[求助]恳请前辈指点Win7 驱动中调用ZwQuerySystemInformation蓝屏！-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]恳请前辈指点Win7 驱动中调用ZwQuerySystemInformation蓝屏！

发表于: 2011-3-12 16:50 5227

[求助]恳请前辈指点Win7 驱动中调用ZwQuerySystemInformation蓝屏！

紫雨心梦

2011-3-12 16:50

5227


typedef enum _SYSTEM_INFORMATION_CLASS { 
	SystemBasicInformation, // 0 Y N 
	SystemProcessorInformation, // 1 Y N 
	SystemPerformanceInformation, // 2 Y N 
	SystemTimeOfDayInformation, // 3 Y N 
	SystemNotImplemented1, // 4 Y N 
	SystemProcessesAndThreadsInformation, // 5 Y N 
	SystemCallCounts, // 6 Y N 
	SystemConfigurationInformation, // 7 Y N 
	SystemProcessorTimes, // 8 Y N 
	SystemGlobalFlag, // 9 Y Y 
	SystemNotImplemented2, // 10 Y N 
	SystemModuleInformation, // 11 Y N 
	SystemLockInformation, // 12 Y N 
	SystemNotImplemented3, // 13 Y N 
	SystemNotImplemented4, // 14 Y N 
	SystemNotImplemented5, // 15 Y N 
	SystemHandleInformation, // 16 Y N 
	SystemObjectInformation, // 17 Y N 
	SystemPagefileInformation, // 18 Y N 
	SystemInstructionEmulationCounts, // 19 Y N 
	SystemInvalidInfoClass1, // 20 
	SystemCacheInformation, // 21 Y Y 
	SystemPoolTagInformation, // 22 Y N 
	SystemProcessorStatistics, // 23 Y N 
	SystemDpcInformation, // 24 Y Y 
	SystemNotImplemented6, // 25 Y N 
	SystemLoadImage, // 26 N Y 
	SystemUnloadImage, // 27 N Y 
	SystemTimeAdjustment, // 28 Y Y 
	SystemNotImplemented7, // 29 Y N 
	SystemNotImplemented8, // 30 Y N 
	SystemNotImplemented9, // 31 Y N 
	SystemCrashDumpInformation, // 32 Y N 
	SystemExceptionInformation, // 33 Y N 
	SystemCrashDumpStateInformation, // 34 Y Y/N 
	SystemKernelDebuggerInformation, // 35 Y N 
	SystemContextSwitchInformation, // 36 Y N 
	SystemRegistryQuotaInformation, // 37 Y Y 
	SystemLoadAndCallImage, // 38 N Y 
	SystemPrioritySeparation, // 39 N Y 
	SystemNotImplemented10, // 40 Y N 
	SystemNotImplemented11, // 41 Y N 
	SystemInvalidInfoClass2, // 42 
	SystemInvalidInfoClass3, // 43 
	SystemTimeZoneInformation, // 44 Y N 
	SystemLookasideInformation, // 45 Y N 
	SystemSetTimeSlipEvent, // 46 N Y 
	SystemCreateSession, // 47 N Y 
	SystemDeleteSession, // 48 N Y 
	SystemInvalidInfoClass4, // 49 
	SystemRangeStartInformation, // 50 Y N 
	SystemVerifierInformation, // 51 Y Y 
	SystemAddVerifier, // 52 N Y 
	SystemSessionProcessesInformation // 53 Y N 
} SYSTEM_INFORMATION_CLASS; 


typedef NTSTATUS ( __stdcall *ZWQUERYSYSTEMINFORMATION ) 
	(	IN SYSTEM_INFORMATION_CLASS SystemInformationClass,
	IN OUT PVOID SystemInformation, 
	IN ULONG SystemInformationLength, 
	OUT PULONG ReturnLength OPTIONAL );

ZWQUERYSYSTEMINFORMATION ZwQuerySystemInformation=NULL; 


typedef struct _SYSTEM_MODULE_INFORMATION { // Information Class 11 
	ULONG Reserved[2]; 
	PVOID Base; 
	ULONG Size; 
	ULONG Flags; 
	USHORT Index; 
	USHORT Unknown; 
	USHORT LoadCount; 
	USHORT ModuleNameOffset; 
	CHAR ImageName[256]; 
} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION; 




NTSTATUS findModule(IN CHAR* str,OUT ULONG *moduleadd,OUT ULONG *modulesie)
{
	NTSTATUS status=STATUS_SUCCESS;
	//PVOID szbuf=ExAllocatePool(PagedPool,10) ;
	ULONG n=0;
	ULONG i=0;
	PSYSTEM_MODULE_INFORMATION module=NULL;
	PVOID pbuftmp=NULL;
	//ANSI_STRING ModuleName1,ModuleName2;
	BOOL tlgstst= FALSE;  

	status=ZwQuerySystemInformation(SystemModuleInformation, &n, 0, &n);
}

Win7驱动中调用 ZwQuerySystemInformation。一运行到ZwQuerySystemInformation就蓝屏。。。实在找不到解决办法了，求指点！！！

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#系统底层

收藏・0

免费・0

支持

最新回复 (1)
紫雨心梦雪币： 251 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	紫雨心梦 2 楼已经搞定，结贴！！ 2011-3-12 22:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

紫雨心梦

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
紫雨心梦雪币： 251 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	紫雨心梦 2 楼已经搞定，结贴！！ 2011-3-12 22:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复