Windows驱动程序中遍历系统中运行的进程信息完整代码

最新推荐文章于 2025-04-27 10:41:14 发布
原创 最新推荐文章于 2025-04-27 10:41:14 发布 · 256 阅读 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
cknow-ai danxuezx

cknow-ai 关注

标签
#windows
分类 操作系统

闲来无事,随手写了一个在驱动程序中遍历系统中运行的进程信息代码,欢迎大家交流指导(zhxunCC)。代码在win11上跑了几次,可正常运行。

#include <ntddk.h>
#include <wdm.h>
#include <ntstrsafe.h>

// 1. 声明SYSTEM_INFORMATION_CLASS枚举
typedef enum _SYSTEM_INFORMATION_CLASS {
    SystemProcessInformation = 5
} SYSTEM_INFORMATION_CLASS;

// 2. 声明NtQuerySystemInformation函数原型
extern "C" NTSTATUS NTAPI NtQuerySystemInformation(
    _In_ SYSTEM_INFORMATION_CLASS SystemInformationClass,
    _Out_writes_bytes_to_opt_(SystemInformationLength, *ReturnLength) PVOID SystemInformation,
    _In_ ULONG SystemInformationLength,
    _Out_opt_ PULONG ReturnLength
);

// 3. 进程信息结构体(需与内核实际结构一致)
typedef struct _SYSTEM_PROCESS_INFORMATION {
    ULONG NextEntryOffset;
    ULONG NumberOfThreads;
    LARGE_INTEGER WorkingSetPrivateSize;
    ULONG HardFaultCount;
    ULONG Reserved1;
    ULONGLONG CycleTime;
    LARGE_INTEGER CreateTime;
    LARGE_INTEGER UserTime;
    LARGE_INTEGER KernelTime;
    UNICODE_STRING ImageName;
    ULONG BasePriority;
    HANDLE ProcessId;
    HANDLE ParentProcessId;
} SYSTEM_PROCESS_INFORMATION, * PSYSTEM_PROCESS_INFORMATION;

// 4. 日志写入函数
NTSTATUS WriteProcessLog(PSYSTEM_PROCESS_INFORMATION pEntry) {
    NTSTATUS status;
    HANDLE fileHandle = NULL;
    IO_STATUS_BLOCK ioStatusBlock;
    UNICODE_STRING fileName;
    OBJECT_ATTRIBUTES objAttr;

    // 初始化文件路径
    RtlInitUnicodeString(&fileName, L"\\??\\C:\\ProcessLog.txt");
    InitializeObjectAttributes(
        &objAttr,
        &fileName,
        OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,
        NULL,
        NULL
    );

    // 打开或创建日志文件(追加模式)
    status = ZwCreateFile(
        &fileHandle,
        FILE_APPEND_DATA,
        &objAttr,
        &ioStatusBlock,
        NULL,
        FILE_ATTRIBUTE_NORMAL,
        FILE_SHARE_READ,
        FILE_OPEN_IF,
        FILE_SYNCHRONOUS_IO_NONALERT,
        NULL,
        0
    );

    if (!NT_SUCCESS(status)) {
        KdPrint(("ZwCreateFile failed: 0x%X\n", status));
        return status;
    }

    // 准备进程名称缓冲区
    WCHAR nameBuffer[256] = { 0 };
    USHORT copySize = min(pEntry->ImageName.Length, sizeof(nameBuffer) - sizeof(WCHAR));
    if (copySize > 0) {
        RtlCopyMemory(nameBuffer, pEntry->ImageName.Buffer, copySize);
        nameBuffer[copySize / sizeof(WCHAR)] = L'\0';
    }

    // 格式化日志内容
    WCHAR logBuffer[512];
    status = RtlStringCbPrintfW(
        logBuffer,
        sizeof(logBuffer),
        L"PID: 0x%p\tParent PID: 0x%p\tName: %s\r\n",
        pEntry->ProcessId,
        pEntry->ParentProcessId,
        nameBuffer
    );

    if (NT_SUCCESS(status)) {
        size_t logLength;
        RtlStringCbLengthW(logBuffer, sizeof(logBuffer), &logLength);

        // 写入文件
        status = ZwWriteFile(
            fileHandle,
            NULL,
            NULL,
            NULL,
            &ioStatusBlock,
            logBuffer,
            (ULONG)logLength,
            NULL,
            NULL
        );

        if (!NT_SUCCESS(status)) {
            KdPrint(("ZwWriteFile failed: 0x%X\n", status));
        }
    }

    // 清理资源
    if (fileHandle) {
        ZwClose(fileHandle);
    }

    return status;
}

// 5. 驱动入口函数
extern "C"
NTSTATUS DriverEntry(
    _In_ PDRIVER_OBJECT DriverObject,
    _In_ PUNICODE_STRING RegistryPath
)
{
    UNREFERENCED_PARAMETER(DriverObject);
    UNREFERENCED_PARAMETER(RegistryPath);

