R3下,遍历所有进程的伪句柄表,关闭指定句柄

最新推荐文章于 2023-04-11 10:00:59 发布
最新推荐文章于 2023-04-11 10:00:59 发布
阅读量1.5k 收藏 6
点赞数 1
分类专栏: 爱好
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37353105/article/details/102650856
版权

之所以产生这个想法,是在删除文件的时候有时会提示文件被占用了,然后让我们先关闭之后在来删除,但是我怎么知道哪个进程打开了我的文件?

于是就去网上了找了一份代码然后改了改,接着来说说是怎么实现功能的。首先我们需要遍历所有的进程,所有要找到遍历进程的代码。


	//遍历进程
	WCHAR * szServerName = NULL;
	HANDLE WtsServerHandle = WTSOpenServer(szServerName);
	PWTS_PROCESS_INFO pWtspi;
	DWORD dwCount;
	if (!WTSEnumerateProcesses(WtsServerHandle, 0, 1, &pWtspi, &dwCount))
		return 0;
	//printf("tottal process %d", dwCount);
	for (DWORD i = 0; i < dwCount; i++){
		printf("ProcessID: %d (%ls)\n", pWtspi[i].ProcessId,pWtspi[i].pProcessName);
	}

现在我们能够拿到每一个进程的id,那么怎么通过进程的id拿到它的句柄信息呢?这里可以通过ZwQueryInformationProcess未文档话的函数,得到它的句柄总数,具体的参数如下

typedef NTSTATUS (WINAPI *ZWQUERYINFORMATIONPROCESS)(HANDLE  ProcessHandle, PROCESSINFOCLASS ProcessInformationClass, PVOID  ProcessInformation, ULONG  ProcessInformationLength, PULONG ReturnLength);

其中它的第二个参数表示的是我们需要查询的内容,第三个是返回的内容,第四个是长度,最后一个不管。

通过上述函数我们能拿到当前进程的所有句柄的总数,但是需要注意的是句柄的后两位代表的是句柄的属性,也就是说,所有的句柄都是4的倍数,举一个例子,后两位不能使用了是吧,那么现在最小能使用的就是4=100二进制数,每增加一个就是增加4的倍数8=1000。拿pchunter随便看一个进程的伪句柄表,直观的看到句柄都是4的倍数。

我们现在有了每一个进程的进程句柄总数,那么只需要枚举所有的句柄不就行了吗,但是问题又来了,我们现在拿到的是伪句柄不能正常的使用,需要使用DuplicateHandle复制句柄。之后又会用到例外一个未文档话的函数ZwQueryObject,它可以查看得到当前的对象的类型和对象的名字,

typedef NTSTATUS (WINAPI *ZWQUERYOBJECT)(HANDLE OPTIONAL, OBJECT_INFORMATION_CLASS, PVOID OPTIONAL, ULONG, PULONG OPTIONAL);

最后还有一个问题,就算我们知道了每一个进程的句柄种类和名字,我们又怎么修改它呢?DuplicateHandle不仅可以复制句柄,还可以关闭源句柄。

DUPLICATE_CLOSE_SOURCE(0x00000001) Closes the source handle. This occurs regardless of any error status returned.
DUPLICATE_SAME_ACCESS(0x00000002) Ignores the dwDesiredAccess parameter. The duplicate handle has the same access as the source handle.

那么最后重新整理一下思路,首先是遍历所有进程得到每一个进程的伪句柄,之后使用DuplicateHandlede复制真实的句柄,判断句柄的属性,判断句柄名字是不是我们想要的,是在干掉句柄。这里有一个小细节需要说一下就是在使用ZwQueryObject的查询句柄名字的时候会出现卡死的情况。这时我们需要创建一个新的线程来执行这个操作,避免在主线程中一直卡住。最后整理的代码如下。

#include<windows.h>
#include<stdio.h>
#include <Wtsapi32.h>
#pragma  comment (lib,"Wtsapi32.lib")



