NtQueryObject 获得内核对象的信息

已于 2022-02-11 16:03:13 修改
阅读量6k 收藏 1
点赞数
分类专栏: # Windows 文章标签: winapi system 数据结构 manager struct object
于 2011-12-09 15:42:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kinghzking/article/details/7057353
版权

导读

玩过电脑的都知道,Widnows任务管理器,我们经常用它查看机器的CPU内存等信息,也用它杀死一些卡主的进程。

而作为开发人员,我们为了更了解进行的运行状况,就不得不说另外两个工具:

  • procexp.exe,某大佬写的Sysinternals系列工具中的其中一个工具,可查看操作系统中的各种信息,丰富无比,绝对的Windows瑞士军刀。
  • ProcessHacker.exe,功能和procexp.exe很像,不过是开源项目,学习Windows的可以看看它的实现。

今天我们就获取自己进程主线程的内核对象信息。

API介绍

一个内核对象有两个计数器:一个是句柄计数,句柄是给用户态用的;另一个是指针计数,也叫引用计数,因为核心态也常常用到内核对象,为了方便,在核心态的代码用指针直接访问对象,所以Object   Manager维护了这个指针引用计数。只有在句柄计数和引用计数都为0时,对象才被释放。一般而言,指针引用计数值比句柄计数值大。

再进一步,实际上,在用户态其实是可以查询一个内核对象的句柄计数和引用计数的。Ntdll.dll里导出的NtQueryObject函数可以查询内核对象的当前状态,只不过它没有被文档化。

参考微软官网 NtQueryObject function https://docs.microsoft.com/en-us/windows/win32/api/winternl/nf-winternl-ntqueryobject

函数声明如下:
DWORD   WINAPI   NtQueryObject(   HANDLE   handle,   DWORD   nQueryIndex,   VOID*   pOutBuffer,   DWORD   cbInBufferSize,   VOID*   cbOutBufferSize);

handle   --   待查询的句柄
nQueryIndex   --   0为查询对象的当前状态,包括句柄计数,引用计数等等。
pOutBuffer   --   存放查询结果
cbInBufferSize   --   pOutBuffer的大小,注意,如果nQueryIndex为0,这里一定得是0x38
cbOutBufferSize   --   实际大小。

返回值:如果成功则返回0

pOutBuffer里返回的数据结构如下:
typedef   struct   _SYSTEM_HANDLE_STATE   {
DWORD   r1;
DWORD   GrantedAccess;
DWORD   HandleCount;   //   减1为句柄计数
DWORD   ReferenceCount;   //   减1为指针引用计数
DWORD   r5;
DWORD   r6;
DWORD   r7;
DWORD   r8;
DWORD   r9;
DWORD   r10;  
DWORD   r11;  
DWORD   r12;  
DWORD   r13;  
DWORD   r14;  
}SYSTEM_HANDLE_STATE,   *PSYSTEM_HANDLE_STATE;

功能实现

#include <string>
#include <ntdll/ntdll.h>
#pragma comment(lib,"ntdll.lib")

int test()
{
	HANDLE Handle = GetCurrentThread();
	OBJECT_BASIC_INFORMATION o_BASIC_INFORMATION;
	OBJECT_TYPE_INFORMATION o_TYPE_INFORMATION[10];
	OBJECT_NAME_INFORMATION o_NAME_INFORMATION;
	ULONG ReturnLength = 0;
	NtQueryObject(Handle, ObjectBasicInformation, &o_BASIC_INFORMATION, sizeof(o_BASIC_INFORMATION), &ReturnLength);
	NtQueryObject(Handle, ObjectNameInformation, &o_NAME_INFORMATION, sizeof(o_NAME_INFORMATION), &ReturnLength);
	NtQueryObject(Handle, ObjectTypeInformation, &o_TYPE_INFORMATION, o_BASIC_INFORMATION.TypeInfoSize, &ReturnLength);

	std::wstring TypeName(o_TYPE_INFORMATION[0].TypeName.Buffer, o_TYPE_INFORMATION[0].TypeName.Length / 2);
	std::wstring ObjName(L"[NULL]");
	if (o_NAME_INFORMATION.Name.Length)
	{
		ObjName.assign(o_NAME_INFORMATION.Name.Buffer, o_NAME_INFORMATION.Name.Length / 2);
	}
	printf("Name: %ws \nType: %ws \n \nGranted access:%8X \nReferences: %d \nHandles: %d \n", 
		ObjName.data(), TypeName.data(), o_BASIC_INFORMATION.GrantedAccess,
		o_BASIC_INFORMATION.PointerCount, o_BASIC_INFORMATION.HandleCount);
	return 0;
}

这里我们使用了https://github.com/x64dbg/x64dbg项目中的ntdll.hntdll.lib,里面讲ntdll中的函数及数据结构整理出来了,我们直接使用就行了,通过NtQueryObject接口,我们可以查询到丰富的句柄信息。运行结果如下:

