[记录] SYSTEM_INFORMATION_CLASS

Bluebells

调用 NtQuerySystemInformation(ZwQuerySystemInformation), NtQuerySystemInformationEx(ZwQuerySystemInformationEx) 和 NtSetSystemInformation(ZwSetSystemInformation) 函数可以查询(设置)到很多系统信息. 而其中一个选项需要用到 SYSTEM_INFORMATION_CLASS, 但有很多 class 都没有文档化(未公开)

最近几天找到不少有关这些函数的信息, 故在此整理记录一下

先贴一个网址: https://www.geoffchappell.com/st ... formation_class.htm
上面网页的内容里有一个表格, 里面记录了各个 System Information classes 的值, 名称, 适用版本范围, 备注信息

再贴一个网址: https://github.com/yardenshafir/InformationClasses
这个网页的内容里又有一个表格, 里面记录了各个 System Information classes 适用于哪个函数...
最关键的是这个表格中有列出一些 class 所需的某特权
表格下面还有一些 class 的结构体信息

然后上传一个 NtQuerySystemInformation.h 文件, 里面详细记录了一些 System Information classes 的结构体的详细信息
NtQuerySystemInformation.txt (57.66 KB, 下载次数: 3)

2023-4-26 21:23 上传

点击文件名下载附件
由于上传文件扩展名限制文件, 建议在下载后更改其扩展名, 以便一些文本编辑器的正确显示语法高亮
PS: 此文件下载自 https://gist.github.com/jNizM/ddf02494cd78e743eed776ce6164758f

最后再上传一个从 github 下载的 ntexapi.h
ntexapi.txt (241.18 KB, 下载次数: 6)

2023-4-26 21:28 上传

点击文件名下载附件
由于上传文件扩展名限制文件, 建议在下载后更改其扩展名, 以便一些文本编辑器的正确显示语法高亮
PS: 其实 github 上可以下载到很多 ntexapi.h, 但我找到的这个里面有非常详细的信息

再啰嗦一下, 很多人都是使用 GetFirmwareEnvironmentVariable 函数加 GetFirmwareType 函数以获取系统的启动模式, 其实使用 NtQuerySystemInformation 函数的 SystemBootEnvironmentInformation class 更简易
PS: SystemBootEnvironmentInformation 需要 NT6.0 或以上版本
使用 SystemSecureBootInformation class 获取安全启动状态也很简易, 不需要启用 SE_SYSTEM_ENVIRONMENT_NAME 特权, 不需要固件环境变量的命名空间(GUID), 可惜的是这个 class 需要 NT6.2 或以上版本

yc2428

感谢分享！

wintoflash

前几天刚研究过这个，没想到你就发贴了。。。http://bbs.wuyou.net/forum.php?m ... &fromuid=487838
--------
不知道用 NtQuerySystemEnvironmentValueEx 是否需要 SE_SYSTEM_ENVIRONMENT_NAME 特权？还有我没有查到这个 API 所需的最低 NT 版本是多少。

Bluebells

wintoflash 发表于 2023-4-26 22:10
前几天刚研究过这个，没想到你就发贴了。。。http://bbs.wuyou.net/forum.php?mod=redirect&goto=findpost& ...

NtQuerySystemEnvironmentValue, NtQuerySystemEnvironmentValueEx 和 NtSetSystemEnvironmentValue 函数的资料我也搜索过，但可获得的相关信息量非常少

yyz2191958

感谢分享哦

2010wxy

谢谢分享

erfsdfs

        很给力!

wintoflash

最近研究了一下NtEnumerateBootEntries，NtQueryBootOptions，NtQueryBootEntryOrder等API。
NtEnumerateBootEntries 可以遍历UEFI的 BootXXXX 启动项。
NtQueryBootOptions可以获得 Timeout，BootCurrent，BootNext。
NtQueryBootEntryOrder可以获得UEFI的启动项顺序 BootOrder。
NtTranslateFilePath可以互相转化 EFI Device Path，ARC Path (multi(0)disk(0)rdisk(0)partition(0))，NT Path (\Device\HarddiskVolume1)。
写了个小程序可以打印这些信息：
NTAPITest.zip (16.69 KB, 下载次数: 8)