#define STATUS_INFO_LENGTH_MISMATCH		((NTSTATUS)0xC0000004L)
#define NT_SUCCESS(Status) (((NTSTATUS)(Status)) >= 0) 
typedef enum _POOL_TYPE {
	NonPagedPool,
	NonPagedPoolExecute,
	PagedPool,
	NonPagedPoolMustSucceed,
	DontUseThisType,
	NonPagedPoolCacheAligned,
	PagedPoolCacheAligned,
	NonPagedPoolCacheAlignedMustS,
	MaxPoolType,
	NonPagedPoolBase,
	NonPagedPoolBaseMustSucceed,
	NonPagedPoolBaseCacheAligned,
	NonPagedPoolBaseCacheAlignedMustS,
	NonPagedPoolSession,
	PagedPoolSession,
	NonPagedPoolMustSucceedSession,
	DontUseThisTypeSession,
	NonPagedPoolCacheAlignedSession,
	PagedPoolCacheAlignedSession,
	NonPagedPoolCacheAlignedMustSSession,
	NonPagedPoolNx,
	NonPagedPoolNxCacheAligned,
	NonPagedPoolSessionNx
} POOL_TYPE;
typedef enum _OBJECT_INFORMATION_CLASS {
	ObjectBasicInformation,
	ObjectNameInformation,
	ObjectTypeInformation,
	ObjectAllInformation,
	ObjectDataInformation
} OBJECT_INFORMATION_CLASS, *POBJECT_INFORMATION_CLASS;
typedef struct
{
	USHORT Length;    //当前名称长度
	USHORT MaxLen;    //缓冲区最大长度
	USHORT *Buffer;    //Unicode 名称指针
}UNICODE_STRING, *PUNICODE_STRING;
typedef struct _OBJECT_NAME_INFORMATION {
	UNICODE_STRING          Name;
	WCHAR                   NameBuffer[0];
} OBJECT_NAME_INFORMATION, *POBJECT_NAME_INFORMATION;
typedef struct _OBJECT_TYPE_INFORMATION {
	UNICODE_STRING          TypeName;
	ULONG                   TotalNumberOfHandles;
	ULONG                   TotalNumberOfObjects;
	WCHAR                   Unused1[8];
	ULONG                   HighWaterNumberOfHandles;
	ULONG                   HighWaterNumberOfObjects;
	WCHAR                   Unused2[8];
	ACCESS_MASK             InvalidAttributes;
	GENERIC_MAPPING         GenericMapping;
	ACCESS_MASK             ValidAttributes;
	BOOLEAN                 SecurityRequired;
	BOOLEAN                 MaintainHandleCount;
	USHORT                  MaintainTypeList;
	POOL_TYPE               PoolType;
	ULONG                   DefaultPagedPoolCharge;
	ULONG                   DefaultNonPagedPoolCharge;
} OBJECT_TYPE_INFORMATION, *POBJECT_TYPE_INFORMATION;
typedef enum _SYSTEM_INFORMATION_CLASS {
	SystemBasicInformation,              // 0        Y        N
	SystemProcessorInformation,          // 1        Y        N
	SystemPerformanceInformation,        // 2        Y        N
	SystemTimeOfDayInformation,          // 3        Y        N
	SystemNotImplemented1,               // 4        Y        N
	SystemProcessesAndThreadsInformation, // 5       Y        N
	SystemCallCounts,                    // 6        Y        N
	SystemConfigurationInformation,      // 7        Y        N
	SystemProcessorTimes,                // 8        Y        N
	SystemGlobalFlag,                    // 9        Y        Y
	SystemNotImplemented2,               // 10       Y        N
	SystemModuleInformation,             // 11       Y        N
	SystemLockInformation,               // 12       Y        N
	SystemNotImplemented3,               // 13       Y        N
	SystemNotImplemented4,               // 14       Y        N
	SystemNotImplemented5,               // 15       Y        N
	SystemHandleInformation,             // 16       Y        N
	SystemObjectInformation,             // 17       Y        N
	SystemPagefileInformation,           // 18       Y        N
	SystemInstructionEmulationCounts,    // 19       Y        N
	SystemInvalidInfoClass1,             // 20
	SystemCacheInformation,              // 21       Y        Y
	SystemPoolTagInformation,            // 22       Y        N
	SystemProcessorStatistics,           // 23       Y        N
	SystemDpcInformation,                // 24       Y        Y
	SystemNotImplemented6,               // 25       Y        N
	SystemLoadImage,                     // 26       N        Y
	SystemUnloadImage,                   // 27       N        Y
	SystemTimeAdjustment,                // 28       Y        Y
	SystemNotImplemented7,               // 29       Y        N
	SystemNotImplemented8,               // 30       Y        N
	SystemNotImplemented9,               // 31       Y        N
	SystemCrashDumpInformation,          // 32       Y        N
	SystemExceptionInformation,          // 33       Y        N