    NTSTATUS status;
    ULONG returnLength = 0;
    PVOID processInfo = NULL;

    // 第一次调用获取所需内存大小
    status = NtQuerySystemInformation(
        SystemProcessInformation,
        NULL,
        0,
        &returnLength
    );

    if (status != STATUS_INFO_LENGTH_MISMATCH) {
        KdPrint(("First NtQuerySystemInformation failed: 0x%X\n", status));
        return status;
    }

    // 分配非分页内存
    processInfo = ExAllocatePool2(
        POOL_FLAG_NON_PAGED,
        returnLength,
        'TAG1'
    );

    if (!processInfo) {
        KdPrint(("Memory allocation failed\n"));
        return STATUS_INSUFFICIENT_RESOURCES;
    }

    // 第二次调用获取进程信息
    status = NtQuerySystemInformation(
        SystemProcessInformation,
        processInfo,
        returnLength,
        &returnLength
    );

    if (!NT_SUCCESS(status)) {
        KdPrint(("Second NtQuerySystemInformation failed: 0x%X\n", status));
        ExFreePool(processInfo);
        return status;
    }

    // 遍历进程列表
    PSYSTEM_PROCESS_INFORMATION pEntry = (PSYSTEM_PROCESS_INFORMATION)processInfo;
    do {
        KdPrint(("Processing PID: 0x%p\n", pEntry->ProcessId));

        // 写入日志文件
        NTSTATUS writeStatus = WriteProcessLog(pEntry);
        if (!NT_SUCCESS(writeStatus)) {
            KdPrint(("Write log failed for PID 0x%p: 0x%X\n",
                pEntry->ProcessId, writeStatus));
        }

        // 移动到下一个条目
        if (pEntry->NextEntryOffset == 0) break;
        pEntry = (PSYSTEM_PROCESS_INFORMATION)((PUCHAR)pEntry + pEntry->NextEntryOffset);
    } while (TRUE);

