SYSTEM_HANDLE_INFORMATION

最新推荐文章于 2023-04-10 23:43:56 发布
最新推荐文章于 2023-04-10 23:43:56 发布
阅读量1.6k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/htpidk/article/details/103625329
版权
复制代码 
typedef struct _SYSTEM_HANDLE_INFORMATION{
    ULONG                ProcessId;
    UCHAR                ObjectTypeNumber;
    UCHAR                Flags;
    USHORT               Handle;
    PVOID                Object;
    ACCESS_MASK          GrantedAccess;
    /*
    ProcessId:           进程标识符
    ObjectTypeNumber;    打开的对象的类型
    Flags:               句柄属性标志
    Handle:              句柄数值,在进程打开的句柄中唯一标识某个句柄
    Object:              这个就是句柄对应的EPROCESS的地址
    GrantedAccess:       句柄对象的访问权限
    */
} SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION;

ObjectTypeNumber的定义

// 枚举对象类型
typedef enum _SYSTEM_HANDLE_TYPE
{
    OB_TYPE_UNKNOWN,         // 0,未知类型     OB_TYPE_TYPE,            // 1,类型     OB_TYPE_DIRECTORY,       // 2,目录     OB_TYPE_SYMBOLIC_LINK,   // 3,符号链接     OB_TYPE_TOKEN,           // 4,安全     OB_TYPE_PROCESS,         // 5,进程     OB_TYPE_THREAD,          // 6,线程     OB_TYPE_JOB,             // 7,Job     OB_TYPE_DEBUG_OBJECT,    // 8,调试对象     OB_TYPE_EVENT,           // 9,事件     OB_TYPE_EVENT_PAIR,      // 10,事件     OB_TYPE_MUTANT,          // 11,互斥体     OB_TYPE_CALLBACK,        // 12,回调     OB_TYPE_SEMAPHORE,       // 13,信号量     OB_TYPE_TIMER,           // 14,时钟     OB_TYPE_PROFILE,         // 15,Profile     OB_TYPE_KEYED_EVENT,     // 16,键盘事件     OB_TYPE_WINDOWS_STATION, // 17,fixed     OB_TYPE_DESKTOP,         // 18,桌面     OB_TYPE_SECTION,         // 19,共享内存区     OB_TYPE_KEY,             // 20,键值     OB_TYPE_PORT,            // 21,端口     OB_TYPE_WAITABLE_PORT,   // 22,可等待端口     OB_TYPE_ADAPTER,         // 23,适配器     OB_TYPE_CONTROLLER,      // 24,控制器     OB_TYPE_DEVICE,          // 25,设备     OB_TYPE_DRIVER,          // 26,驱动     OB_TYPE_IOCOMPLETION,    // 27,fixed     OB_TYPE_FILE,            // 28,内存映射文件     OB_TYPE_WMIGUID          // 29,fixed } SYSTEM_HANDLE_TYPE; typedef enum _MEMORY_INFORMATION_CLASS {     MemoryBasicInformation,     MemoryWorkingSetList,     MemorySectionName,     MemoryBasicVlmInformation } MEMORY_INFORMATION_CLASS, *PMEMORY_INFORMATION_CLASS; typedef struct _OBJECT_TYPE_INFORMATION {     UNICODE_STRING TypeName;     ULONG TotalNumberOfHandles;     ULONG TotalNumberOfObjects; } OBJECT_TYPE_INFORMATION, *POBJECT_TYPE_INFORMATION; typedef struct _OBJECT_ALL_INFORMATION {     ULONG NumberOfObjects;     OBJECT_TYPE_INFORMATION ObjectTypeInformation[1]; } OBJECT_ALL_INFORMATION, *POBJECT_ALL_INFORMATION;
 

 
 复制代码 

 

使用时应注意,返回到缓冲区的首先是一个ULONG类型的数据,表示有多少数组
 

 
 
 
  复制代码 
 
 
 
  使用NtQuerySystemInformation函数的SystemHandleInformation=16号功能.
  其相关结构定义如下:
  typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO{
      USHORT UniqueProcessId;
      USHORT CreatorBackTraceIndex;
      UCHAR ObjectTypeIndex;
      UCHAR HandleAttributes;
      USHORT HandleValue;
      PVOID Object;
      ULONG GrantedAccess;
  } SYSTEM_HANDLE_TABLE_ENTRY_INFO, *PSYSTEM_HANDLE_TABLE_ENTRY_INFO;

 

 

typedef struct _SYSTEM_HANDLE_INFORMATION{
 ULONG NumberOfHandles;
 SYSTEM_HANDLE_TABLE_ENTRY_INFO Handles[1];
 } SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION;
 该功能号获取系统内所有进程的句柄放在Handles里,个数由NumberOfHandles标识,
 每个句柄由UniqueProcessId来区分属于那个不同的进程.
                                              
 

 
 复制代码 

 

                                     -------《ProcessExplorer原理分析之句柄处理【原创】

                

                
                
        

        

    




    

      

        

            

              
                
                  htpidk
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                  1
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
System Hardware Information Finder

				
			

			

				

					07-26
				

			

		

		

			
				
 Then I thought of our friendly Registry, which contains all the system information. And there it was all the information I wanted. If you look under HKEY_LOCAL_MACHINE/Hardware/Description/System/...