	SystemCrashDumpStateInformation,     // 34       Y        Y/N
	SystemKernelDebuggerInformation,     // 35       Y        N
	SystemContextSwitchInformation,      // 36       Y        N
	SystemRegistryQuotaInformation,      // 37       Y        Y
	SystemLoadAndCallImage,              // 38       N        Y
	SystemPrioritySeparation,            // 39       N        Y
	SystemNotImplemented10,              // 40       Y        N
	SystemNotImplemented11,              // 41       Y        N
	SystemInvalidInfoClass2,             // 42
	SystemInvalidInfoClass3,             // 43
	SystemTimeZoneInformation,           // 44       Y        N
	SystemLookasideInformation,          // 45       Y        N
	SystemSetTimeSlipEvent,              // 46       N        Y
	SystemCreateSession,                 // 47       N        Y
	SystemDeleteSession,                 // 48       N        Y
	SystemInvalidInfoClass4,             // 49
	SystemRangeStartInformation,         // 50       Y        N
	SystemVerifierInformation,           // 51       Y        Y
	SystemAddVerifier,                   // 52       N        Y
	SystemSessionProcessesInformation    // 53       Y        N
} SYSTEM_INFORMATION_CLASS;
typedef enum _PROCESSINFOCLASS
{
	ProcessBasicInformation = 0, // 0, q: PROCESS_BASIC_INFORMATION, PROCESS_EXTENDED_BASIC_INFORMATION
	ProcessQuotaLimits, // qs: QUOTA_LIMITS, QUOTA_LIMITS_EX
	ProcessIoCounters, // q: IO_COUNTERS
	ProcessVmCounters, // q: VM_COUNTERS, VM_COUNTERS_EX
	ProcessTimes, // q: KERNEL_USER_TIMES
	ProcessBasePriority, // s: KPRIORITY
	ProcessRaisePriority, // s: ULONG
	ProcessDebugPort, // q: HANDLE
	ProcessExceptionPort, // s: HANDLE
	ProcessAccessToken, // s: PROCESS_ACCESS_TOKEN
	ProcessLdtInformation, // 10
	ProcessLdtSize,
	ProcessDefaultHardErrorMode, // qs: ULONG
	ProcessIoPortHandlers, // (kernel-mode only)
	ProcessPooledUsageAndLimits, // q: POOLED_USAGE_AND_LIMITS
	ProcessWorkingSetWatch, // q: PROCESS_WS_WATCH_INFORMATION[]; s: void
	ProcessUserModeIOPL,
	ProcessEnableAlignmentFaultFixup, // s: BOOLEAN
	ProcessPriorityClass, // qs: PROCESS_PRIORITY_CLASS
	ProcessWx86Information,
	ProcessHandleCount, // 20, q: ULONG, PROCESS_HANDLE_INFORMATION
	ProcessAffinityMask, // s: KAFFINITY
	ProcessPriorityBoost, // qs: ULONG
	ProcessDeviceMap, // qs: PROCESS_DEVICEMAP_INFORMATION, PROCESS_DEVICEMAP_INFORMATION_EX
	ProcessSessionInformation, // q: PROCESS_SESSION_INFORMATION
	ProcessForegroundInformation, // s: PROCESS_FOREGROUND_BACKGROUND
	ProcessWow64Information, // q: ULONG_PTR
	ProcessImageFileName, // q: UNICODE_STRING
	ProcessLUIDDeviceMapsEnabled, // q: ULONG
	ProcessBreakOnTermination, // qs: ULONG
	ProcessDebugObjectHandle, // 30, q: HANDLE
	ProcessDebugFlags, // qs: ULONG
	ProcessHandleTracing, // q: PROCESS_HANDLE_TRACING_QUERY; s: size 0 disables, otherwise enables
	ProcessIoPriority, // qs: ULONG
	ProcessExecuteFlags, // qs: ULONG
	ProcessResourceManagement,
	ProcessCookie, // q: ULONG
	ProcessImageInformation, // q: SECTION_IMAGE_INFORMATION
	ProcessCycleTime, // q: PROCESS_CYCLE_TIME_INFORMATION
	ProcessPagePriority, // q: ULONG
	ProcessInstrumentationCallback, // 40
	ProcessThreadStackAllocation, // s: PROCESS_STACK_ALLOCATION_INFORMATION, PROCESS_STACK_ALLOCATION_INFORMATION_EX
	ProcessWorkingSetWatchEx, // q: PROCESS_WS_WATCH_INFORMATION_EX[]
	ProcessImageFileNameWin32, // q: UNICODE_STRING
	ProcessImageFileMapping, // q: HANDLE (input)
	ProcessAffinityUpdateMode, // qs: PROCESS_AFFINITY_UPDATE_MODE
	ProcessMemoryAllocationMode, // qs: PROCESS_MEMORY_ALLOCATION_MODE
	ProcessGroupInformation, // q: USHORT[]
	ProcessTokenVirtualizationEnabled, // s: ULONG
	ProcessConsoleHostProcess, // q: ULONG_PTR
	ProcessWindowInformation, // 50, q: PROCESS_WINDOW_INFORMATION
	ProcessHandleInformation, // q: PROCESS_HANDLE_SNAPSHOT_INFORMATION // since WIN8
	ProcessMitigationPolicy, // s: PROCESS_MITIGATION_POLICY_INFORMATION
	ProcessDynamicFunctionTableInformation,
	ProcessHandleCheckingMode,
	ProcessKeepAliveCount, // q: PROCESS_KEEPALIVE_COUNT_INFORMATION
	ProcessRevokeFileHandles, // s: PROCESS_REVOKE_FILE_HANDLES_INFORMATION
	MaxProcessInfoClass
}PROCESSINFOCLASS;
//上面为需要用到的结构体和枚举


