2. 程式人生 > >【舊文章搬運】ZwQuerySystemInformation列舉進執行緒資訊

【舊文章搬運】ZwQuerySystemInformation列舉進執行緒資訊

阿新 發佈:2018-12-26

原文發表於百度空間,2008-10-15
==========================================================================

很古老的東西了,寫一寫,權當練手吧.
本來以為沒什麼難度,很科普很傻瓜的東西,但是寫的時候還是遇到一些問題,程序資訊正確,得到的執行緒資訊總是不正確,後來分析了一下,發現這個ntdll sdk中定義的程序資訊結構和執行緒資訊結構都有點問題,可能它是來自《Win2000 Native API》一書,不適用於Windows XP。後來參考WRK修正了一下。執行緒資訊結構也有問題,和WRK中的一樣,但是結果仍然不正確,簡單分析了一下,得出結構大小應為0x40,最終還是修正了一下,才有正確結果。
最終確定的程序結構如下:

typedef struct _SYSTEM_PROCESSES {
ULONG NextEntryDelta;
ULONG ThreadCount;
LARGE_INTEGER Reserved1[3];
LARGE_INTEGER CreateTime;
LARGE_INTEGER UserTime;
LARGE_INTEGER KernelTime;
UNICODE_STRING ProcessName;
KPRIORITY BasePriority;
ULONG ProcessId;
ULONG InheritedFromProcessId;
ULONG HandleCount;
ULONG SessionId;
ULONG_PTR PageDirectoryBase;
VM_COUNTERS VmCounters;
ULONG PrivatePageCount;
 
// add by achillis
IO_COUNTERS IoCounters;
SYSTEM_THREADS Threads[1];
} SYSTEM_PROCESSES, *PSYSTEM_PROCESSES;

 

執行緒資訊結構如下:

typedef struct _SYSTEM_THREADS{
    LARGE_INTEGER KernelTime;
    LARGE_INTEGER UserTime;
    LARGE_INTEGER CreateTime;
    ULONG WaitTime;
    PVOID StartAddress;
    CLIENT_ID ClientId;
    KPRIORITY Priority;
    LONG BasePriority;
    ULONG ContextSwitches;
    ULONG ThreadState;
    ULONG WaitReason;
    ULONG Reversed;
 
//add by achillis
} SYSTEM_THREAD_INFORMATION,*PSYSTEM_THREADS;

 

紅色部分是我增加的,也不知道到底對不對,但是目前為止在我的XP SP2上可以得到正確結果。
列舉程序和執行緒資訊的程式碼如下:

int ShowProcess(void)
{
NTSTATUS status;
DWORD retlen,truelen;
char *buf=NULL,*p=NULL;
ANSI_STRING ansiStr;
int cnt=0;
PSYSTEM_PROCESSES pSysProcess;
PSYSTEM_THREADS pSysThread;
status=ZwQuerySystemInformation(SystemProcessInformation,NULL,0,&retlen);
truelen=retlen;
status=ZwAllocateVirtualMemory(NtCurrentProcess(),(PVOID*)&buf,0,&retlen,MEM_COMMIT,PAGE_READWRITE);
printf("Size of SYSTEM_THREAD:%d\n",sizeof(SYSTEM_THREADS));
p=buf;
status=ZwQuerySystemInformation(SystemProcessInformation,buf,truelen,&retlen);
do
{
   cnt++;
   pSysProcess=(PSYSTEM_PROCESSES)buf;
   RtlUnicodeStringToAnsiString(&ansiStr,&pSysProcess->ProcessName,TRUE);
   printf("Name:%s\n",ansiStr.Buffer);
   RtlFreeAnsiString(&ansiStr);
   printf("ThreadCnt:%d\t",pSysProcess->ThreadCount);
   printf("Priority:%d\t",pSysProcess->BasePriority);
   printf("PID:%4d\t",pSysProcess->ProcessId);
   printf("PPID:%d\n",pSysProcess->InheritedFromProcessId);
   printf("HandleCnt:%d\n",pSysProcess->HandleCount);
   //在每一項SYSTEM_PROCESS結構的最後是一個接一個的SYSTEM_THREAD結構
   //輸出每個執行緒的資訊
   if (pSysProcess->ThreadCount&&pSysProcess->ProcessId)
   {
    DWORD i=0;
    pSysThread=pSysProcess->Threads;
    for (;i<pSysProcess->ThreadCount;i++)
    {
     printf("Thread[%d] StartAddr:0x%08x\t",i+1,pSysThread->StartAddress);
     printf("TID:%d\t",pSysThread->ClientId.UniqueThread);
     printf("SwitchCnt:%d\n",pSysThread->ContextSwitchCount);
     pSysThread++;
    }
   }
   //若NextEntryDelta為0,則表明已結束
   if (pSysProcess->NextEntryDelta==0)
   {
    break;
   }
   buf=buf+pSysProcess->NextEntryDelta;
   printf("===============================================================\n");
}while (1);
printf("Total:%d\n",cnt);
status=ZwFreeVirtualMemory(NtCurrentProcess(),(PVOID*)&p,&truelen,MEM_RELEASE);
return 0;
}

 

寫到這兒又想起了經典的Hook ZwQuerySystemInfoamation隱藏程序,其實SYSTEM_PROCESS結構中的NextEntryDelta作為指向下一個結構的偏移量,其作用類似於指標,使整體構成了一個單鏈表,要隱藏就是從連結串列中刪除一個元素而已,簡單的資料結構知識,呵呵~