ProcessHacker.exe查看的结果如下:

 内容基本相同,句柄数和引用数有差异,暂时不深入研究了。

 

参考资料

夜猫逐梦
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
NtQueryObject 在 win8 x86 x64 下获取不到指定句柄文件名的原因
sffdsafsf的专栏
07-04 1656
由于研发的需要,碰到了这样一个问题,用 NtQueryInformationFile 列出系统的所有句柄,然后找到指定句柄的文件名,然后将文件拷贝出来。但是  在 win8 x86  x64 下却获取不到指定句柄文件名,在国外论坛 与 MSDN 中到处疯狂搜索都没找到原因。调试了 N 次,才发现在 win8 x86  x64 系统下 ObjectTypeNumber 不再等于 28,  win7
列举进程及进程打开的文件
01-04
DuplicateHandle NtQueryObject NtQuerySystemInformation EnumProcesses 知道的就不多说了,不知道的就不需说了
NtQueryObject的c++代码
05-06
NtQueryObject的c++代码
枚举进程句柄.rar
02-01
Delphi枚举指定进程打开的文件句柄、Mutex、注册表等句柄。Delphi2006正常运行
NtQueryObject 卡死
weixin_33937778的博客
12-19 286
2019独角兽企业重金招聘Python工程师标准>>> ...
【升级】易语言文件解锁(关闭句柄法)-易语言
06-12
前言 上一次发布过的程序:【首发】检测文件的占用,具有学习和商业价值(By超级用户),可以使用,仿电脑管家 正文 对于怎么枚举文件句柄 ,上一帖子对此有介绍,核心代码大概如下:如果 (ZwQueryObject (handle, #ObjectTypeInformation, unicode, 0, size) ≠ #STATUS_INVALID_HANDLE )' 只要不是无效的,为什么,详细看下面的注释 ' 参数 ' Handle ' 对象的一个句柄来获取信息。 ' ObjectInformationClass ' 指定一个OBJECT_INFORMATION_CLASS返回值的类型决定了信息在ObjectInformation缓冲区。 ' ObjectInformation ' 一个指向caller-allocated缓冲接收请求的信息。 ' ObjectInformationLength ' 指定的大小,以字节为单位,ObjectInformation缓冲区。 ' ReturnLength ' 一个指向变量的指针,接收的大小,以字节为单位,请求的关键信息。如果NtQueryObject STATUS_SUCCESS返回,返回的变量包含的数据量。如果NtQueryObject返回STATUS_BUFFER_OVERFLOW或STATUS_BUFFER_TOO_SMALL,您可以使用变量的值来确定所需的缓冲区大小。 ' 返回值 ' NtQueryObject返回STATUS_SUCCESS或适当的错误状态。可能的错误状态码包括以下: ' 返回代码 描述 ' STATUS_ACCESS_DENIED ' 有足够的权限来执行该cha询。 ' STATUS_INVALID_HANDLE ' 提供对象句柄无效。 ' STATUS_INFO_LENGTH_MISMATCH ' 信息长度不足以容纳数据。 unicode = 取空白字节集 (size) ZwQueryObject (handle, #ObjectTypeInformation, unicode, size, 0)' 读取信息的unicode文本 RtlUnicodeStringToAnsiString (ansi, unicode, 真)' 编码转换 ' RtlUnicodeStringToAnsiString例程将给定Unicode字符串转换成一个ANSI字符串。 str = 指针到文本 (ansi.Buffer) ' RtlFreeAnsiString常规版本存储由RtlUnicodeStringToAnsiString分配。 ' 参数 ' AnsiString ' 指针ANSI字符串缓冲区由RtlUnicodeStringToAnsiString以前分配的。 RtlFreeAnsiString (ansi) str = “无法获取”' 无效的怎么获取…… 返回 (str) 这一次呢更新了一个RemoteCloseHandle ,大概的原理是什么呢? 同时也采用了一些比较骚的方法,这种方法的限制较多,但是对于32位进程就很有效果。 NtClose在MSDN的大概介绍 1. NtClose is a generic routine that operates on any type of object. 2. Closing an open object handle causes that handle to become invalid. The system also decrements the handle count for the object and checks whether the object can be deleted. The system does not actually delete the object until all of the object's handles are closed and no referenced pointers remain. 3. A driver must close every handle that it opens as soon as the handle is no longer required. Kernel handles, which are those that are opened by a system thread or by specifying the OBJ_KERNEL_HANDLE flag, can be closed only when the previous processor mo
NtQueryObject 函数
93Storm
04-25 4119
若翻译出现错误,请指出,本人会即时改正。 这个函数未来可能会改变或者从windows中移除,但是不会通告你。(微软有多贱,我嘞个草了) 函数声明: NTSTATUS NtQueryObject( _In_opt_  HANDLE  Handle, _In_        OBJECT_INFORMATION_CLASS objectInformationClass, _Out_opt_