//定义函数指针
typedef NTSTATUS (NTAPI *ZWQUERYSYSTEMINFORMATION)( SYSTEM_INFORMATION_CLASS SystemInformationClass, PVOID SystemInformation,  ULONG SystemInformationLength, PULONG ReturnLength OPTIONAL);
ZWQUERYSYSTEMINFORMATION ZwQuerySystemInformation = NULL;

typedef NTSTATUS (WINAPI *ZWQUERYOBJECT)(HANDLE OPTIONAL, OBJECT_INFORMATION_CLASS, PVOID OPTIONAL, ULONG, PULONG OPTIONAL);
ZWQUERYOBJECT ZwQueryObject = NULL;

typedef NTSTATUS (WINAPI *ZWQUERYINFORMATIONPROCESS)(HANDLE  ProcessHandle, PROCESSINFOCLASS ProcessInformationClass, PVOID  ProcessInformation, ULONG  ProcessInformationLength, PULONG ReturnLength);
ZWQUERYINFORMATIONPROCESS ZwQueryInformationProcess = NULL;

//初始化未文档化函数
BOOL InitUnDocumentProc()
{
	HMODULE hNtdll = GetModuleHandle("Ntdll.dll");
	if (hNtdll == NULL)    return FALSE;

	ZwQuerySystemInformation = (ZWQUERYSYSTEMINFORMATION)GetProcAddress(hNtdll, "NtQuerySystemInformation");
	ZwQueryObject = (ZWQUERYOBJECT)GetProcAddress(hNtdll, "NtQueryObject");
	ZwQueryInformationProcess = (ZWQUERYINFORMATIONPROCESS)GetProcAddress(hNtdll, "NtQueryInformationProcess");

	if ((ZwQuerySystemInformation == NULL) || (ZwQueryObject == NULL) || (ZwQueryInformationProcess == NULL))
		return FALSE;
	return TRUE;
}