    // 清理资源
    if (processInfo) {
        ExFreePool(processInfo);
    }

    KdPrint(("DriverEntry completed successfully\n"));
    return STATUS_SUCCESS;
}

点赞 点赞 1
评论 0
书签 书签 0
Windows内核驱动EPROCESS遍历进程模块
12-14
windows驱动 遍历进程模块
windows遍历进程并输出进程名,PID,进程路径
08-22
代码windows遍历进程并输出进程名,PID,进程路径,由C++编写,运行成功
x64驱动 遍历 PspCidTable 枚举隐进程和线程
LYSM
06-05 3549
介绍 PspCidTable 是一个内核句柄表,存放进程和线程的内核对象(EPROCESS 和 ETHREAD),并通过 PID 和 TID 进行索引(所以进程ID和线程ID不可能相同),ID 号以 4 递增。 获取 PspCidTable 地址 win7: PsLookupProcessByProcessId(被导出) -> PspCidTable win10: PsLookupProcessByProcessId(被导出) -> PspReferenceCidTableEntry -&g
驱动遍历获取完整进程
Misaka10046的博客
04-14 742
WIN7 X86。
驱动开发:内核遍历进程VAD结构体
热门推荐
LYSHARK
10-13 2万+
树的每一个节点代表一段虚拟地址空间。程序中的代码段,数据段,堆段都会各种占用一个或多个。结构体,需要说明的是栈并不受VAD的管理。同样这是微软定义,如果想要的到最新的,自己下载WinDBG调试内核输入命令。内存块的属性,这个内存结构定义在WinDBG中可看到。结构的偏移值,每个系统都不一样,版本不同偏移值会不同。当需要得到该进程的VAD结构时,只需要使用。结构中可以找到VAD结构的相对偏移。可以看到在本系统中VAD的偏移是。头文件,并写入如下代码,此处的。来显示该进程的VAD树。结构树,这个结构通常在。
驱动开发-遍历进程
Fly_Sky
10-18 1038
理论来源:http://www.weixianmanbu.com/article/749.html 总结: !Process 0 0   进程列表 dt _eprocess    ----提示无改命令时使用.reload /f nt dt _eprocess 进程地址  --得到进程详细信息 DDFF进程地址+0x88  --得到下个进程地址结构指针 地址结构指针-0x88
windows C++ 进程遍历、线程遍历模板。后附模板代码
Bobowen的博客
04-02 2582
进程遍历windows软件必备需求,从安装到软件运行再到卸载我们或许都需要知道其他进程信息
通过暴力搜索PID遍历进程并获取进程信息
LYSM
06-23 3574
背景 通常我们在内核中使用 ZwQuerySystemInformation 函数来遍历进程模块并获取进程信息,这种是通过正常的进程遍历方式,所以,有很多 Rootkit 程序会 HOOK 这个 ZwQuerySystemInformation 函数,过滤指定进程,从而实现进程的隐藏。 本文实现的进程遍历和获取进程信息并不打算使用 ZwQuerySystemInformation 这种方式,而是直接暴力搜索进程的 PID,根据有效的 PID 获取相应进程信息,从而实现进程遍历。现在,我就来讲解具体的实现
Windows 10系统下查看驱动程序文件的详细操作指南
最新发布
nntxthml的博客
04-27 759
制作精简版系统镜像时过滤冗余驱动分析系统启动日志定位驱动加载异常构建自动化驱动部署脚本进行系统安全基线检查时识别可疑驱动建议技术人员定期执行驱动健康检查,结合Windows Update和厂商官网,建立完整驱动版本管理库。通过本文介绍的三种方法,您已具备全面掌控系统驱动文件的能力,这将显著提升系统维护效率和故障处理能力。(全文完)
4.2 Windows驱动开发:内核中进程线程与模块
LYSHARK
11-17 1万+
内核进程线程和模块是操作系统内核中非常重要的概念。它们是操作系统的核心部分,用于管理系统资源和处理系统请求。在驱动安全开发中,理解内核进程线程和模块的概念对于编写安全的内核驱动程序至关重要。内核进程是在操作系统内核中运行的程序。每个进程都有一个唯一的进程标识符(PID),它用于在系统中唯一地标识该进程。在内核中,进程被表示为一个进程控制块(PCB),它包含有关进程信息,如进程状态、优先级、内存使用情况等。
通过句柄表遍历进程
HuErr的专栏
06-05 1120
进程线程这块都被人玩滥了......都是些过时了的东西,做为新手,我还是拿来耍耍。 #include #include //结构体是根据windbg查看得出来的。 typedef struct _HANDLE_TABLE { ULONG_PTR TableCode; PEPROCESS QuotaProcess; PVOID UniqueProces
驱动遍历进程的方法
qq_41071646的博客
10-27 1635
/*#include &lt;ntddk.h&gt; #define DEVICE_OBJECT_NAME L"\\Device\\BufferedIODeviceObjectName" #define DEVICE_LINK_NAME L"\\DosDevices\\BufferedIODevcieLinkName" void dirver(IN PDRIVER_OBJECT pDri...
4.6 Windows驱动开发:内核遍历进程VAD结构体
LYSHARK
11-18 1万+
总之,VAD结构是Windows操作系统中管理进程虚拟地址空间的重要数据结构之一,它通过构建一个树形结构来管理进程的虚拟地址空间,并提供了丰富的属性信息,使得操作系统可以对虚拟地址空间进行有效的管理和保护。系统在创建线程时,会为该线程分配一段物理内存页,并映射到该线程的栈空间中,然后将栈空间的起始地址记录在该线程的。EPROCESS 结构体是用于表示操作系统中的一个进程的数据结构,其中包含了许多与该进程相关的信息,包括了该进程的虚拟地址空间描述符树(VAD 结构树)。,树的每一个节点代表一段虚拟地址空间。
驱动遍历进程的IAT表
Misaka10046的博客
05-02 367
WIN7 X86。
VC实现进程遍历的四种方法
09-19 6252
方法一 第一种方法是大家比较熟悉的通过ToolHelp Service提供的API函数来实现。 这里用到了3个关键的函数:CreateToolhelp32Snapshot(),Process32First()和Process32Next()。下面给出了关于这三个函数的原形和
【超详细】遍历Windows进程
weixin_34391445的博客
11-11 2275
摘要 遍历系统进程常用的有三种方式 头文件<Tlhelp32.h>,先使用CreateToolhelp32Snapshot创建系统快照,即拷贝一份系统所有进程信息到指定的结构体PROCESSENTRY32中,然后使用Process32First和Process32Next获得每一个进程的详细信息。需要注意的是编译成32位程...
理解Windows 2000 和 NT4 系统进程活动(-)
07-13 1782
 http://www.yythac.com/ar/ljjc1.txt                              来源:黑盟本讲座编号为TNQ 400-02,我是David Solomon,在接下来的两个小时中我们将讨论如何透过外表去观察Windows 2000和Windows NT 4.0,以便理解其内部运行机制以及如何在系统级别中实现这些机制,同时还将理解在系统运行进程。这
windows通过进程判断程序是否运行亲测可用java
淘淘小窝
04-07 1057
windows通过进程判断程序是否运行亲测可用java
获取电脑硬件对应的驱动程序信息
Hell的博客
06-22 4069
刚换了工作,入职时候大佬让我研究下 驱动人生/驱动精灵 判断驱动是否正常是怎么做到的 一开始是一脸懵逼的,完全不知道要如何下手,不过应该是获取设备管理器里硬件属性,然后进行判断吧,我就跟据我的猜测进行研究。
操作系统之线程和进程
trong_ 的烂笔头
12-14 2541
操作系统相关内容, 进程和线程, 并发和并行.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

danxuezx

如果对你有用是我的快乐

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值