枚举进程句柄

已于 2022-02-15 17:18:56 修改
阅读量480 收藏 1
点赞数
分类专栏: # 进程和线程 文章标签: 进程信息
于 2021-09-19 14:45:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490873/article/details/120380432
版权 
#include <windows.h>
#include <stdio.h>

#define NT_SUCCESS(x) ((x) >= 0)
#define STATUS_INFO_LENGTH_MISMATCH 0xc0000004

#define SystemHandleInformation 16
#define ObjectBasicInformation 0
#define ObjectNameInformation 1
#define ObjectTypeInformation 2

typedef NTSTATUS(NTAPI *NTQUERYSYSTEMINFORMATION)(
	ULONG SystemInformationClass,
	PVOID SystemInformation,
	ULONG SystemInformationLength,
	PULONG ReturnLength
	);
typedef NTSTATUS(NTAPI *NTDUPLICATEOBJECT)(
	HANDLE SourceProcessHandle,
	HANDLE SourceHandle,
	HANDLE TargetProcessHandle,
	PHANDLE TargetHandle,
	ACCESS_MASK DesiredAccess,
	ULONG Attributes,
	ULONG Options
	);
typedef NTSTATUS(NTAPI *NTQUERYOBJECT)(
	HANDLE ObjectHandle,
	ULONG ObjectInformationClass,
	PVOID ObjectInformation,
	ULONG ObjectInformationLength,
	PULONG ReturnLength
	);

typedef struct _UNICODE_STRING {
	USHORT Length;
	USHORT MaximumLength;
	PWSTR Buffer;
} UNICODE_STRING, *PUNICODE_STRING;

typedef struct _SYSTEM_HANDLE {
	ULONG ProcessId;
	BYTE ObjectTypeNumber;
	BYTE Flags;
	USHORT Handle;
	PVOID Object;
	ACCESS_MASK GrantedAccess;
} SYSTEM_HANDLE, *PSYSTEM_HANDLE;

typedef struct _SYSTEM_HANDLE_INFORMATION {
	ULONG HandleCount;
	SYSTEM_HANDLE Handles[1];
} SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION;

typedef enum _POOL_TYPE {
	NonPagedPool,
	PagedPool,
	NonPagedPoolMustSucceed,
	DontUseThisType,
	NonPagedPoolCacheAligned,
	PagedPoolCacheAligned,
	NonPagedPoolCacheAlignedMustS
} POOL_TYPE, *PPOOL_TYPE;

typedef struct _OBJECT_TYPE_INFORMATION {
	UNICODE_STRING Name;
	ULONG TotalNumberOfObjects;
	ULONG TotalNumberOfHandles;
	ULONG TotalPagedPoolUsage;
	ULONG TotalNonPagedPoolUsage;
	ULONG TotalNamePoolUsage;
	ULONG TotalHandleTableUsage;
	ULONG HighWaterNumberOfObjects;
	ULONG HighWaterNumberOfHandles;
	ULONG HighWaterPagedPoolUsage;
	ULONG HighWaterNonPagedPoolUsage;
	ULONG HighWaterNamePoolUsage;
	ULONG HighWaterHandleTableUsage;
	ULONG InvalidAttributes;
	GENERIC_MAPPING GenericMapping;
	ULONG ValidAccess;
	BOOLEAN SecurityRequired;
	BOOLEAN MaintainHandleCount;
	USHORT MaintainTypeList;
	POOL_TYPE PoolType;
	ULONG PagedPoolUsage;
	ULONG NonPagedPoolUsage;
} OBJECT_TYPE_INFORMATION, *POBJECT_TYPE_INFORMATION;

int enumhandle(DWORD ProcessId)
{
	HMODULE hNtMod = LoadLibrary(L"ntdll.dll");
	if (!hNtMod)
	{
		return 0;
	}
	
	NTQUERYSYSTEMINFORMATION NtQuerySystemInformation = (NTQUERYSYSTEMINFORMATION)GetProcAddress(hNtMod, "NtQuerySystemInformation");
	NTDUPLICATEOBJECT NtDuplicateObject = (NTDUPLICATEOBJECT)GetProcAddress(hNtMod, "NtDuplicateObject");
	NTQUERYOBJECT NtQueryObject = (NTQUERYOBJECT)GetProcAddress(hNtMod, "NtQueryObject");

	if (!NtQuerySystemInformation || !NtDuplicateObject || !NtQueryObject)
	{
		return 0;
	}

	PSYSTEM_HANDLE_INFORMATION handleInfo = NULL;
	HANDLE processHandle;
	ULONG i;
	ULONG neededSize = 0x1000;
	NTSTATUS Status = 0;
	ULONG ReturnLength = 0;
	// NtQuerySystemInformation won't give us the correct buffer size,
	//  so we guess by doubling the buffer size.