			
		

	



                

              
                



	

		

			

				
					
ehlib_vcl_src_9_3.26

				
			

			

				

					04-26
				

			

		

		

			
				
and use PrinterPreview.Handle in functions that return information about  printer facilities (GetDeviceCaps, e.t.c.). Global function PrinterPreview  returns default PrinterPreview object and shows ...

			
		

	



                


  
              

                


	

		

			

				
					
【转】SYSTEM_HANDLE_INFORMATION

				
			

			

				

					
				

				

					01-04
					
					438
					
				

			

		

		

			
				
typedef struct _SYSTEM_HANDLE_INFORMATION{
    ULONG                ProcessId;
    UCHAR                ObjectTypeNumber;
    UCHAR                Flags;
    USHORT               Handle;
 ...

			
		

	





	

		

			

				
					
通过遍历系统句柄信息(SystemHandleInformation),获取系统进程和当前进程的eprocess

				
			

			

				

					pureman_mega的博客
				

				

					11-23
					
					1万+
					
				

			

		

		

			
				
实验环境:win10 1909 64

参考:https://blog.csdn.net/qinlicang/article/details/4489727

首先,获取系统的句柄信息;然后,在句柄信息表中进行搜索,通过数据结构进行匹配;最后,确定系统进程和当前进程的eprocess;

主要数据结构如下:


typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO {
    USHORT UniqueProcessId;
    USHORT CreatorBack

			
		

	



		

			
		



	

		

			

				
					
(转) SYSTEM_HANDLE_INFORMATION中ObjectTypeIndex的定义

				
			

			

				

					weixin_33862514的博客
				

				

					05-13
					
					276
					
				

			

		

		

			
				

typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO{
	USHORT	UniqueProcessId;
	USHORT	CreatorBackTraceIndex;
	UCHAR	ObjectTypeIndex;
	UCHAR	HandleAttributes;
	USHORT	HandleValue;
	PVOID	Object;
	ULONG	Gr...

			
		

	





	

		

			

				
					
Examine Information on Windows NT System Level Primitives

				
			

			

				

					10-15
				

			

		

		

			
				
This article presents two separate utilities (NtSysInfo and WhoUses) to examine low level information on such Windows NT system primitives such as processes, threads, windows, modules and objects....

			
		

	





	

		

			

				
					
获取EPROCESS.pdf

				
			

			

				

					11-16
				

			

		

		

			
				
 IN SYSTEM_INFORMATION_CLASS SystemInformationClass,  IN OUT PVOID SystemInformation,  IN ULONG SystemInformationLength,  OUT PULONG ReturnLength OPTIONAL );  其中,SystemInformationClass 参数指定要...

			
		

	





	

		

			

				
					
Library-System

				
			

			

				

					04-22
				

			

		

		

			
				
 The topic is to build a system that can handle daily works of a library, which include borrowing and returning books, extending return deadline and preorderind books, and looking up information like ...

			
		

	





	

		

			

				
					
【旧文章搬运】炉子给的SYSTEM_HANDLE_TYPE有点错误

				
			

			

				

					weixin_30407099的博客
				

				

					12-26
					
					139
					
				

			

		

		

			
				
原文发表于百度空间,2008-12-03==========================================================================
今天写程序,用ZwQuerySystemInformation枚举系统中的文件句柄时出了问题,死活一个都找不到,可是这明显不可能啊?于是用Process Explorer随便找了个文件句柄对象,然后看了它的O...

