NtQueryObject 函数

最新推荐文章于 2022-09-14 09:45:43 发布
最新推荐文章于 2022-09-14 09:45:43 发布
阅读量4.1k 收藏 2
点赞数
分类专栏: windows技术文章翻译

若翻译出现错误,请指出,本人会即时改正。

这个函数未来可能会改变或者从windows中移除,但是不会通告你。(微软有多贱,我嘞个草了)

函数声明:

NTSTATUS NtQueryObject(

_In_opt_  HANDLE  Handle,

_In_        OBJECT_INFORMATION_CLASS objectInformationClass,

_Out_opt_ PVOID   ObjectInformation,

_In_ ULONG ObjectInformationLength,

_Out_opt_ PULONG ReturnLength

);

参数:

Handle  [IN]

需要查询信息对象的句柄,可以为NULL

ObjectInformationClass [IN]

下列枚举类型中的某个值,指出被索引对象的类型。

typedef enum _OBJECT_INFORMATION_CLASS{

ObjectBasicInformation,  

ObjectNameInformation,

ObjectTypeInformation,

ObjectAllInformation,

ObjectDataInformation

}OBJECT_INFORMATION_CALSS,*POBJECT_INFORMATION_CLASS;

ObjectInformation[out]

指向

最低0.47元/天 解锁文章
小猪背书包
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nt内核函数大全.doc
08-06
NtQueryObject:查询对象的属性,如它的名字,以便了解对象信息。 NtSetInformationObject:树立了一个对象的属性,以便设置对象信息。 6. 注册表管理: NtCreateKey:创建或打开一个注册表项,以便存储数据。 ...
Mini Process explorer source code
03-21
3. **遍历文件句柄**:利用NtQueryObject函数查询每个句柄的相关信息,如文件名、权限等。 4. **关闭文件句柄**:如果需要,用户可以选择关闭特定进程的文件句柄,这会调用CloseHandle函数实现。 5. **界面交互**...
NtQueryObject 获得内核对象的信息
kinghzking的专栏
12-09 6146
一个内核对象有两个计数器:一个是句柄计数,句柄是给用户态用的;另一个是指针计数,也叫引用计数,因为核心态也常常用到内核对象,为了方便,在核心态的代码用指针直接访问对象,所以Object Manager维护了这个指针引用计数。只有在句柄计数和引用计数都为0时,对象才被释放。一般而言,指针引用计数值比句柄计数值大。 再进一步,实际上,在用户态其实是可以查询一个内核对象的句柄计数和引用计数
查看文件被占用的进程 NtQueryObject NtQueryInformationFile NtQuerySystemInformation
linuxsmallping的专栏
06-22 4422
#pragma once #include #include #include #include #include #include #include using namespace std; #include typedef std::basic_stringTCHAR, std::char_traitsTCHAR>, std::allocatorTCHAR>> tstring; #inclu
NtQueryObject 卡死
weixin_33937778的博客
12-19 293
2019独角兽企业重金招聘Python工程师标准>>> ...
Ring3 调用 NtQueryObject 获得文件句柄对应的对象名时调用线程死锁的原因
商少
10-03 2118
之前遗留的一个问题http://blog.csdn.net/qq_18218335/article/details/76400680         之前实现Ring3 查找文件占用的时候发现对部分句柄进行NtQueryObject 操作的时候会造成调用者线程挂起,从Ring3 解决问题的方法就是生成一个单独的工作线程,代替我们执行NtQueryObject 函数,如果工作线程挂起,则调用Kill
Nt内核函数大全[文].pdf
10-11
