通过句柄表遍历进程

最新推荐文章于 2021-11-23 17:39:41 发布
最新推荐文章于 2021-11-23 17:39:41 发布
阅读量1k 收藏 1
点赞数
文章标签: table object struct string c xp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HuErr/article/details/7634968
版权

进程线程这块都被人玩滥了......都是些过时了的东西,做为新手,我还是拿来耍耍。



#include <Ntifs.h>
#include <ntddk.h>

//结构体是根据windbg查看得出来的。
typedef struct _HANDLE_TABLE
{
    ULONG_PTR TableCode;
    PEPROCESS QuotaProcess;
    PVOID UniqueProcessId;
    EX_PUSH_LOCK HandleTableLock[4];
    ULONG HandleTableList[2];
    EX_PUSH_LOCK HandleContentionEvent;
    ULONG DebugInfo;
    LONG ExtraInfoPages;
    ULONG FirstFree;
    ULONG LastFree;
    ULONG NextHandleNeedingPool;
    LONG HandleCount;
    union
    {
        ULONG Flags;
        UCHAR StrictFIFO:1;
    };
} HANDLE_TABLE, *PHANDLE_TABLE;

void Handle_EnumProcess()
{
    //_asm int 3
    PHANDLE_TABLE HandleTable;
    ULONG HandleTableListHead = 0x805636c8;//我的环境是xp sp3 我就用了一个固定值。没用通过特征码的方法去定位。。。人懒,没办法。。。
    ULONG Count = 1;
    HandleTable = (PHANDLE_TABLE)((*(ULONG*)HandleTableListHead)-0x1c);

    while((ULONG)(HandleTable->HandleTableList[0]) != 0x805636c8)
    {
        DbgPrint("%d:%x\n",Count,HandleTable->QuotaProcess);
        HandleTable = (PHANDLE_TABLE)((HandleTable->HandleTableList[0])-0x1c);
    }
}
VOID DriverUnLoad(PDRIVER_OBJECT Driver)
{
  KdPrint(("Driver UnLoaded!\n"));
}
extern "C"
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject,PUNICODE_STRING Reg)
{
    Handle_EnumProcess();
    pDriverObject->DriverUnload=DriverUnLoad;
    return STATUS_SUCCESS;
}
特征码定位 HandleTableListHead 的方法网上也用到的很多,不光这里。比如定位swapcontex...很多时候都会用到。我们看下通地IDA分析内核文件看对 
HandleTableListHead 的引用。

 


 
 

大家可以自行发挥哦。。。
 


                

        

        

    

  


    

      

        

            

              
                
                  HuErr
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
C#句柄操作实例遍历窗体、载图

				
			

			

				

					03-22
				

			

		

		

			
				
这个数值是由操作系统分配的,开发者可以通过句柄来操作这些对象。本教程将深入探讨如何在C#中进行句柄操作,特别是在遍历窗体和载图方面的应用。  首先,我们要理解如何遍历当前系统中的所有运行进程及其对应的窗体...

			
		

	



                

              
                



	

		

			

				
					
Windows进程中的句柄

				
			

			

				

					maomao171314的专栏
				

				

					12-12
					
					699
					
				

			

		

		

			
				
1 Windows进程中的句柄

句柄是一个对象引用,同一个对象在不同的环境下可能有不同的引用(句柄)值。句柄仅在一个进程范围内有效。

HANDLE_TABLE 结构的定义:

typedef struct _HANDLE_TABLE {

 ULONG_PTR TableCode;//指向句柄的存储结构

 struct _EPROCESS *QuotaProcess;//句柄的内存资源记录在此进程中

 HANDLE UniqueProcessId;//创建进程的ID,用于回...

			
		

	



                


  
              

                


	

		

			

				
					
[note]枚举进程之二(句柄分析篇)

				
			

			

				

					a519609598的博客
				

				

					09-18
					
					302
					
				

			

		

		

			
				
继续接着上篇,这一篇说下句柄,关于handletable,其实也已经相当科普了~基础知识还是学习下吧.
继续引用下V大的思路.
3.通过pspCidTable获得进程c4.通过handletablelisthead获得进程d5.通过csrss的handletable用2种方法枚举获得进程e和f6.通过扫描当前进程的handletable获得进程g

在解释如何通过这...

