枚举进程:ring3->ring0

最新推荐文章于 2021-11-23 17:39:41 发布
最新推荐文章于 2021-11-23 17:39:41 发布
阅读量172 收藏 2
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/DreamOfGalaxy/articles/4491809.html
版权

链 接: http://bbs.pediy.com/showthread.php?t=106745

用google搜索了几天相关内容的资料,将所提到的逐一实现。哎,不禁感叹自己太菜了。居然用了几天的时间。没啥新思想、内容,只是总结,当然还有其他 方法没总结到。但经常提到的ring3下的快照、psapi的EnumProcesses、暴力OpenProcess;ring0下 的ZwQuerySystemInformation、activprocess链、暴力搜索内存、PspCidTable、Csrss进程的 ObjectTable、进程的SessionProcessList、ZwQuerySystemInformation的全局句柄表、 hook SwapContext.就这么多吧,大牛飘过。算一个枚举进程的科普吧。废话不多说,直接上代码:

ring3:

1.ring3下的快照:

 void main()
{
HANDLE hSnap = CreateToolhelp32Snapshot( TH32CS_SNAPPROCESS, 0 );
if( hSnap == INVALID_HANDLE_VALUE )
{
   cout<<"Create Toolhelp false"<<endl;
   return;
}
PROCESSENTRY32 pEntry32 = {0};
pEntry32.dwSize = sizeof(PROCESSENTRY32);
bool bRes = Process32First( hSnap, &pEntry32 );
int pNums = 0;
while( bRes )
{
   pNums++;
   cout<<"PID:"<<pEntry32.th32ProcessID<<"\t"<<"Path:"<<pEntry32.szExeFile<<endl;
   bRes = Process32Next( hSnap, &pEntry32 );
}
CloseHandle( hSnap );
cout<<"Process Nums:"<<pNums<<endl;

}

 

 效果:

名称: 未命名.jpg 查看次数: 1319 文件大小: 163.0 KB

2.psapi的EnumProcesses

DWORD dProcessIds[1024] = {0};
DWORD dRet = 0;
DWORD dRes = 0;

dRes = EnumProcesses( dProcessIds, sizeof(dProcessIds), &dRet );
if( dRes == 0 )
{
   cout<<"EnumProcesses1 False"<<endl;
   return;
}
int ProcessNums = dRet/sizeof(DWORD);

for( int i = 0; i < ProcessNums; i++ )
   GetProcessPathById( dProcessIds[i] );

cout<<"Process Nums:"<<ProcessNums<<endl;

 

 效果:

名称: 未命名1.jpg 查看次数: 1306 文件大小: 88.7 KB

3.ring3下的暴力枚举:

RaisePrivileges();
for( int i = 0; i <0xffff; i++ )
{
   HANDLE hProcess = OpenProcess( PROCESS_ALL_ACCESS, false, i );
   if( hProcess )
   {
    char ProcessName[MAX_PATH] = {0};
    GetProcessImageFileName( hProcess, ProcessName, MAX_PATH );
    cout<<"PID:"<<i<<"\t"<<"Path:"<<ProcessName<<endl;
   }
}

 

 效果:

名称: 未命名2.jpg 查看次数: 1315 文件大小: 119.3 KB

 

ring0:

1.利用ZwQuerySystemInformation的第5号功能,获取系统进程表

NTSTATUS Status = STATUS_SUCCESS;
NtQuerySystemInformation( 5, pBuff, 0, &uRet );

pBuff = (PCHAR)ExAllocatePool( NonPagedPool, uRet );
pTemp = pBuff;

Status = NtQuerySystemInformation( 5, pBuff, uRet, NULL );
if( NT_SUCCESS(Status) )
{
  
   while( 1 )
   {
    PSYSTEM_PROCESS_INFORMATION pSystemProcessInfo = (PSYSTEM_PROCESS_INFORMATION)pTemp;
    RtlUnicodeStringToAnsiString( &ansi, &pSystemProcessInfo->ImageName, TRUE );
    DbgPrint("PId:%d\t", pSystemProcessInfo->ProcessId);
    DbgPrint("Path:%s\n", ansi.Buffer );
    RtlFreeAnsiString( &ansi );

    if( pSystemProcessInfo->NextEntryOffset == 0 )
     break;
    pTemp = pTemp+pSystemProcessInfo->NextEntryOffset;

   }
}

 

 效果:

名称: 未命名3.jpg 查看次数: 1304 文件大小: 83.3 KB

2.利用ZwQuerySystemInformation的第16号功能,获取系统进程表

 

void DisplayInfo()
{
NTSTATUS Status = STATUS_SUCCESS;
PCHAR pBuff = NULL;
ULONG uNums = 0;
ULONG uRet = 0;
PSYSTEM_HANDLE_INFORMATION_EX pSystemHandle = NULL;

pBuff = (PCHAR)ExAllocatePool( NonPagedPool, 100 );

Status = ZwQuerySystemInformation( 16, pBuff, 100, &uRet );
ExFreePool( pBuff );

pBuff = (PCHAR)ExAllocatePool( NonPagedPool, uRet );

Status = ZwQuerySystemInformation( 16, pBuff, uRet, NULL );
if( NT_SUCCESS(Status) )
{
   ULONG index = 0;
   LONG PId = -1;
   pSystemHandle = (PSYSTEM_HANDLE_INFORMATION_EX)pBuff;
   uNums = pSystemHandle->NumberOfHandles;

   for(; index < uNums; index++ )
   {
    if( pSystemHandle->Information[index].ProcessId != PId )
    {
     PId = pSystemHandle->Information[index].ProcessId;
     Display( pSystemHandle->Information[index].ProcessId );
    }
   }
   
}
else
{
   DbgPrint("NtQuerySystemInformation False");
   return;
}

 

 效果:

名称: 未命名4.jpg 查看次数: 1305 文件大小: 99.6 KB

3.利用进程的ActiveProcessList

 1 void DisplayInfo()
 2 {
 3 PEPROCESS pEprocess = NULL, pTemp = NULL;
 4 pEprocess = PsGetCurrentProcess();
 5 pTemp = pEprocess;
 6 do 
 7 {
 8    DbgPrint("PId:%d\t", *(PULONG)((ULONG)pTemp+0x084) );
 9    DbgPrint("Path:%s\n", (PUCHAR)((ULONG)pTemp+0x174 ));
10    pTemp = (PEPROCESS)( (ULONG)(*(PULONG)((ULONG)pTemp+0x088)) - 0x088 );
11 
12 } while ( pTemp != pEprocess );
13 }

 

效果:

名称: 未命名5.jpg 查看次数: 1296 文件大小: 78.9 KB

 

4.ring0下暴力搜索内存

 1 void DisplayInfo()
 2 {
 3     ULONG uStartAddr = 0x80000000;
 4     PEPROCESS pCurrent = PsGetCurrentProcess();
 5 
 6     // ULONG uPetAddr = (ULONG)PsGetProcessPeb( pCurrent );
 7     DbgPrint("PId:%d\tPath:%s\n", *(PULONG)((ULONG)pCurrent+0x084), (PUCHAR)((ULONG)pCurrent+0x174));
 8 
 9     for(; uStartAddr < (ULONG)pCurrent+0x800000; uStartAddr += 4 )
10     {
11        ULONG uRet = IsValidAddr( uStartAddr );
12        if( uRet == VALID_PAGE )
13        {
14             if( ( *(PULONG)uStartAddr & 0xffff0000) == 0x7ffd0000 )
15             {
16                  if( IsRealProcess(uStartAddr - 0x1b0) )
17                  {
18                       PLARGE_INTEGER pExitTime = (PLARGE_INTEGER)(uStartAddr-0x1b0+0x078);
19                       if( pExitTime->QuadPart == 0 )
20                       {
21                            DbgPrint("PId:%d\tPath:%s\n", *(PULONG)(uStartAddr-0x1b0+0x084), (PUCHAR)(uStartAddr-0x1b0+0x174));
22                       }
23      
24                       uStartAddr -= 4;
25                       uStartAddr += 0x25c;
26                  }
27             }
28        }
29        else if( uRet == PDEINVALID )
30        {
31             uStartAddr -= 4;
32             uStartAddr += 0x400000;
33        }
34        else
35        {
36             uStartAddr -= 4;
37             uStartAddr += 0x1000;
38        }
39     }
40 }

效果:

名称: 未命名6.jpg 查看次数: 1299 文件大小: 114.2 KB

5.PspCidTable

  1 void DisplayInfo()
  2 {
  3 ULONG pCidTableAddr = 0;
  4 PHANDLE_TABLE pCidHandleTable = NULL;
  5 PHANDLE_TABLE_ENTRY pTable1, *pTable2, **pTable3;
  6 ULONG pRealHandleTable = 0;
  7 ULONG level = 0;
  8 ULONG uMax_Handle = 0;
  9 
 10 pCidTableAddr = GetCidTableAddr();
 11 pCidHandleTable = (PHANDLE_TABLE)(*(PULONG)pCidTableAddr);
 12 level = (pCidHandleTable->TableCode) & 0x3;
 13 pRealHandleTable = (pCidHandleTable->TableCode) & ~0x3;
 14 uMax_Handle = pCidHandleTable->NextHandleNeedingPool;
 15 
 16 switch( level )
 17 {
 18 case 0:
 19    {
 20     ULONG index = 0;
 21     pTable1 = (PHANDLE_TABLE_ENTRY)(pRealHandleTable);
 22     for( index = 0; index < MAX_ENT_CNT; index++ )
 23     {
 24      if( pTable1[index].Object != NULL )
 25      {
 26       ULONG pObject = (ULONG)(pTable1[index].Object) & ~7 ;
 27       if( MmIsAddressValid((PULONG)(pObject - 0x10)) )
 28       {
 29        POBJECT_TYPE pType = (POBJECT_TYPE)(*(PULONG)(pObject - 0x10));
 30        if( pType == *PsProcessType )
 31        {
 32         DbgPrint("PId:%d\tPath:%s\n", index*4, PsGetProcessImageFileName((PEPROCESS)pObject) );
 33        }
 34       }
 35      
 36      }
 37     }
 38     break;
 39    }
 40 case 1:
 41    {
 42     ULONG index = 0;
 43     pTable2 = (PHANDLE_TABLE_ENTRY*)(pRealHandleTable);
 44     for( index = 0; index < uMax_Handle/(4*MAX_ENT_CNT); index++ )
 45     {
 46      pTable1 = pTable2[index];
 47      if( pTable1 == NULL )
 48       break;
 49      else
 50      {
 51       ULONG i = 0;
 52       for( i = 0; i < MAX_ENT_CNT; i++ )
 53       {
 54        if( pTable1[i].Object != NULL )
 55        {
 56         ULONG pObject = (ULONG)(pTable1[i].Object) & ~7;
 57         if( MmIsAddressValid( (PULONG)(pObject-0x10) ) )
 58         {
 59          POBJECT_TYPE pType = (POBJECT_TYPE)(*(PULONG)(pObject-0x10));
 60          if( pType == *PsProcessType )
 61          {
 62           DbgPrint("PId:%d\tPath:%s\n", index*MAX_ENT_CNT*4+i*4, PsGetProcessImageFileName((PEPROCESS)pObject) );
 63          }
 64         }
 65        
 66        }
 67       }
 68      }
 69     }
 70     break;
 71    }
 72 case 2:
 73    {
 74     ULONG index = 0;
 75     pTable3 = (PHANDLE_TABLE_ENTRY**)(pRealHandleTable);
 76     for( index = 0; index < uMax_Handle/(MAX_ADD_CNT*MAX_ENT_CNT*4); index++ )
 77     {
 78      ULONG i = 0;
 79      pTable2 = (PHANDLE_TABLE_ENTRY*)((ULONG)pTable3[index] & ~0x3);
 80      if( pTable2 == NULL )
 81       break;
 82      for( i = 0; i < MAX_ADD_CNT; i++ )
 83      {
 84      
 85       pTable1 = pTable2[i];
 86       if( pTable1 == NULL )
 87        break;
 88       else
 89       {
 90        ULONG j = 0;
 91        for( j = 0; j < MAX_ENT_CNT; j++ )
 92        {
 93         if( pTable1[j].Object != NULL )
 94         {
 95          ULONG pObject = (ULONG)(pTable1[j].Object) & ~7;
 96          if( MmIsAddressValid( (PULONG)(pObject-0x10) ) )
 97          {
 98           POBJECT_TYPE pType = (POBJECT_TYPE)(*(PULONG)(pObject-0x10));
 99           if( pType == *PsProcessType )
100           {
101            DbgPrint("PId:%d\tPath:%s\n", index*MAX_ADD_CNT*MAX_ENT_CNT*4+i*MAX_ENT_CNT*4+j*4,\
102             PsGetProcessImageFileName((PEPROCESS)pObject) );
103           }
104          }
105         }
106        
107 
108        }
109 
110       }
111      }
112 
113     }
114 
115    }
116    break;
117 }
118 
119 
120 }

效果:

名称: 未命名7.jpg 查看次数: 1296 文件大小: 125.5 KB

6.Inline Hook KiSwapContext

 1 _declspec(naked) void MySwapContext()
 2 {
 3 _asm
 4 {
 5    pushad
 6     pushfd
 7     cli
 8 }
 9 _asm
10 {
11    push esi
12     push edi
13     call ShowProcess
14 }
15 
16 _asm
17 {
18    sti
19     popfd
20     popad 
21 }
22 _asm jmp DWORD PTR[pBackAddr]
23   
24 }

效果:

名称: 未命名8.jpg 查看次数: 1293 文件大小: 80.1 KB

7.Csrss进程中枚举进程

  1 void DisplayInfo()
  2 {
  3 PEPROCESS pEProcess = NULL;
  4 
  5 NTSTATUS Status = STATUS_SUCCESS;
  6 PHANDLE_TABLE pObjectTable = NULL;
  7 PHANDLE_TABLE_ENTRY table1, *table2, **table3;
  8 ULONG level;
  9 ULONG pRealHandleTable;
 10 ULONG uHandleCount;
 11 
 12 pEProcess = GetCsrssObject();
 13 
 14 pObjectTable = (PHANDLE_TABLE)(*(PULONG)((ULONG)pEProcess + 0xc4));
 15 level = pObjectTable->TableCode & 3;
 16 pRealHandleTable = pObjectTable->TableCode & ~3;
 17 uHandleCount = pObjectTable->NextHandleNeedingPool;
 18 switch( level )
 19 {
 20 case 0:
 21    {
 22     ULONG index = 0;
 23     table1 = (PHANDLE_TABLE_ENTRY)pRealHandleTable;
 24     for( index = 0; index < MAX_ENT_CNT; index++ )
 25     {
 26      ULONG pObject = (ULONG)(table1[index].Object) & ~7;
 27      if( MmIsAddressValid( (PULONG)(pObject+0x8) ) )
 28      {
 29       POBJECT_TYPE pType = (POBJECT_TYPE)(*(PULONG)(pObject+0x8));
 30       if( pType == *PsProcessType )
 31       {
 32        PEPROCESS pAddr = (PEPROCESS)(pObject+0x18);
 33        DbgPrint("PId:%d\tPath:%s\n", *(PULONG)((ULONG)pAddr+0x84), (PUCHAR)((ULONG)pAddr+0x174) );
 34       }
 35      }
 36     }
 37     break;
 38 
 39    }
 40 case 1:
 41    {
 42     ULONG index = 0;
 43     table2 = (PHANDLE_TABLE_ENTRY*)pRealHandleTable;
 44     for( index = 0; index < uHandleCount/MAX_ENT_CNT; index++ )
 45     {
 46      ULONG i = 0;
 47      table1 = table2[index];
 48      if( table1 == NULL )
 49       break;
 50      for( i = 0; i < MAX_ENT_CNT; i++ )
 51      {
 52       ULONG pObject = (ULONG)(table1[i].Object) & ~7;
 53       if( MmIsAddressValid( (PULONG)(pObject+0x8) ) )
 54       {
 55        POBJECT_TYPE pType = (POBJECT_TYPE)(*(PULONG)(pObject+0x8));
 56        if( pType == *PsProcessType )
 57        {
 58         ULONG pAddr = (ULONG)(pObject+0x18);
 59         DbgPrint("PId:%d\tPath:%s\n", *(PULONG)(pAddr+0x84), (PUCHAR)(pAddr+0x174) );
 60        }
 61       }
 62 
 63      }
 64     
 65     }
 66     break;
 67    }
 68 case 2:
 69    {
 70     ULONG index = 0;
 71     table3 = (PHANDLE_TABLE_ENTRY**)pRealHandleTable;
 72     for( index = 0; index < uHandleCount/(MAX_ENT_CNT*MAX_ADD_CNT); index++ )
 73     {
 74      ULONG i = 0;
 75      table2 = table3[index];
 76      if( table2 == NULL )
 77       break;
 78      for( i = 0; i < MAX_ADD_CNT; i++ )
 79      {
 80       ULONG j = 0;
 81       table1 = table2[i];
 82       if( table1 == NULL )
 83        break;
 84       for( j = 0; j < MAX_ENT_CNT; j++ )
 85       {
 86        ULONG pObject = (ULONG)(table1[j].Object) & ~7;
 87        if( MmIsAddressValid( (PULONG)(pObject+0x8) ) )
 88        {
 89         POBJECT_TYPE pType = (POBJECT_TYPE)(*(PULONG)(pObject+0x8));
 90         if( pType == *PsProcessType )
 91         {
 92          ULONG pAddr = (ULONG)(pObject+0x18);
 93          DbgPrint("PId:%d\tPath:%s\n", *(PULONG)(pAddr+0x84), (PUCHAR)(pAddr+0x174) );
 94         }
 95        }
 96      
 97       }
 98      }
 99    
100     }
101     break;
102    }
103 }
104 
105 }