//象征性的提权,其实用处不大
BOOL EnableDebugPrivilege()
{
	HANDLE hToken;
	LUID sedebugnameValue;
	TOKEN_PRIVILEGES tkp;
	if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken)){
		return   FALSE;
	}
	if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &sedebugnameValue)){
		CloseHandle(hToken);
		return FALSE;
	}
	tkp.PrivilegeCount = 1;
	tkp.Privileges[0].Luid = sedebugnameValue;
	tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
	if (!AdjustTokenPrivileges(hToken, FALSE, &tkp, sizeof(tkp), NULL, NULL)){
		CloseHandle(hToken);
		return FALSE;
	}
	return TRUE;
}



//查询名字的时候会卡死
HANDLE hDuplicate = NULL;
OBJECT_NAME_INFORMATION *ObjectName;
char BufferForObjectName[1024];


UINT WINAPI ZwThreadProc(PVOID lpParma){
	ZwQueryObject((HANDLE)hDuplicate, ObjectNameInformation, BufferForObjectName, sizeof(BufferForObjectName), NULL);
	ObjectName = (POBJECT_NAME_INFORMATION)BufferForObjectName;
	//MessageBoxA(0,0,0,0);
}





int main()
{
	EnableDebugPrivilege();
	InitUnDocumentProc();
	NTSTATUS Status;
	HANDLE hSource = NULL;
	DWORD HandleCount;
	OBJECT_TYPE_INFORMATION *ObjectType;
	char BufferForObjectType[1024];

	//遍历进程
	WCHAR * szServerName = NULL;
	HANDLE WtsServerHandle = WTSOpenServer(szServerName);
	PWTS_PROCESS_INFO pWtspi;
	DWORD dwCount;
	if (!WTSEnumerateProcesses(WtsServerHandle, 0, 1, &pWtspi, &dwCount))
		return 0;
	//printf("tottal process %d", dwCount);
	/*for (DWORD i = 0; i < dwCount; i++){
		printf("ProcessID: %d (%ls)\n", pWtspi[i].ProcessId,pWtspi[i].pProcessName);
	}*/



	for (DWORD j = 0; j < dwCount; j++) {
		hSource = OpenProcess(PROCESS_ALL_ACCESS | PROCESS_DUP_HANDLE | PROCESS_SUSPEND_RESUME, FALSE, pWtspi[j].ProcessId);
		if (hSource != NULL) {
			DWORD dwHandle;
			Status = ZwQueryInformationProcess(hSource, ProcessHandleCount, &HandleCount, sizeof(HandleCount), NULL);
			//printf("total size %d  \n", HandleCount);
			
			for (DWORD i = 1; i <= HandleCount; i++) {//穷举句柄
				dwHandle = i * 4;
				//复制一个句柄对象 && 判断此句柄是否有效
				if (DuplicateHandle(hSource, (HANDLE)dwHandle, GetCurrentProcess(), &hDuplicate, 0, FALSE, DUPLICATE_SAME_ACCESS)) {

					ZeroMemory(BufferForObjectName, 1024);
					ZeroMemory(BufferForObjectType, 1024);

					//获取句柄类型
					Status = ZwQueryObject(hDuplicate, ObjectTypeInformation, BufferForObjectType, sizeof(BufferForObjectType), NULL);

					ObjectType = (OBJECT_TYPE_INFORMATION*)BufferForObjectType;
					if (Status == STATUS_INFO_LENGTH_MISMATCH || !NT_SUCCESS(Status))
						continue;
					

					//获取句柄名,会卡死,所以这里只有开一个线程
					//Status = ZwQueryObject((HANDLE)hDuplicate, ObjectNameInformation, BufferForObjectName, sizeof(BufferForObjectName), NULL);
					