			
		

	





	

		

			

				
					
9种枚举枚举进程的方法及实现

				
			

			

				

					爱杀之爪的矩阵
				

				

					07-02
					
					1642
					
				

			

		

		

			
				
<br />//<br />//native api获得进程<br />NTSTATUS NativeApiEnumProcess()<br />{<br /> ULONG pNeededSize=0;<br /> int iCount = 1;<br /> int bOver=0;<br /> NTSTATUS status;<br /> ULONG uSize;<br /> PVOID pSi=NULL; <br /> PSYSTEM_PROCESS_INFORMATION pSpiNext = NU

			
		

	



		

			
		



	

		

			

				
					
[note]枚举进程之一(基础科普篇)

				
			

			

				

					a519609598的博客
				

				

					09-16
					
					136
					
				

			

		

		

			
				
  关于进程的枚举,以及查看进程信息,和查杀进程...等等..都是很古老的东西了,但是基础是改变不了的.
首先看看关于进程的枚举吧,当前ark的驱动枚举进程,离不开V大的这个思路(如下):

killvxk的驱动查进程:1.native api获得进程a2.通过activelist获得进程b3.通过pspCidTable获得进程c4.通过handletablelisthe...

			
		

	





	

		

			

				
					
HANLDE的归纳

				
			

			

				

					whowho的专栏
				

				

					04-12
					
					828
					
				

			

		

		

			
				
_HandleTableListHead
kd> dd HandleTableListHead
80563648  e1001cbc e1d4d1ac 00000000 00000000
80563658  00000000 00000000 867eb648 8055c1e0
80563668  00000000 00000000 00000000 00000000
80563678

			
		

	





	

		

			

				
					
通过窗口句柄取得进程ID


				
			

			

				

					06-01
				

			

		

		

			
				
总的来说,通过窗口句柄取得进程ID是Windows编程中常用的一个技巧,特别是在进行进程管理和窗口操作时。易语言提供的API函数接口使得这个过程变得简单易行,只需几行代码就能完成任务。在开发过程中,合理运用这些...

			
		

	





	

		

			

				
					
易语言遍历进程模块

				
			

			

				

					07-15
				

			

		

		

			
				
在易语言遍历进程模块的源码中,开发者通常会通过以下步骤实现功能:  1. 使用`CreateToolhelp32Snapshot`创建一个进程快照,获取当前系统中所有进程的信息。 2. 使用`Process32First`和`Process32Next`遍历快照,...

			
		

	





	

		

			

				
					
易语言遍历进程模块源码-易语言

				
			

			

				

					06-13
				

			

		

		

			
				
3. **遍历进程ID**:对每个进程ID,使用`OpenProcess`函数获取进程句柄,以进一步访问其信息。  4. **调用EnumProcessModules**:使用`EnumProcessModules`函数获取进程的模块(即加载的动态链接库DLL)列。这个...

			
		

	





	

		

			

				
					
驱动保护进程_隐藏进程_遍历内核句柄

				
			

			

				

					07-02
				

			

		

		

			
				
1、改进程PID,隐藏自己的进程 2、断链隐藏自己的进程,防PG  ...5、遍历进程句柄,并降低指定进程PID的句柄权限,里面有遍历内存进程和每个进程句柄的方法 6、操作debugport,防止调试或者使自己脱离调试,检测调试

			
		

	





	

		

			

				
					
内核遍历进程中所有的线程

				
			

			

				

					radicwei的专栏
				

				

					08-09
					
					3569
					
				

			

		

		

			
				
KPROCESS结构体中的_LIST_ENTRY 类型成员ThreadListHead将KTHREAD链接起来,通过遍历ThreadListHead获得每个线程指针.
_KPROCESS 结构体的内容为:

_KTHREAD 结构体的内容为:

 
 如需判定线程是否可以插入一个APC(异步过程调用),可以检测_KTHREAD 结构体偏移量0x164的Alertable, Alerta

			
		

	





	

		

			

				
					
[转载]谈谈进程句柄

				
			

			

				

					tomorrowsprogress的专栏
				

				

					08-24
					
					582
					
				

			

		

		

			
				
[转载]谈谈进程句柄信息来源:cvc文章作者:pjfWindows有许多种类的句柄,其中比较有趣的是内核对象(进程、线程、文件、事件、互斥量等)的句柄。此HANDLE值仅仅是句柄的一个索引值。下面讨论一下进程句柄相关结构以及一个应用例子:向一个正运行程序的文件Write。  一、Windows98、WindowsNT(NT未验证):句柄的格式为一个DWORD指明大小,后跟若干项,每

			
		

	





	

		

			

				
					
