枚举进程内核句柄

最新推荐文章于 2023-10-22 13:46:28 发布
最新推荐文章于 2023-10-22 13:46:28 发布
阅读量1.6k 收藏
点赞数 1
分类专栏: 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sh3llc0der/article/details/17059653
版权

最近由于有一点点的时间,写了一个小工具,主要目的是总结前段时间对内核句柄的一些学习,功能很简单,类似于Process Explorer查看进程句柄的方法,在win7 x64上测试通过,效果如下图:


注意有些路径为空是因为x64下32位程序对64位程序用GetModuleFileNameEx获取进程的全路径是无法获取的,这个问题如果有好的解决方案欢迎推荐,自己太菜了...

代码上传到了CSDN,有需要的可以参考参考哈。


sh3llc0der
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MFC枚举进程内核句柄
12-01
用MFC写的一个枚举进程内核句柄的工具,类似于XT或者process exp查看进程句柄的功能,运行效果见blog
枚举进程句柄
qq_41490873的博客
09-19 418
#include <windows.h> #include <stdio.h> #define NT_SUCCESS(x) ((x) >= 0) #define STATUS_INFO_LENGTH_MISMATCH 0xc0000004 #define SystemHandleInformation 16 #define ObjectBasicInformation 0 #define ObjectNameInformation 1 #define ObjectTypeI
Win64 驱动内核编程-30.枚举与删除线程回调
天使也掉毛
04-04 4478
枚举与删除线程回调 进程回调可以监视进程的创建和退出,这个在前面的章节已经总结过了。某些游戏保护的驱动喜欢用这个函数来监视有没有黑名单中的程序运行,如果运行则阻止运行或者把游戏退出。而线程回调则通常用来监控远程线程的建立,如果发现有远程线程注入到了游戏进程里,则马上把游戏退出。现在来详细讲解如何绕过这个两个监控。 我们注册的进程回调,会存储在一个名为PspCreateProc...
驱动开发:内核枚举PspCidTable句柄
CSDN
10-16 6707
在上一篇文章中我们通过枚举特征码的方式找到了DPC定时器基址并输出了内核中存在的定时器列表,本章将学习如何通过特征码定位的方式寻找Windows 10系统下面的内核句柄表地址。首先引入一段基础概念;windowsPspCidTable 就是这样的一种表(内核句柄表),表的内部存放的是进程EPROCESS和线程ETHREAD的内核对象,并通过进程PID和线程TID进行索引,ID号以4递增,内核句柄表不属于任何进程,也不连接在系统的句柄表上,通过它可以返回系统的任何对象。
R3 x64枚举进程句柄
07-04 257
转载:https://blog.csdn.net/zhuhuibeishadiao/article/details/51292608 需要注意的是:在R3使用ZwQueryObject很容易锁死,需要放到线程中,如果线程超过500ms就说明卡死了 就只能放弃这个句柄了 这个句柄外面是一个FileObject类型,但真实是一个信号类型 还有在R3中枚举 有一个句柄我们是没有权限...
windows 驱动实现进程枚举
全栈胖叔叔
05-08 922
因为最近有需求写windows平台下的发外挂模块,需要实现对进程的监控,其中一个线程需要匹配进程名,那么问题来了,这就需要获取所有进程名称。 在用户层ring3下,枚举进程的方法主要有: 1.CreateToolhelp32Snapshot 通过快照枚举,x86和x64,winxp-win10 均可获取到进程名称。 2.通过 Psapi.dll,LoadLibrary(“PSAPI.DLL”),调用其EnumProcesses()枚举进程,x86和x64,winxp-win10 均可获取到进程名称,但是这个
驱动枚举和关闭内核句柄
liwen930723的专栏
09-25 2202
WIN64AST的作者之前发布了一些教程,里面有关于关闭内核句柄的介绍,但是他忘了一件事,所以那份代码并不能真正的关闭内核句柄,而且他的代码。。。不敢用在项目里。有人在看雪上问过类似问题,我也回答过,在vista之后,windows会检查内核句柄值得有效性,也就是为什么下面我提供的代码中会有这一行: *(PULONG64)HandleValue |= (ULONG64)KERNEL_HANDLE...
win10 x64进程句柄