相關推薦

文章搬運ZwQuerySystemInformation列舉執行資訊

原文發表於百度空間,2008-10-15========================================================================== 很古老的東西了,寫一寫,權當練手吧.本來以為沒什麼難度,很科普很傻瓜的東西,但是寫的時候還是遇到一些問題,程序資訊正確

文章搬運ZwQuerySystemInformation枚舉內核模塊及簡單應用

接下來 smo and obj 基址 add dwr 調用 mit 原文發表於百度空間,2008-10-24========================================================================== 簡單說,即調用

文章搬運遍歷EPROCESS中的ActiveProcessLinks列舉程序

原文發表於百度空間,2008-7-25========================================================================== 前面對PEB的相關結構和其中的重要成員進行了分析和學習,現在開始真正進入核心,學習核心中的一些結構.這個EPROCESS

文章搬運Idle程相關的一些東西

表頭 arr ffd 共享 如何 initials pro == ogre 原文發表於百度空間,2009-05-13========================================================================== Idl

文章搬運Windows核心常見資料結構(程序相關)

原文發表於百度空間,2008-7-24========================================================================== 程序的相關結構非常重要,重點學習~有一些內容參考自:http://dev.csdn.net/article/20/202

文章搬運Windows核心常見資料結構(驅動相關)

原文發表於百度空間,2008-7-24========================================================================== 這些是驅動中相關的資料結構. 驅動物件,由I/O管理器建立,用於管理裝置(Device):lkd> dt _DR

文章搬運獲取並修改PEB中的映像路徑,命令列和當前目錄

原文發表於百度空間,2008-7-24 當時對UNICODE_STRING的使用還有點問題,導致最終效果圖中字串被截斷了========================================================================== 先從分析PEB開始吧.感覺分析這個東

文章搬運Windows核心常見資料結構(執行相關)

原文發表於百度空間,2008-7-24========================================================================== 執行緒是程序的實際存在,每個程序中至少會有一個執行緒.執行緒相關的資料結構比較多,一個一個看.首先是ETHREAD:lk

文章搬運暴力的查程序方法

原文發表於百度空間,2008-7-25========================================================================== 忘了在哪兒看到的了,就是讓pid從1開始使用OpenProcess來開啟程序,然後根據得到的控制代碼獲取程序名稱.絕對的

文章搬運修改PEB,斷鏈隱藏模組成功

原文發表於百度空間,2008-7-26========================================================================== 繼續實踐之前的想法,就是斷掉如下這個結構中的雙向連結串列: typedef struct _LDR_MODULE

文章搬運爐子給的SYSTEM_HANDLE_TYPE有點錯誤

原文發表於百度空間,2008-12-03========================================================================== 今天寫程式,用ZwQuerySystemInformation列舉系統中的檔案控制代碼時出了問題,死活一個都找不到,可

文章搬運Windbg+Vmware驅動除錯入門(一)--Windbg的設定

原文發表於百度空間,2009-01-08========================================================================== Windbg+Vmware驅動除錯入門,寫給wakaka小童鞋,很強大的小童鞋,同時也做為自己的存檔~~ Windb

文章搬運Windbg+Vmware驅動除錯入門(三)---Windbg基本除錯入門

原文發表於百度空間,2009-01-09========================================================================== 這一節的內容是Windbg入門,用一些基本的命令告訴你如何使用Windbg~~僅作入門,更詳細的可以參考Raymond

文章搬運Windbg+Vmware驅動除錯入門(二)---Vmware及GuestOS的設定

原文發表於百度空間,2009-01-08========================================================================== 這一篇是主要是關於Vmware部分的設定,其實參考JIURL那篇很經典的《藉助VMware實現單機使用WinDbg》就

文章搬運Windbg+Vmware驅動除錯入門(四)---VirtualKD核心除錯加速工具

原文發表於百度空間,2009-01-09========================================================================== 今天又想起來VirtualKD這個東西,試用了一下,真是爽壞了,可能我火星了~~ 很久以前就知道小喂有個VmKd工具

文章搬運PspCidTable概述

原文發表於百度空間,2009-03-28========================================================================== PspCidTable也是一個控制代碼表,其格式與普通的控制代碼表是完全一樣的.但它與每個程序私有的控制代碼表有以下不

文章搬運Windows控制代碼表分配演算法分析(三)

原文發表於百度空間,2009-03-30========================================================================== 三、當需要申請一個新的二級表(MidLevelTable)時,呼叫ExpAllocateMidLevelTable函式

文章搬運Windows控制代碼表分配演算法分析(實驗部分)

原文發表於百度空間,2009-03-31========================================================================== 理論結合實踐,這是我一貫的學習方法~~實驗目的:以實驗的方式觀察PspCidTable的變化,從中瞭解Windows控

文章搬運除錯沒有符號的驅動時如何斷在入口點處

原文發表於百度空間,2009-04-17========================================================================== 關於除錯沒有符號的驅動時如何斷在入口點處這個問題,先說一個我聽來的很挫的方法:用C32ASM修改DriverEntry

文章搬運CsrssWalker學習筆記

RoCE 需要 ren 接收 構建 ted struct expected com 原文發表於百度空間及看雪論壇,2009-05-13 看雪論壇地址:https://bbs.pediy.com/thread-89708.htm=======================