					//ObjectName = (POBJECT_NAME_INFORMATION)BufferForObjectName;
					//if (Status == STATUS_INFO_LENGTH_MISMATCH || !NT_SUCCESS(Status))
						//continue;

					
					HANDLE hThread = CreateThread(NULL, 0, ZwThreadProc, NULL, 0, NULL);
					DWORD dwSatu = WaitForSingleObject(hThread, 53); // 等待,直到线程被激发
					if (dwSatu == WAIT_TIMEOUT) {
						hThread = OpenThread(THREAD_TERMINATE, FALSE, hThread);
						if (!TerminateThread(hThread, 0)) {
							CloseHandle(hThread);
						}
						CloseHandle(hThread);
						//MessageBoxA(0, 0, 0, 0);
						continue;

					}
					
					//关闭复制的句柄
					CloseHandle(hDuplicate);

					//printf("Type:%S\tName:%S\tHandle:%X\n", ObjectType->TypeName.Buffer,ObjectName->Name.Buffer, hDuplicate);
					if (ObjectName->Name.Buffer!=NULL&&!strcmp(ObjectType->TypeName.Buffer, L"File")&& wcsstr(ObjectName->Name.Buffer,L"msyh.ttc")) {//判断是不是文件类型,判断关闭文件对不对
						printf("pid %d \tName:%S\tHandle:%X\n", pWtspi[j].ProcessId, ObjectName->Name.Buffer, hDuplicate);
						//printf("pid %d \tName:%S\n", pWtspi[j].ProcessId, ObjectType->TypeName.Buffer);
						//关闭符合的句柄
						DuplicateHandle(hSource, (HANDLE)dwHandle, GetCurrentProcess(), &hDuplicate,0,FALSE,DUPLICATE_CLOSE_SOURCE);
						CloseHandle(hDuplicate);
					}

				}
			}
			CloseHandle(hSource);
		}
	
	}

	system("pause");
	return 0;
}

 