2025-7-7 12:48 上传

点击文件名下载附件

1. NtEnumerateBootEntries
   
2.   Size: 586
   
3.     --------
   
4.     Version: 1
   
5.     Length: 336
   
6.     ID: 0000
   
7.     Next Entry Offset: 340
   
8.     Attributes: 0x00000005
   
9.       Active
   
10.       Windows
    
11.     Friendly Name Offset: 164
    
12.     Boot File Path Offset: 208
    
13.     OS Options Length: 136
    
14.     Windows OS Options:
    
15.       Signature: WINDOWS
    
16.       Version: 1
    
17.       Length: 136
    
18.       OS Load Path Offset: 120
    
19.       OS Load Options: BCDOBJECT={9dea862c-5cdd-4e70-acc1-f32b344d4795}  
    
20.       File Path:
    
21.         Version: 1
    
22.         Length: 16
    
23.         Type: EFI (4)
    
24.     Friendly Name: Windows Boot Manager  
    
25.     File Path:
    
26.       Version: 1
    
27.       Length: 128
    
28.       Type: EFI (4)
    
29.       Translated NT File Path:
    
30.         Version: 1
    
31.         Length: 126
    
32.         File Path: \Device\HarddiskVolume1 \EFI\Microsoft\Boot\bootmgfw.efi
    
33.     --------
    
34.     Version: 1
    
35.     Length: 242
    
36.     ID: 0001
    
37.     Next Entry Offset: 0
    
38.     Attributes: 0x00000001
    
39.       Active
    
40.     Friendly Name Offset: 32
    
41.     Boot File Path Offset: 88
    
42.     OS Options Length: 4
    
43.     OS Options: 00 00 42 4F
    
44.     Friendly Name: UEFI: SanDisk, Partition 1  
    
45.     File Path:
    
46.       Version: 1
    
47.       Length: 154
    
48.       Type: EFI (4)
    
49.       Translated NT File Path:
    
50.         Version: 1
    
51.         Length: 64
    
52.         File Path: \Device\HarddiskVolume12  
    
53. NtQueryBootOptions
    
54.   Version: 1
    
55.   Length: 22
    
56.   Timeout: 1
    
57.   Current Boot ID: 0000
    
58.   Next Boot ID: NULL
    
59. NtQueryBootEntryOrder
    
60.   Count: 2
    
61.     Boot Entry ID[0]: 0000
    
62.     Boot Entry ID[1]: 0001
    

复制代码

Bluebells

wintoflash 发表于 2025-7-7 12:48
最近研究了一下NtEnumerateBootEntries，NtQueryBootOptions，NtQueryBootEntryOrder等API。
NtEnumerateB ...

我会简单使用 NtAddBootEntry, NtDeleteBootEntry, NtQueryBootEntryOrder, NtSetBootEntryOrder 和 NtEnumerateBootEntries 这五个函数(刚好用于创建/查询/删除 efi 启动条目)
其余 NtModifyBootEntry, NtQueryBootOptions, NtSetBootOptions, NtTranslateFilePath 等等之类的函数完全不会

Bluebells

wintoflash 发表于 2025-7-7 12:48
最近研究了一下NtEnumerateBootEntries，NtQueryBootOptions，NtQueryBootEntryOrder等API。
NtEnumerateB ...

NtQuerySystemEnvironmentValue, NtQuerySystemEnvironmentValueEx, NtSetSystemEnvironmentValue, NtSetSystemEnvironmentValueEx 这四个函数与 GetFirmwareEnvironmentVariable, GetFirmwareEnvironmentVariableEx, SetFirmwareEnvironmentVariable, SetFirmwareEnvironmentVariableEx 这四个函数基本差不多, 前四个函数与后四个函数的区别在于函数的前两个参数 (NT 函数的前两个参数都是使用 UNICODE_STRING 结构体作为参数)

201012121135

感谢分享

herolong

感谢分享。。。。