NtQueryObject函数:该函数用于查询对象的属性,参数包括对象的句柄和相关参数等信息。返回值为NTSTATUS类型,表示操作的结果。 NtSetInformationObject函数:该函数用于设置对象的属性,参数包括对象的句柄和相关...
列举进程及进程打开的文件
01-04
这里我们将深入探讨四个关键的API函数——`DuplicateHandle`、`NtQueryObject`、`NtQuerySystemInformation`以及`EnumProcesses`,它们在Delphi编程环境中用于实现这一目标。 首先,`DuplicateHandle`是一个Windows...
Mirage:内核模式的Anti-Anti-Debug插件。 基于intel vt-x && ept技术
02-06
4. **监控与拦截**:Mirage利用内核钩子技术,对关键函数调用进行监控和拦截,一旦发现反调试行为,立即采取措施进行应对。 5. **兼容性处理**:由于不同的反调试策略各异,Mirage需要能够适应多种情况,包括但不...
枚举进程句柄.rar
02-01
Delphi枚举指定进程打开的文件句柄、Mutex、注册表等句柄。Delphi2006正常运行
NtQueryObject 在 win8 x86 x64 下获取不到指定句柄文件名的原因
sffdsafsf的专栏
07-04 1671
由于研发的需要,碰到了这样一个问题,用 NtQueryInformationFile 列出系统的所有句柄,然后找到指定句柄的文件名,然后将文件拷贝出来。但是  在 win8 x86  x64 下却获取不到指定句柄文件名,在国外论坛 与 MSDN 中到处疯狂搜索都没找到原因。调试了 N 次,才发现在 win8 x86  x64 系统下 ObjectTypeNumber 不再等于 28,  win7
NtQueryObject遍历进程(死锁)与管道冲突的解决方案
waykd的博客
03-31 1179
在一次注入使用命名管道进行进程间通讯的案例中需要使用NtQueryObject遍历进程互斥锁情况,期间发现一个问题,NtQueryObject查询到管道时候会死锁,网上也有很多资料介绍NtQueryObject死锁的情况,不过解决方案不是很明确这里记录下解决办法在时候NtQueryObject打开进程关联句柄时,先使用CreateFileMapping假定创建文件句柄,如果创建成功,返回,当然假如...
WhoUseMe 驱动实现
商少
07-30 609
前面写过一个应用层的查找谁占用了我们的文件的程序WhoUseMe http://blog.csdn.net/qq_18218335/article/details/62884657 从文中截图可以看出来,普通的应用层程序虽然可以达到枚举句柄的目的,但是对于一部分具有特殊权限的文件及端口句柄来说,调用NtQueryObject函数可能导致线程挂起,对此我们的解决办法是让一个单独的线程执行N
通过对象名(ObjectName)匹配,确定所属的进程
pureman_mega的博客
08-30 908
大概流程: 首先通过ZwQuerySystemInformation(SystemHandleInformation,*,*)获取句柄信息,然后根据句柄调用ZwQueryObject(*,ObjectNameInformation,*)获取对象名信息,最后匹配确定目标。示例是确定“\\Windows\\ApiPort"所属的进程。 需要注意的是用有的句柄调用ZwQueryObject会返回ST...
内核中的_OBJECT_INFORMATION_CLASS 结构
小驹的专栏
11-03 5374
实际上这个枚举类型有5种typedef enum _OBJECT_INFORMATION_CLASS { ObjectBasicInformation, ObjectNameInformation, ObjectTypeInformation, ObjectAllInformation, ObjectDataInformation} OBJECT_INFORMATIO
在Qt中使用MFC,例子很简单,多余的废话也不多说
最新发布
weixin_42951026的博客
09-14 3377
Qt与MFC
ObQueryNameString源码解读
misterliwei的专栏
08-20 5641
ObQueryNameString源码解读ObQueryNameString返回指定内核对象的名称。该函数只返回命名对象名称和拥有查询函数的对象名称,其他所有的对象都返回空结构。下一步是函数的步骤:第一步.先检查内核对象是否有专门的名称查询函数QueryNameProcedure函数,有则调用此函数并返回。WIXP中只有KEY和FILE对象         有专门的名称查询函数。第二步.检查是
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值