ZwQuerySystemInformation 查看系统进程信息-leibniz

爱飞的鱼henry.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

leibniz_zsu

博客访问： 1630662
博文数量： 584
博客积分： 13857
博客等级：上将
技术积分： 11883
用户组：普通用户
注册时间： 2009-12-16 09:34

文章分类

全部博文（584）

网站建设（6）
移动应用（0）
移动应用（1）
系统配置（1）
娱乐（6）
软件管理（12）

软件文档管理（2）

软件版本管理（10）
QT EveryWhere（128）

QT多语言支持（3）

QT数据库（12）

QT DLL（11）

QT源码解析（3）

QT进程间通讯（6）

QT多线程（10）

QT教程（8）
软件设计（39）

UML标准教程（21）
jz4755（1）
硬件选型（3）
uboot移植（7）
VOIP（4）
windows 应用开发（201）

windows DLL（13）

windows DDK（14）

windowst系统配置（4）

windows数据库编（22）

windows网络编程（3）

windows文件系统（32）

seamless（4）

windows错误信息（3）

windows组策略（1）
linux shell编程（31）

sed（1）

bash（13）

awk（15）
linux下常用配置（2）
C语言编程技巧（1）
标准C++编程（3）
linux应用程序开（92）

linux多线程、多（9）

picoGUI（6）

fbreader（1）

linux 加解密（3）

MINIGUI（10）

linux 工具（2）

linux API（10）

linux RDP（10）

linux X window编（15）

linux音视频（5）

组播（4）

linux设备应用（4）

linux网络编程（9）
linux内核与系统（44）

busybox（8）

根文件系统（1）

flash文件系统（6）

linux驱动资料（15）

linux视频驱动（0）

linux输入驱动（3）

linux音频驱动（0）

linux系统移植（8）

linux驱动开发（2）

linux内核分析（1）
未分配的博文（2）

推荐博文

相关博文

ZwQuerySystemInformation 查看系统进程信息

分类： Windows平台

2013-05-17 14:29:32

点击(此处)折叠或打开

#include <ntddk.h>
typedef enum _SYSTEM_INFORMATION_CLASS {
SystemBasicInformation,
SystemProcessorInformation,
SystemPerformanceInformation,
SystemTimeOfDayInformation,
SystemPathInformation,
SystemProcessInformation, //5
SystemCallCountInformation,
SystemDeviceInformation,
SystemProcessorPerformanceInformation,
SystemFlagsInformation,
SystemCallTimeInformation,
SystemModuleInformation,
SystemLocksInformation,
SystemStackTraceInformation,
SystemPagedPoolInformation,
SystemNonPagedPoolInformation,
SystemHandleInformation,
SystemObjectInformation,
SystemPageFileInformation,
SystemVdmInstemulInformation,
SystemVdmBopInformation,
SystemFileCacheInformation,
SystemPoolTagInformation,
SystemInterruptInformation,
SystemDpcBehaviorInformation,
SystemFullMemoryInformation,
SystemLoadGdiDriverInformation,
SystemUnloadGdiDriverInformation,
SystemTimeAdjustmentInformation,
SystemSummaryMemoryInformation,
SystemNextEventIdInformation,
SystemEventIdsInformation,
SystemCrashDumpInformation,
SystemExceptionInformation,
SystemCrashDumpStateInformation,
SystemKernelDebuggerInformation,
SystemContextSwitchInformation,
SystemRegistryQuotaInformation,
SystemExtendServiceTableInformation,
SystemPrioritySeperation,
SystemPlugPlayBusInformation,
SystemDockInformation,
SystemPowerInformation2,
SystemProcessorSpeedInformation,
SystemCurrentTimeZoneInformation,
SystemLookasideInformation
} SYSTEM_INFORMATION_CLASS, *PSYSTEM_INFORMATION_CLASS;
typedef struct _SYSTEM_THREAD_INFORMATION {
LARGE_INTEGER KernelTime;
LARGE_INTEGER UserTime;
LARGE_INTEGER CreateTime;
ULONG WaitTime;
PVOID StartAddress;
CLIENT_ID ClientId;
KPRIORITY Priority;
LONG BasePriority;
ULONG ContextSwitchCount;
ULONG State;
KWAIT_REASON WaitReason;
}SYSTEM_THREAD_INFORMATION, *PSYSTEM_THREAD_INFORMATION;
typedef struct _SYSTEM_PROCESS_INFORMATION {
ULONG NextEntryOffset;
ULONG NumberOfThreads;
LARGE_INTEGER Reserved[3];
LARGE_INTEGER CreateTime;
LARGE_INTEGER UserTime;
LARGE_INTEGER KernelTime;
UNICODE_STRING ImageName;
KPRIORITY BasePriority;
HANDLE ProcessId;
HANDLE InheritedFromProcessId;
ULONG HandleCount;
ULONG Reserved2[2];
ULONG PrivatePageCount;
VM_COUNTERS VirtualMemoryCounters;
IO_COUNTERS IoCounters;
SYSTEM_THREAD_INFORMATION Threads[0];
} SYSTEM_PROCESS_INFORMATION, *PSYSTEM_PROCESS_INFORMATION;
//不加extern "C" 一直报link错误
extern "C" NTSYSAPI NTSTATUS NTAPI ZwQuerySystemInformation(
IN ULONG SystemInformationClass,
IN PVOID SystemInformation,
IN ULONG SystemInformationLength,
OUT PULONG ReturnLength);
VOID Unload(
__in struct _DRIVER_OBJECT *DriverObject
)
{
KdPrint(("unload ....."));
}
NTSTATUS Ring0EnumProcess()
{
ULONG cbBuffer = 0x8000; //32k
PVOID pSystemInfo;
NTSTATUS status;
PSYSTEM_PROCESS_INFORMATION pInfo;
//为查找进程分配足够的空间
do
{
pSystemInfo = ExAllocatePool(NonPagedPool, cbBuffer);
if (pSystemInfo == NULL) //申请空间失败，返回
{
return 1;
}
status = ZwQuerySystemInformation(SystemProcessInformation, pSystemInfo, cbBuffer, NULL );
if (status == STATUS_INFO_LENGTH_MISMATCH) //空间不足
{
ExFreePool(pSystemInfo);
cbBuffer *= 2;
}
else if(!NT_SUCCESS(status))
{
ExFreePool(pSystemInfo);
return 1;
}
} while(status == STATUS_INFO_LENGTH_MISMATCH); //如果是空间不足，就一直循环
pInfo = (PSYSTEM_PROCESS_INFORMATION)pSystemInfo; //把得到的信息放到pInfo中
for (;;)
{
LPWSTR pszProcessName = pInfo->ImageName.Buffer;
if (pszProcessName == NULL)
{
pszProcessName = L"NULL";
}
KdPrint(("PID:%d, process name:%Sn", pInfo->ProcessId, pszProcessName));
if (pInfo->NextEntryOffset == 0) //==0，说明到达进程链的尾部了
{
break;
}
pInfo = (PSYSTEM_PROCESS_INFORMATION)(((PUCHAR)pInfo) + pInfo->NextEntryOffset); //遍历
}
return STATUS_SUCCESS;
}
NTSTATUS DriverEntry(
__in PDRIVER_OBJECT DriverObject,
__in PUNICODE_STRING RegistryPath
)
{
DriverObject->DriverUnload = Unload;
Ring0EnumProcess();
return STATUS_SUCCESS;
}

阅读(3645) | 评论(0) | 转发(0) |

上一篇：VC/NSIS 设置环境变量

下一篇：锂电池在线充放电管理电路的设计

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6