遍历进程句柄并干掉互斥体

				
			

			

				

					crlyn的博客
				

				

					07-23
					
					5913
					
				

			

		

		

			
				
互斥体例子
int main(int argc, char* argv[])  
{  
    HANDLE hMtx = CreateMutex(NULL,false,"process"); //创建一个有名对象,可以在其他进程中访问   
    if(GetLastError() == ERROR_ALREADY_EXISTS)    //除了创建该对象的进程能进到else分支,其他进程

			
		

	





	

		

			

				
					
有关遍历进程句柄的方法总结

				
			

			

				

					mergerly的专栏
				

				

					04-16
					
					1821
					
				

			

		

		

			
				
此篇文章说是原创有些牵强。就像题目所说的,更多的是对前人方法的总结。写作的初衷倒也不是技术方面的研究,不过是工作的需求罢了。
方法中涉及到一些函数需要提权,其实我一直以为网上那个标准的提权函数没什么用,直到这次写程序我才知道原来有的时候是真的需要提权的。现附上一份比较好看的提权代码,也方便自己以后使用。
 
BOOL AdjustProcessPrivilege(HANDLE hProces

			
		

	





	

		

			

				
					
全局句柄 —— 遍历全局句柄

				
			

			

				

					walker的博客
				

				

					03-16
					
					1550
					
				

			

		

		

			
				
简介
进程句柄是私有的,每个进程都有自己的进程句柄。除此之外,系统还有一个全局句柄,全局变量 PspCidTable 指向该。
全局句柄存储的是操作系统中所有创建的进程、线程的句柄(不会出现重复)。每个进程和线程都有一个唯一的编号:PID 和 CID ,  这两个值其实就是全局句柄中的索引。
也就是说,即使我们实现了对进程、线程的断链,但是只要操作系统中创建了进程、线程,全局句柄中就会记录其对应的句柄(PID/CID),仍然可以通过全局句柄实现对线程、进程遍历。

EnumPspCidTab

			
		

	





	

		

			

				
					
通过遍历系统句柄信息(SystemHandleInformation),获取系统进程和当前进程的eprocess

					
热门推荐

				
			

			

				

					pureman_mega的博客
				

				

					11-23
					
					1万+
					
				

			

		

		

			
				
实验环境:win10 1909 64

参考:https://blog.csdn.net/qinlicang/article/details/4489727

首先,获取系统的句柄信息;然后,在句柄信息中进行搜索,通过数据结构进行匹配;最后,确定系统进程和当前进程的eprocess;

主要数据结构如下:


typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO {
    USHORT UniqueProcessId;
    USHORT CreatorBack

			
		

	





	

		

			

				
					
R3下,遍历所有进程的伪句柄,关闭指定句柄

				
			

			

				

					被遗弃的庸才博客
				

				

					10-20
					
					1591
					
				

			

		

		

			
				
之所以产生这个想法,是在删除文件的时候有时会提示文件被占用了,然后让我们先关闭之后在来删除,但是我怎么知道哪个进程打开了我的文件?

于是就去网上了找了一份代码然后改了改,接着来说说是怎么实现功能的。首先我们需要遍历所有的进程,所有要找到遍历进程的代码。



	//遍历进程
	WCHAR * szServerName = NULL;
	HANDLE WtsServerHandle = WTSOp...

			
		

	





	

		

			

				
					
Win10遍历句柄+修改权限过Callback保护

				
			

			

				

					xlaomlng的博客
				

				

					05-26
					
					3424
					
				

			

		

		

			
				
本帖转载于http://www.m5home.com/bbs/thread-8847-1-1.html
本想发到看雪,但自己太菜,看雪“牛人”又太多,想想还是发到紫水晶吧。
感谢 TA 的 WIN64 教程带我走上驱动之路,想想除了个 VIP 账号就没教过学费,以后多在论坛发帖来回报一下吧。
正篇:
XP 和 Win7 上关于句柄的文章不少,一点不懂的朋友请自行百度谷歌搜索,方法没变,依旧使用 ...

			
		

	





	

		

			

				
					
C++遍历进程句柄进程对象的步骤

					
最新发布

				
			

			

				

					10-09
				

			

		

		

			
				
在C++中,遍历进程句柄进程对象通常需要涉及Windows API中的几个关键函数。以下是基本步骤:  1. 包含头文件:首先,你需要包含`windows.h`头文件,它包含了所有Windows API所需的声明。  ```cpp #include  ```  2...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值