被遗弃的庸才
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
驱动遍历句柄
落笔飞花笑百生的博客
04-27 2103
 驱动遍历句柄附加第二个方法的反汇编代码 其中还有对其拦截的方式的一些需要HOOK处比如句柄 因为大量使用硬编码所以此份代码通用性不强一切均在虚拟机XP3下操作 #include "ntddk.h" typedef struct _EX_PUSH_LOCK {  //  // LOCK bit is set for both exclusive and shared acq
易语言源码易语言枚举进程所有句柄源码.rar
03-31
- 枚举进程句柄是指遍历系统中所有正在运行的进程,获取每个进程句柄。这通常涉及到Windows API的使用,如`EnumProcesses`函数,它可以返回当前系统中活动进程的PID数组。 - 获取句柄后,可以进一步获取进程的...
用户句柄遍历
Mikasys的博客
10-20 585
私有句柄 _HANDLE_TABLE_ENTRY的Object直接指向_OBJECT_HEADER不用减 #include <ntifs.h> //一个页最大容纳的_HANDLE_TABLE_ENTRY #define MAX_ENTRY_COUNT (0x1000/sizeof(HANDLE_TABLE_ENTRY)) //未公开未文档化 typedef PVOID(NTAPI *OBGETOBJECTTYPE)(IN PVOID pObject); EXTERN_C NTKERNE
有关遍历进程句柄的方法总结
mergerly的专栏
04-16 1813
此篇文章说是原创有些牵强。就像题目所说的,更多的是对前人方法的总结。写作的初衷倒也不是技术方面的研究,不过是工作的需求罢了。 方法中涉及到一些函数需要提权,其实我一直以为网上那个标准的提权函数没什么用,直到这次写程序我才知道原来有的时候是真的需要提权的。现附上一份比较好看的提权代码,也方便自己以后使用。   BOOL AdjustProcessPrivilege(HANDLE hProces
(Win7) PspCidTable遍历进程句柄,枚举进程
qiaoli的知识备忘录
06-15 2948
本文出自悠然品鉴小悠,转载请注明出处http://www.youranshare.com/blog/sid/102.html 先说一下句柄是什么 在windows内核中定义了很多内核对象,像文件对象,线程对象,信号量对象啊等等;而Windows中并没有让我们直接去使用这些对象资源,而是通过句柄让我们去引用这些资源,句柄就相当于资源的数组,而句柄就是对应资源的索引,每个进程内部都有一个自
通过句柄遍历进程
HuErr的专栏
06-05 1016
进程线程这块都被人玩滥了......都是些过时了的东西,做为新手,我还是拿来耍耍。 #include #include //结构体是根据windbg查看得出来的。 typedef struct _HANDLE_TABLE { ULONG_PTR TableCode; PEPROCESS QuotaProcess; PVOID UniqueProces
关闭其它进程占用的文件句柄
weixin_30875157的博客
04-01 943
当我们启动一个子进程, 打开读写管道,同时设置子进程继承这些管道的句柄, 我们就可以操作子进程的标准输入和标准输出了。 这样有个弊端,子进程会继承父进程打开的所有文件句柄。 如果子进程不退出,一直持续任务,那么,被打开的文件就无法重命名和删除了。 有两个解决的办法: 1. CreateFile的时候属性参数直接指定不允许继承句柄。但是这个方法有个弊端: c/c++的文件操作并...
易语言遍历方法枚举窗口句柄
06-02
对于遍历窗口句柄,我们可以使用`EnumWindows` API函数,它会按顺序回调一个用户指定的函数,对系统中的每一个顶层窗口进行处理。易语言中,我们需要定义一个函数来接收`EnumWindows`的回调,这个函数将被传入窗口...
易语言枚举进程所有句柄信息的代码
08-26
`ZwQuerySystemInformation`函数用于查询系统信息,包括进程句柄信息,而`DuplicateHandle`用于复制一个句柄,`OpenProcess`用于打开指定进程,`CloseHandle`用于关闭句柄,`ZwQueryObject`可以查询对象的详细信息...
C#句柄操作实例遍历窗体、载图
03-22
首先,我们要理解如何遍历当前系统中的所有运行进程及其对应的窗体。在C#中,我们可以使用`System.Diagnostics.Process`类来获取系统进程信息。`Process.GetProcesses()`方法返回一个`Process[]`数组,包含了所有...
c++ 遍历进程获取进程指定类型句柄关闭句柄
weixin_42603332的博客
02-10 609
c语言遍历进程关闭指定类型的句柄的方法如下: 使用 API 函数 EnumProcesses() 枚举所有正在运行的进程。 对于每个进程,使用 OpenProcess() 函数打开进程,并使用 EnumProcessHandles() 函数枚举所有句柄。 对于每个句柄,使用 GetHandleInformation() 函数获取句柄的类型,如果符合指定类型,则使用 CloseHandle(...
抹掉所有进程中自己的句柄(源代码)
12-09 2154
 by  achillis之前听过一个检测进程的想法,就是暴力枚举所有进程中的handle,查找其中类型为PROCESS的.此法也被炉子牛用于他的LzOpenProcess().下面我就写了一断代码来对抗这个方法,纯属小伎俩,牛牛们飘过~严格说,此段代码不算原创,是从某rootkit的bin中扒出来的,因此基本保留其原貌,经我修改测试,主要函数如下:Copy codevoid CloseAllmy
php关闭软件进程,通过进程句柄关闭某个程序的进程
weixin_32798919的博客
03-12 253
下面是具体代码总共分为两个过程EnumProcTree 主要用来枚举句柄树KillProc 关闭某个程序的进程procedure EnumProcTree(const PID: DWORD;out PID_Tree: TPIDTree);procedure ListTree(RootPID: DWORD);varhP_Root: THandle;Found: Boolean;Pn: TProces...