weixin_41725706的博客
12-04 516
win10 x64进程句柄表研究测试
win10 x64驱动实现遍历全局句柄
weixin_41725706的博客
12-06 527
win10 x64驱动遍历全局句柄
64位操作系统下R3枚举进程及模块的两种方式
最新发布
qq_31548855的博客
10-22 211
综上,第一种方法使用快照枚举进程和模块,优点是代码量少,缺点是32位进程无法枚举64位进程模块。第二种方法使用Nt函数枚举进程和模块,优点是32位进程可以枚举64位进程模块,缺点是代码量多且要使用未文档化的数据结构。
易语言源码枚举句柄关闭进程DLL模块源码.rar
07-13
易语言源码枚举句柄关闭进程DLL模块源码.rar
FirstBlood内核级安全工具
03-21
(2)内核态下的进程枚举进程句柄表搜索) (3)文件强制删除(驱动下 强删文件(包括自运行和被运行)) (4)内核模块枚举 (5)多线程文件扫描(16线程) (6)进程自我保护(改变进程对象类型), (7)加入...
易语言超强的终止程序进程例程
07-15
易语言超强的终止程序进程例程源码,超强的终止程序进程例程,枚举窗口句柄,API_投递消息,API_获得窗口关联进程ID,API_取进程快照,API_枚举父窗口,API_快照中获取进程列表,API_遍历快照中进程列表,API_关闭内核对象
LKT内核工具,用于分析内核
06-25
支持 进程句柄 进程线程 进程模块 进程内存 进程窗口 进程IP 进程APIHOOK 等枚举 支持 DLL注入(x86,x64) 支持 ASM注入(x86,x64) 支持 各种 句柄 线程 模块 窗口 关闭,卸载,恢复等操作 支持5种 驱动枚举 支持 驱动IRP...
内核安全编程(一)共享内存
Debug Hacker
11-25 1435
前面分别通过读写驱动(IRP)和IO控制(ControlCOde)两种方法来实现ring3和ring0的通信,今天学习共享内存通信方法 共享内存实现有两种方式: 1.应用程序分配内存,提供给驱动程序,由驱动程序映射并锁定该内存。 2.驱动程序分配内存,然后映射到应用程序地址范围内。 这里主要学习按书上的第二种方法的实现。 步骤: 1.驱动程序分配出一块内核空间。 2.使用MDL描述这
内核安全编程(一)读写驱动程序1.1
Debug Hacker
11-13 1398
内核安全编程(一)读写驱动程序 读写驱动程序,即应用程序或者上层驱动程序发送主功能码为IRP_MJ_READ和IRP_MJ_WRITE的IO请求包(IRP) DriverEntry函数如下: NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath) { UNICODE_S
内核安全编程(一)IO控制驱动程序
Debug Hacker
11-18 1360
前面通过读写驱动程序来实现ring3与ring0的交互,即通过发送IRP_MJ_READ或者IRP_MJ_WRITE来实现。 接下来是通过Control_CODE实现ring3与ring0的通信,ring3通过API DeviceIoControl发送Control_CODe并由相应的IRP处理例程处理这些Control_CODE. ring0层几个主要处理代码如下: #include "s
内核安全编程(一)读写驱动程序1.2
Debug Hacker
11-16 847
内核安全编程(一)读写驱动程序1.2 1.1介绍了内核驱动读写程序中驱动程序部分,接下来学习ring3是如何和ring0的这些驱动来交互的 :) 代码: #include "iostream" #include "windows.h" int main() { HANDLE hFile=CreateFileA("\\\\.\\Driver_write0",GENERIC_WRITE|GEN
进程 线程 句柄
07-27
进程(Process)是指一个正在运行的程序实例。每个进程都有自己的地址空间、数据栈和资源。进程之间是相互独立的,它们不能直接访问彼此的内存空间,需要通过特定的机制进行进程间通信。 线程(Thread)是进程中的一个执行单元。一个进程可以包含多个线程,它们共享进程的地址空间和资源。线程之间可以直接访问共享内存,因此线程之间的通信更加高效。线程的创建、销毁和切换所需的开销要小于进程句柄(Handle)是操作系统为了管理资源而提供的一种抽象概念。在Windows操作系统中,句柄可以表示各种资源,如文件、进程、线程、窗口等。通过句柄,操作系统可以对这些资源进行管理和操作,应用程序可以通过句柄来引用和访问这些资源。句柄可以看作是资源的标识符,类似于内存地址或文件描述符。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值