栏目导航

未公开的函数 NtQuerySystemInformation

闲了没事,用SoftIce跟踪 TaskMgr 居然看出点门道来,将这些见解和大家共享,文章可能很长,也可能要花很长的时间,反正爱看就看,不爱看就别看。 幸亏微软提供了相应的 .PDB 和 .DBG文件,使跟踪变的比较容易。本文所有提到的技术都属于微软,我只不过是读懂了然后用Delphi改写,自己没有什么技术,不得用于商业用途,否则老盖找你打官司,可别来找我。

使用未公开的函数 NtQuerySystemInformation 点滴(自己动手写任务管理器)

(如何自己写一个任务管理器,从显示到功能和Windows TaskMgr完全一样,包括从注册表中读取Windows TaskMgr的所有启动参数(170个字节),并增加一些TaskMgr没有的功能) gzgzlxg 2005年4月12日

该文章为近一个月研究Windows 2000和Windows 2003的任务管理器的体会,研究还没有最后结束,但文章必须先写,否则许多东西不写下来就忘了。该文章将分若干篇来写,这是第一段。

NtQuerySystemInformation 是所谓 Undocuments 函数,主要用来获取系统各类信息。Windows 2000的任务管理器 TaskMgr 主要就是使用该函数来获取各类信息,如CPU使用率,内核使用率,句柄总数,线程总数,进程总数...等等在任务管理器中的几乎所有信息都是来自该函数。(当然也可以用别的函数完成类似的工作,如PDH,ToolHelp,或读取注册表等方法,各种方法中,应该以使用NtQuerySystemInformation 最好,这就是 TaskMgr 为什么使用该函数的原因。) 在MSDN知识库中是这样描写该函数的:

[NtQuerySystemInformation is available for use in Windows 2000 and Windows XP. It may be altered or unavailable in subsequent versions. Applications should use the alternate functions listed in this topic.] 但幸运的是,至少在Windows 2003 的任务管理器中仍然是使用该函数来获取系统各类信息的。

下面将具体讲述该函数在Delphi中的使用 1. 函数NtQuerySystemInformation

NtQuerySystemInformation函数隶属Ntdll.dll,函数的调用非常复杂,有许多入口参数,MSDN知识库中基本都是一带而过,没有具体的说明,这里所写的都是自己具体使用的感受,和网站上一些少的可怜的资料,而这些可怜的资料也都是别人自己的体会,所以难免有错误,因此在具体使用中,如有任何问题,概不负责。

1.1函数的调用格式:

function NtQuerySystemInformation(

SystemInformationClass: TSystemInformationClass; { SystemInformationClass [in] One of the values enumerated in SYSTEM_INFORMATION_CLASS, indicating the kind of system information to be retrieved.}

pSystemInformation: PVOID; { SystemInformation

[in, out] Points to a buffer where the requested information is/ to be returned. The size and structure of this information varies depending on the value of the SystemInformationClass parameter

>>闂佽绻掗崑鐐裁洪弽顐n潟闁硅揪绠戠粈鍌炴煏婵犲繘妾柣搴嫹<<

下载:未公开的函数 NtQuerySystemInformation.doc

站内搜索

电脑版 关于南京廖华答案网
12@gma联系客服:779662525#qq.com(#替换为@) 苏ICP备20003344号-4