Ring3 调用 NtQueryObject 获得文件句柄对应的对象名时调用线程死锁的原因
商少
10-03 2081
之前遗留的一个问题http://blog.csdn.net/qq_18218335/article/details/76400680         之前实现Ring3 查找文件占用的时候发现对部分句柄进行NtQueryObject 操作的时候会造成调用者线程挂起,从Ring3 解决问题的方法就是生成一个单独的工作线程,代替我们执行NtQueryObject 函数,如果工作线程挂起,则调用Kill
NtQueryObject遍历进程(死锁)与管道冲突的解决方案
waykd的博客
03-31 1145
在一次注入使用命名管道进行进程间通讯的案例中需要使用NtQueryObject遍历进程互斥锁情况,期间发现一个问题,NtQueryObject查询到管道时候会死锁,网上也有很多资料介绍NtQueryObject死锁的情况,不过解决方案不是很明确这里记录下解决办法在时候NtQueryObject打开进程关联句柄时,先使用CreateFileMapping假定创建文件句柄,如果创建成功,返回,当然假如...
查看文件被占用的进程 NtQueryObject NtQueryInformationFile NtQuerySystemInformation
linuxsmallping的专栏
06-22 4395
#pragma once #include #include #include #include #include #include #include using namespace std; #include typedef std::basic_stringTCHAR, std::char_traitsTCHAR>, std::allocatorTCHAR>> tstring; #inclu
Mirage:内核模式的Anti-Anti-Debug插件。 基于intel vt-x && ept技术
02-06
Mirage:内核模式的Anti-Anti-Debug插件。 基于intel vt-x && ept技术
种类齐全的调试与反调试,来自GitHub
12-06
- NtQueryObject (ObjectTypeInformation) - NtQueryObject (ObjectAllTypesInformation) - CloseHanlde (NtClose) Invalide Handle - SetHandleInformation (Protected Handle) - UnhandledExceptionFilter - ...
ColdHide是适用于Windows的迷你,简单的开源用户模式反反调试库x86 / x64-C/C++开发
05-27
钩子PEB钩子NtQueryInformationProcess NtClose Drx钩子NtQueryObject NtQuerySystemInformation NtSetInformationThread NtSetInformationProcess NtCreateThreadEx NtYieldExecution NtSetDebugFilterStateProcess...
脱壳的艺术 加解密必备参考书的中文翻译版 CHM格式
11-24
2.8 DebugObject: NtQueryObject() 9 2.9 Debugger Window 10 2.10 Debugger Process 11 2.11 Device Drivers 11 2.12 OllyDbg:Guard Pages 11 3 断点和补丁检测技术 13 3.1 Software Breakpoint Detection ...
关于一些调试器的反调试技术
09-29
12. DebugObject: NtQueryObject() 16 13. OllyDbg:Guard Pages 17 14. Software Breakpoint Detection 19 15. Hardware Breakpoints 21 16. PatchingDetection CodeChecksumCalculation补丁检测,代码检验和 22 17...
什么是死锁及死锁的必要条件和解决方法【转】
热门推荐
abigale1011的专栏
05-27 11万+
<br />来自:http://blog.163.com/yanenshun@126/blog/static/128388169200982444858590/?fromdm&fromSearch&isFromSearchEngine=yes<br /> 进程死锁及解决办法<br />操作系统2009-09-24 16:48:58阅读767评论1  字号:大中小 订阅<br /> 一、要点提示<br />(1) 掌握死锁的概念和产生死锁的根本原因。<br />(2) 理解产生死锁的必要条件--以下四个条件同
利用NtDuplicateObject进行Dump
最新发布
二狗的博客
08-10 396
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。(本文仅用于交流学习)这是国外老哥2020年提出的一种蛮有意思的思路。我们先来看看大致的思路是什么样子的,然后来看看一些需要学习的点。
C++ 互斥变量清除
l1040515635的博客
12-24 580
有时候,多个程序需要抢占同一个系统资源。例如串口,所以会涉及到程序运行不成功的情况。我的一个初级的解决方案是,杀死前面一个拥有某个互斥变量的程序,启动本程序。下面是一个简单的类,用于清除同名互斥变量。 #pragma once /* 此类将拥有同名的互斥变量的进程杀死*/ #include <atlstr.h> #include <functional> #inclu...
获取句柄的类型以及对应的ID序号
weixin_30718391的博客
08-13 861
遍历所有进程下的所有句柄,以及对应句柄类型. 一丶简介 在有的时候.我们会需要对应句柄名字.以及句柄类型的名称. 以及它所对应的的ID. 因为每个系统不一样.所以每次都是不一样的. 有的时候我们就需要借助Pchunter等类似的 Ark工具查看句柄名字. 以及对应的类型. 二丶原理讲解 想要获取 指定进程下的所有句柄,以及句柄名字. 句柄类型.我们只需要几步即可. 1.使用未导出API...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

夜猫逐梦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值