			
		

	





	

		

			

				
					
有关遍历进程中句柄的方法总结

				
			

			

				

					mergerly的专栏
				

				

					04-16
					
					1793
					
				

			

		

		

			
				
此篇文章说是原创有些牵强。就像题目所说的,更多的是对前人方法的总结。写作的初衷倒也不是技术方面的研究,不过是工作的需求罢了。
方法中涉及到一些函数需要提权,其实我一直以为网上那个标准的提权函数没什么用,直到这次写程序我才知道原来有的时候是真的需要提权的。现附上一份比较好看的提权代码,也方便自己以后使用。
 
BOOL AdjustProcessPrivilege(HANDLE hProces

			
		

	





	

		

			

				
					
枚举进程句柄

				
			

			

				

					qq_41490873的博客
				

				

					09-19
					
					450
					
				

			

		

		

			
				
#include <windows.h>
#include <stdio.h>

#define NT_SUCCESS(x) ((x) >= 0)
#define STATUS_INFO_LENGTH_MISMATCH 0xc0000004

#define SystemHandleInformation 16
#define ObjectBasicInformation 0
#define ObjectNameInformation 1
#define ObjectTypeI

			
		

	





	

		

			

				
					
项目防止脚本攻击sxx存储性漏洞

				
			

			

				

					kang1011的博客
				

				

					10-21
					
					2321
					
				

			

		

		

			
				
项目防止脚本攻击sxx存储性漏洞

<a 标签跳转,等等
现象:

如上页面一些更新修改添加操作,输入js一些可执行脚本,对网站进行攻击。

解决:

可引入以下的工具类,对保存的字段做过滤拦截,防止js脚本攻击。

package com.xx;
 
import java.util.regex.Pattern;
 
public class XSSUtils {
	 
    public static String striptXSS(String value) {
        if (va

			
		

	





	

		

			

				
					
解除游戏多开限制,关闭互斥体句柄

					
最新发布

				
			

			

				

					任鸟飞2217777779的博客
				

				

					04-10
					
					4789
					
				

			

		

		

			
				
(这里的防护建议是,增加多种多开限制的方法 以及 逻辑中增加多该互斥体的使用,这样可以避免直接被恶意关闭)比如说遍历窗口,遍历进程,配置文件,注册表,互斥体,mac地址,ip,公共文件,内存映射等等.方法很多.我们可以使用工具来查看互斥体,大家可以用XT,PCH等等工具。发现已经检测到我们开了一个窗口,只是没有进行限制。我们逐一关闭,看看关闭哪个之后就可以多开窗口了。出现了很多句柄, 找到Mutant类型的句柄。

			
		

	





	

		

			

				
					
改bug时踩的坑

					
热门推荐

				
			

			

				

					weixin_34153893的博客
				

				

					04-04
					
					2万+
					
				

			

		

		

			
				
用元组接收返回的多个数组
class p(object):
    def __init__(self):
        (self.x,self.y)=self.xdxx()
        print(self.x)

    def xdxx(self):
        a=[1,4,5,8,5]
        b=[4,5,8,9,9]
        return a,b

t=p...

			
		

	





	

		

			

				
					
用户 'JWSDXSXX\Administrator' 登录失败。 原因: 无法打开明确指定的数据库。 [客户端: <local machine>]

				
			

			

				

					hufeng719的博客
				

				

					07-17
					
					1万+
					
				

			

		

		

			
				
一、错误现象:
1、SQLServer2008日志每分钟都报错:




Login failed for user 'JWSDXSXX\Administrator'. 原因: 无法打开明确指定的数据库。 [客户端: ]


错误: 18456,严重性: 14,状态: 38。





2、同时,服务器应用日志
用户 'JWSDXSXX\Administrator'

			
		

	





	

		

			

				
					
获得进程的EPROCESS

				
			

			

				

					Kendiv's Box
				

				

					01-31
					
					5507
					
				

			

		

		

			
				
获得进程的EPROCESS发布日期:2004-06-02文摘内容: 文摘出处:http://www.xfocus.net/articles/200406/706.html创建时间:2004-06-01文章属性:原创文章提交:MustBE (zf35_at_citiz.net)By [I.T.S]SystEm32Welcome to our web site http://itaq.ynpc

			
		

	





	

		

			

				
					
Windows C++ 查找指定目录的进程是否在运行

				
			

			

				

					flyingleo1981的专栏
				

				

					12-24
					
					675
					
				

			

		

		

			
				
一 查找固定进程的代码

   DWORD ProcessHelper::FindProcessByName(const std::string& processName)//0 not found ; other found; processName "processName.exe"


	{
	
	
	HANDLE hProcessSnap;
	
	
	PROCESSENTRY32 pe32;
	
	
	hProcessSnap = CreateToolhelp32Snapshot( ...

			
		

	





	

		

			

				
					
SYSTEM_PROCESS_INFORMATION 结构体

				
			

			

				

					03-31
				

			

		

		

			
				
SYSTEM_PROCESS_INFORMATION 结构体是 Windows 操作系统内部使用的一种数据结构,用于描述系统中正在运行的进程的信息。该结构体定义如下:  ```c typedef struct _SYSTEM_PROCESS_INFORMATION {  ULONG ...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值