ZwQuerySystemInformation 怎么用

王金龙

ZwQuerySystemInformation 怎么用啊
.版本 2
.DLL命令 ZwQuerySystemInformation, 整数型, "ntdll.dll", "ZwQuerySystemInformation"
    .参数 SystemInformationClass, 整数型
    .参数 SystemInformation, 字节集
    .参数 SystemInformationLength, 整数型
    .参数 ReturnLength, 整数型, 传址
谁呢告诉我这个用法怎么写呢  每个参数的意思
比较笨    忘大哥大姐能写清楚  最好能来个源码看看

孤独爱恋

很明白了吧？插入一个DLL命令，然后把你的这段东西复制进去，就好了，可以在窗口程序集里调用了，相当于一个子程序一样

finemi

谈到进程的隐藏和隐藏进程的检测，我们不得不提到这个windows未导出zwquerysysteminformation这个函数。。


NTSTATUS
NTAPI
ZwQuerySystemInformation(
       ULONG SystemInformationClass,
       PVOID SystemInformation,
       ULONG SystemInformationLength,
       PULONG ReturnLength
       );
查了很多资料，也没有对这个函数做过多的说明大多都是抄来抄去的~~
现在也来总结下。。

第一个参数是一个枚举类型，传入的是你需要查询的信息的类型，如果你要查询进程的相关信息，则你需要传入SystemProcessesAndThreadsInformation，以下是这个enmu类型的定义。
typedef enum _SYSTEM_INFORMATION_CLASS {
SystemBasicInformation, // 0 Y N
SystemProcessorInformation, // 1 Y N
SystemPerformanceInformation, // 2 Y N
SystemTimeOfDayInformation, // 3 Y N
SystemNotImplemented1, // 4 Y N
SystemProcessesAndThreadsInformation, // 5 Y N
SystemCallCounts, // 6 Y N
SystemConfigurationInformation, // 7 Y N
SystemProcessorTimes, // 8 Y N
SystemGlobalFlag, // 9 Y Y
SystemNotImplemented2, // 10 Y N
SystemModuleInformation, // 11 Y N
SystemLockInformation, // 12 Y N
SystemNotImplemented3, // 13 Y N
SystemNotImplemented4, // 14 Y N
SystemNotImplemented5, // 15 Y N
SystemHandleInformation, // 16 Y N
SystemObjectInformation, // 17 Y N
SystemPagefileInformation, // 18 Y N
SystemInstructionEmulationCounts, // 19 Y N
SystemInvalidInfoClass1, // 20
SystemCacheInformation, // 21 Y Y
SystemPoolTagInformation, // 22 Y N
SystemProcessorStatistics, // 23 Y N
SystemDpcInformation, // 24 Y Y
SystemNotImplemented6, // 25 Y N
SystemLoadImage, // 26 N Y
SystemUnloadImage, // 27 N Y
SystemTimeAdjustment, // 28 Y Y
SystemNotImplemented7, // 29 Y N
SystemNotImplemented8, // 30 Y N
SystemNotImplemented9, // 31 Y N
SystemCrashDumpInformation, // 32 Y N
SystemExceptionInformation, // 33 Y N
SystemCrashDumpStateInformation, // 34 Y Y/N
SystemKernelDebuggerInformation, // 35 Y N
SystemContextSwitchInformation, // 36 Y N
SystemRegistryQuotaInformation, // 37 Y Y
SystemLoadAndCallImage, // 38 N Y
SystemPrioritySeparation, // 39 N Y
SystemNotImplemented10, // 40 Y N
SystemNotImplemented11, // 41 Y N
SystemInvalidInfoClass2, // 42
SystemInvalidInfoClass3, // 43
SystemTimeZoneInformation, // 44 Y N
SystemLookasideInformation, // 45 Y N
SystemSetTimeSlipEvent, // 46 N Y
SystemCreateSession, // 47 N Y
SystemDeleteSession, // 48 N Y
SystemInvalidInfoClass4, // 49
SystemRangeStartInformation, // 50 Y N
SystemVerifierInformation, // 51 Y Y
SystemAddVerifier, // 52 N Y
SystemSessionProcessesInformation // 53 Y N
}SYSTEM_INFORMATION_CLASS;
第二个参数是你用来接收信息的一片内存区域,第三个参数是这边内存的大小，第四个参数不是必选的.
当我们第一个参数传入的是SystemProcessesAndThreadsInformation则返回的一片内存空间一个PSYSTEM_PROCESSES的结构。
当然我们也要看看这个结构的内容：
typedef struct _SYSTEM_PROCESSES
{
ULONG NextEntryDelta; //构成结构序列的偏移量;
ULONG ThreadCount; //线程数目;
ULONG Reserved1[6];
LARGE_INTEGER CreateTime; //创建时间;
LARGE_INTEGER UserTime;//用户模式(Ring 3)的CPU时间;
LARGE_INTEGER KernelTime; //内核模式(Ring 0)的CPU时间;
UNICODE_STRING ProcessName; //进程名称;
KPRIORITY BasePriority;//进程优先权;
ULONG ProcessId; //进程标识符;
ULONG InheritedFromProcessId; //父进程的标识符;
ULONG HandleCount; //句柄数目;
ULONG Reserved2[2];
VM_COUNTERS  VmCounters; //虚拟存储器的结构，见下;
IO_COUNTERS IoCounters; //IO计数结构，见下;
SYSTEM_THREADS Threads[1]; //进程相关线程的结构数组，见下;

}SYSTEM_PROCESSES,*PSYSTEM_PROCESSES;
如果要遍历系统中的进程，我们只需要使用NextEntryDelta这个指针即可。
也是很方便了~~------------------------以上为转载

百度搜搜试试，不过你知道是不是你想要的