.04下在Shell终端下使用nautilus快速打开窗口文件夹

    Ubunut 16.04默认使用nautilus进行管理资源文件夹,nautilus默认是支持参数传递的. 使用: nautilus /dirurl 打开当前文件夹(可以使用$PWD代替): naut ...

  2. Spring注入内部的Beans

    以下内容引用自http://wiki.jikexueyuan.com/project/spring/injecting-inner-beans.html: 如你所知,Java内部类在其他类的范围内定义 ...

  3. NSTimer与NSRunLoop的关系分析

    NSTimer与NSRunLoop的关系分析 发表于 2013 年 6 月 27 日 由 bluev | 6 次浏览 最近关于NSTimer和NSRunLoop的关系,做了一个小试验.代码地址:htt ...

  4. 【c专家编程】分析c语言的声明

    联合: 在结构中,每个成员依次存储,而在联合中,所有成员都从偏移地址零开始存储,联合一般被用来节省空间,用法和struct相同. union bits32_tag { int whole; // 一个 ...

  5. centos7 网络不能重启问题 解决办法

    cnetos7 网络不可重启 突然解决办法 参考他人处理 之前部署hadoop环境,在自己机器上安装了一台centos虚拟机,然后图省事,就克隆出三台,一台为master,另两台来作为 slave. ...

  6. jQuery的ajax,当async为false时,同步操作失败。解决方式

    引发失败时代码: $.ajax({ url : 'your url', data:{name:value}, cache : false, async : true, type : "POS ...

  7. windows 怎么验证域名是否开启了 https

    由于 ping 是针对 IP 层的,只能检查当前系统网络与网络中某个IP,某个域名是否连通. 当我们需要验证域名是否开启了 https时,用如下方法: 1. 下载tcping.exe,放到本机C盘根目 ...

  8. HDU 5366:The mook jong 递推

    The mook jong  Accepts: 506  Submissions: 1281  Time Limit: 2000/1000 MS (Java/Others)  Memory Limit ...

  9. MVC框架的优缺点

    MVC框架的优缺点 解析:M(Model)-模型,V(View)-视图.C(Controller)-控制器 作用:M-处理应用程序数据部分,V-处理数据展示的部分.C-处理用户交互,逻辑功能实现 1. ...

  10. Sublime Text2-Control Package---ShinePans

    1.打开sublime Text2 2.菜单条中的preference>>BrowsePackages 3.退到上一级打开Installed Packages 4.拷贝文件到此目录 (Pa ...