全局句柄 —— 遍历全局句柄
walker的博客
03-16 1470
简介 进程句柄是私有的,每个进程都有自己的进程句柄。除此之外,系统还有一个全局句柄,全局变量 PspCidTable 指向该。 全局句柄存储的是操作系统中所有创建的进程、线程的句柄(不会出现重复)。每个进程和线程都有一个唯一的编号:PID 和 CID , 这两个值其实就是全局句柄中的索引。 也就是说,即使我们实现了对进程、线程的断链,但是只要操作系统中创建了进程、线程,全局句柄中就会记录其对应的句柄(PID/CID),仍然可以通过全局句柄实现对线程、进程遍历。 EnumPspCidTab
私有句柄
qq_29176323的博客
04-11 623
私有句柄是操作系统内部的一种数据结构,用于存储一个进程所拥有的句柄(或称为句柄对象)的信息。在操作系统中,句柄是一个标识符,用于唯一标识一个对象,例如文件、套接字、管道等等。GPT是这样说的,
DuplicateHandle进程句柄复制
小米的修行之路
12-07 4788
1、 BOOL DuplicateHandle( HANDLE hSourceProcessHandle, HANDLE hSourceHandle, HANDLE hTargetProcessHandle, LPHANDLE lpTargetHandle, DWORD dwDesiredAccess, BOOL bInheritHandle, DWORD dwOpt
句柄(私有句柄
Z875983491的专栏
10-30 921
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 句柄(私有句柄)   我们在R3环编程中,会接触到句柄HANDLE的概念。   比如OPENPROCESS,打开进程获取其进程句柄,这些被称为“内核句柄”。   注意,与GUI图形界面不同,那些 画刷句柄 被称为“用户句柄”,不在我们讨论范围之列。 ...
通过遍历系统句柄信息(SystemHandleInformation),获取系统进程和当前进程的eprocess
热门推荐
pureman_mega的博客
11-23 1万+
实验环境:win10 1909 64 参考:https://blog.csdn.net/qinlicang/article/details/4489727 首先,获取系统的句柄信息;然后,在句柄信息中进行搜索,通过数据结构进行匹配;最后,确定系统进程和当前进程的eprocess; 主要数据结构如下: typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO { USHORT UniqueProcessId; USHORT CreatorBack
c++遍历进程的所有句柄
最新发布
06-02
遍历进程的所有句柄可以使用Windows API函数EnumProcessModules和EnumProcessModulesEx来实现。具体步骤如下: 1. 使用函数CreateToolhelp32Snapshot获取当前系统进程的快照句柄。 2. 使用函数Process32First和Process32Next获取当前系统中所有进程进程ID。 3. 对于每个进程,使用函数OpenProcess打开进程句柄。 4. 使用函数EnumProcessModules或EnumProcessModulesEx遍历进程的所有模块,获取每个模块的句柄。 5. 对于每个模块句柄,使用函数GetModuleFileNameEx或GetMappedFileName获取模块的文件名。 6. 关闭进程句柄和模块句柄。 下面是一个简单的C++代码示例: ```c++ #include <Windows.h> #include <TlHelp32.h> #include <Psapi.h> #include <iostream> int main() { HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); if (hSnapshot == INVALID_HANDLE_VALUE) { std::cout << "CreateToolhelp32Snapshot failed: " << GetLastError() << std::endl; return 1; } PROCESSENTRY32 pe32 = { 0 }; pe32.dwSize = sizeof(PROCESSENTRY32); if (!Process32First(hSnapshot, &pe32)) { std::cout << "Process32First failed: " << GetLastError() << std::endl; CloseHandle(hSnapshot); return 1; } do { HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, FALSE, pe32.th32ProcessID); if (hProcess == NULL) { continue; } HMODULE hModules[1024]; DWORD cbNeeded; if (EnumProcessModulesEx(hProcess, hModules, sizeof(hModules), &cbNeeded, LIST_MODULES_ALL)) { for (int i = 0; i < (cbNeeded / sizeof(HMODULE)); i++) { TCHAR szModuleName[MAX_PATH] = { 0 }; if (GetModuleFileNameEx(hProcess, hModules[i], szModuleName, MAX_PATH)) { std::wcout << pe32.szExeFile << " module: " << szModuleName << std::endl; } } } CloseHandle(hProcess); } while (Process32Next(hSnapshot, &pe32)); CloseHandle(hSnapshot); return 0; } ``` 该代码可以遍历系统中所有进程的模块句柄,并输出每个模块的文件名。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值