效果:

名称: 未命名9.jpg 查看次数: 1289 文件大小: 105.9 KB

8.SessionProcessList枚举

 1 void DisplayInfo()
 2 {
 3 PEPROCESS pEProcess = PsGetCurrentProcess();
 4 PEPROCESS pTemp = pEProcess;
 5 DbgPrint("PId:%d\tPath:%s\n", *(PULONG)((ULONG)pTemp+0x84), (PUCHAR)((ULONG)pTemp+0x174) );
 6     pTemp = (PEPROCESS)( *(PULONG)(*(PULONG)((ULONG)pTemp + 0x8c) + 0x4) - 0x88 );//取用户进程
 7 pEProcess = pTemp;
 8 do 
 9 {
10 
11    if( MmIsAddressValid(pTemp) )
12    {
13     DbgPrint("PId:%d\tPath:%s\n", *(PLONG)((LONG)pTemp+0x84), (PUCHAR)((ULONG)pTemp+0x174) );
14     pTemp = (PEPROCESS)(*(PULONG)((ULONG)pTemp+0xb4) - 0xb4 );
15    }
16    else
17     break;
18   
19 } while ( pEProcess != pTemp );
20 
21 }

效果:

名称: 未命名10.jpg 查看次数: 1279 文件大小: 113.5 KB

 

就总结了这些。一直以来自己都是零零散散地学习,最近想系统地对内核进行学习,就先从进程开始了。下次再针对以上的枚举方法,进程隐藏。

 

转载于:https://www.cnblogs.com/DreamOfGalaxy/articles/4491809.html

dog0230
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
采用关闭句柄的方式去掉程序多开的限制
yu_xiyan的专栏
01-23 7433
下面的文字,主要是为了分享给和我一样的菜鸟,而且这些东西都是很多大牛的文章中的一个非常小的部分。您们直接飘过吧。     一些程序限制多开的方法很多,比如采用窗口名,进程名,内核对象等等,论坛中也有很多关于这方面的介绍,但是好像没有一个具体的例子,估计是觉得太简单了吧。我研究的这程序的限制多开的方法采用的是“内核对象信号量”。     要破解其多开也有很多方法:     1、直接
进程的枚
kingswb的博客
05-02 646
1、利用ToolHelp API 首先创建一个系统快照,然后通过对系统快照的访问完成进程的枚。 获取系统快照使用CreateToolhelp32Snapshot() 函数 函数原型声明如下: HANDLE WINAPI CreateToolhelp32Snapshot(                DWORD dwFlags,                DWOR
【转】SYSTEM_HANDLE_INFORMATION
01-04 425
typedef struct _SYSTEM_HANDLE_INFORMATION{ ULONG ProcessId; UCHAR ObjectTypeNumber; UCHAR Flags; USHORT Handle; ...
[转载]侦测隐藏进程
yanjingtu2008的专栏
11-05 1749
侦测隐藏进程Detection of the hidden processes俄语原文:http://wasm.ru/article.php?article=hiddndt俄文翻译:kaohttp://community.reverse-engineering.net/viewtopic.php?t=4685中文翻译: prince后期校验:firstrose=================
侦测隐藏进程的强文
04-22 6021
俄语原文:http://wasm.ru/article.php?article=hiddndt俄文翻译:kaohttp://community.reverse-engineering.net/viewtopic.php?t=4685中文翻译: prince后期校验:firstrose=============================侦测隐藏进程[C] Ms-Rem2002-2005 was
ring3代码可靠地枚Windows进程.pdf
03-24
ring3代码可靠地枚Windows进程.pdf
IceLight V1.3.44[一线光-无驱,恢复SSDT,可杀IS,SS]
04-04
一款强大的反黑客工具,适用于Windows 2000/XP/2003/Vista操作系统,...加入了超级自我保护,超强枚进程.<br><br>最后欢迎广大网友提供宝贵的建议及BUG反馈!<br><br> By GGY 2008.04.04 <br> QQ 349462015 GGYBlog.Cn
WIN64驱动编程基础教程
12-06
|-RING3注射DLL到系统进程 |-RING3的INLINE HOOK和UNHOOK |-RING3的EAT HOOK和IAT HOOK ------------------------------ 7.反回调 |-枚与删除创建进线程回调 |-枚与删除加载映像回调 |-枚与删除注册表回调 |-...
驱动开发教程
05-07
|-RING3注射DLL到系统进程 |-RING3的INLINE HOOK和UNHOOK |-RING3的EAT HOOK和IAT HOOK ------------------------------ 7.反回调 |-枚与删除创建进线程回调 |-枚与删除加载映像回调 |-枚与删除注册表回调 |-...
vc++ 应用源码包_3
09-15
Inline Hook(ring3) 简单源码 代码里用了备份dll的方法,因此在自定义的函数中可以直接调用在内存中备份的dll代码,而不需要再把函数头部改来改去。 IOCP反弹远控客户端模型,外加上线服务端,全部代码注释! 如题...
用户态枚进程的几种方法
jingzhongrong
02-13 2039
最近在准备一个进程查看(当然不只进程查看功能了)的工具,总结了在用户态下查找进程的几种方法。当然,如果想要真正做到进程查看,还是要进入核心态中,因为在用户态是查不到什么东西的,但是可以用来和核心态结果进行比较找出隐藏进程。(内核级病毒、木马在Ring0中可以很容易的做到隐藏而是用户态程序检测不到)。//write by jingzhongrong1、利用ToolHelp API
【转】枚进程ring3->ring0
依然静谧的专栏
08-15 999
用google搜索了几天相关内容的资料,将所提到的逐一实现。哎,不禁感叹自己太菜了。居然用了几天的时间。没啥新思想、内容,只是总结,当然还有其他方法没总结到。但经常提到的ring3下的快照、psapi的EnumProcesses、暴力OpenProcess;ring0下的ZwQuerySystemInformation、activprocess链、暴力搜索内存、PspCidTable、Csrss进
ARK之进程
zhuhuibeishadiao
06-05 2295
A.进程 1.CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS) / Process32First / Process32Next void main() { HANDLE hSnap = CreateToolhelp32Snapshot( TH32CS_SNAPPROCESS, 0 ); if( hSnap == INVALID_HANDLE_VALUE
通过遍历系统句柄信息(SystemHandleInformation),获取系统进程和当前进程的eprocess
热门推荐
pureman_mega的博客
11-23 1万+
实验环境:win10 1909 64 参考:https://blog.csdn.net/qinlicang/article/details/4489727 首先,获取系统的句柄信息;然后,在句柄信息表中进行搜索,通过数据结构进行匹配;最后,确定系统进程和当前进程的eprocess; 主要数据结构如下: typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO { USHORT UniqueProcessId; USHORT CreatorBack
涨姿势系列之——内核环境下花式获得CSRSS进程id
weixin_30291791的博客
06-02 145
这个是翻别人的代码时看到的,所以叫涨姿势系列。作者写了一个获取CSRSS进程PID的函数,结果我看了好久才看懂是这么一个作用。先放上代码 1 HANDLE GetCsrPid() 2 { 3 HANDLE Process, hObject; 4 HANDLE CsrId = (HANDLE)0; 5 OBJECT_ATTRIBUTES obj; ...
(转) SYSTEM_HANDLE_INFORMATION中ObjectTypeIndex的定义
小驹的专栏
11-03 4843
typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO{ USHORT UniqueProcessId; USHORT CreatorBackTraceIndex; UCHAR ObjectTypeIndex; UCHAR HandleAttributes; USHORT HandleValue; PVOID Object; ULONG Gran
WhoUseMe--枚句柄查找文件占用
商少
03-17 1503
句柄-查找谁占用了我们的文件 平时偶尔会遇见文件无法删除的情况,通常使用PE 或者 PH 来查找谁占用了我们的文件,然后有一天就想自己实现查询占用文件情况的功能。 占用文件或目录,就会打开文件或目录(加载的DLL 例外),然后我们的任务变成:枚所有的句柄,如果不是自己进程的句柄,先DuplicateObject然后得到句柄类型(或者设置全局的类型数据,然后根据TypeIndex进行类型
进程的几种方法
cay22的专栏
07-29 1005
http://www.cctry.com/thread-11857-1-1.html 1.CreateToolhelp32Snapshot法:(me 使用过) // /////////////////////////////////////////////////////////
c++中的.和::和:和->的区别
最新发布
06-07
在C++中,`.`、`::`、`:`和`->`都是用来访问对象或类的成员,但它们的使用方式和语义略有不同。 `.`运算符用于访问对象的成员,例如: ``` MyClass obj; obj.member; // 使用 . 访问对象 obj 的成员 ``` `::`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值