	handleInfo = (PSYSTEM_HANDLE_INFORMATION)malloc(neededSize);

	if (!handleInfo)
	{
		return 0;
	}

	//一直查询 直到成功
	while (STATUS_INFO_LENGTH_MISMATCH == (Status = NtQuerySystemInformation(
		SystemHandleInformation,
		handleInfo,
		neededSize,
		&ReturnLength
	)))
	{
		if (handleInfo)
		{
			free(handleInfo);
			handleInfo = NULL;
		}
		neededSize = ReturnLength;
		handleInfo = (PSYSTEM_HANDLE_INFORMATION)malloc(neededSize);
		if (!handleInfo)
		{
			
			return 0;
		}
	}
	processHandle = OpenProcess(PROCESS_DUP_HANDLE, FALSE, ProcessId);

	for (i = 0; i < handleInfo->HandleCount; i++) {
		SYSTEM_HANDLE handle = handleInfo->Handles[i];
		if (handle.ProcessId!=ProcessId)
		{
			continue;
		}
		printf("句柄值%d\n",handle.Handle);

		if (processHandle)
		{
			HANDLE dupHandle = NULL;
			POBJECT_TYPE_INFORMATION objectTypeInfo = NULL;
			PVOID objectNameInfo = NULL;
			UNICODE_STRING objectName = { 0 };
			ULONG returnLength = 0;

			do
			{
				//句柄复制失败 就不去获取类型名
				Status = NtDuplicateObject(
					processHandle,
					(void*)handle.Handle,
					GetCurrentProcess(),
					&dupHandle,
					0,
					0,
					0
				);
				if (!NT_SUCCESS(Status))
				{
					break;
				}

				//获取对象类型名
				ULONG ObjectInformationLength = 0;
				while (STATUS_INFO_LENGTH_MISMATCH == (Status = NtQueryObject(
					dupHandle,
					ObjectTypeInformation,
					objectTypeInfo,
					ObjectInformationLength,
					&returnLength
				)))
				{
					if (objectTypeInfo)
					{
						free(objectTypeInfo);
						objectTypeInfo = NULL;
					}

					ObjectInformationLength = returnLength;
					objectTypeInfo = (POBJECT_TYPE_INFORMATION)malloc(ObjectInformationLength);
					if (!objectTypeInfo)
					{
						break;
					}
				}

				//获取对象类型名成功
				if (NT_SUCCESS(Status))
				{
					printf(" 对象类型名:%wZ\n",&objectTypeInfo->Name);
					
				}

				// Query the object name (unless it has an access of
				// 0x0012019f, on which NtQueryObject could hang.
				if (handle.GrantedAccess == 0x0012019f) {

					break;
				}
				
				//获取对象名
				ObjectInformationLength = 0;
				returnLength = 0;

				if (STATUS_INFO_LENGTH_MISMATCH == NtQueryObject(
					dupHandle,
					ObjectNameInformation,
					NULL,
					0,
					&returnLength
				)) {

					objectNameInfo = (POBJECT_TYPE_INFORMATION)malloc(returnLength);
					if (!objectNameInfo)
					{
						break;
					}

					ZeroMemory(objectNameInfo, returnLength);
					Status = NtQueryObject(
						dupHandle,
						ObjectNameInformation,
						objectNameInfo,
						returnLength,
						NULL);

				}

				//获取对象名成功
				if (NT_SUCCESS(Status) && ((PUNICODE_STRING)objectNameInfo)->Length > 0)
				{
					UNICODE_STRING objectName = *(PUNICODE_STRING)objectNameInfo;
					printf(" 对象名:%wZ\n", &objectName);
				}
				
			} while (FALSE);
			
			if (dupHandle)
			{
				CloseHandle(dupHandle);
				dupHandle = NULL;
			}
			if (objectTypeInfo)
			{
				free(objectTypeInfo);
				objectTypeInfo = NULL;
			}
			if (objectNameInfo)
			{
				free(objectNameInfo);
				objectNameInfo = NULL;
			}

		}
	}

	free(handleInfo);
	return 0;
}

int wmain(int argc, WCHAR *argv[]) {
	printf("输入进程id\n");
	DWORD ProcessId = 0;
	scanf_s("%d", &ProcessId);
	enumhandle(ProcessId);
	Sleep(200000);
	return 0;
}
qq_857305819
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
EnumProcessHandle.rar(枚举进程句柄)MFC
10-13
通过调用ProcessHandleEnumDll实现遍历某一个进程的所有句柄,需要管理员身份运行,显示当前系统进程列表,可通过右键选择要查看的进程项,或在下方Edit输入10进制PID查看句柄,适用场景:需要查看进场当前句柄项,又无法进行调试器调试时,相对于使用调试器附加查看句柄,更快更高效也更安全
枚举进程句柄.rar
02-01
在IT领域,特别是系统编程和软件开发中,枚举进程句柄是一项重要的技术。这个"枚举进程句柄.rar"文件包含了一个用Delphi编写的示例程序,它展示了如何枚举并查看指定进程中的文件句柄、Mutex(互斥量)以及注册表...
枚举系统中打开的句柄
10-21 4846
删除系统中的文件会提示 有进程已经打开了这个文件会导致不能删除该文件在网上找到了在ring3下实现文件碎甲的一篇介绍:在ring3上实现文件碎甲功能其中首先需要实现的就是需要枚举出系统中每个进程打开的文件句柄枚举进程 枚举句柄 这些功能都需要用到从Ntdll.dll中导出系统内核函数比如函数 ZwQuerySystemInformation ZwQueryInformationPr
枚举进程句柄File,Section,Mutant,Timer关闭Mutex句柄实现游戏多开
weixin_34343689的博客
01-08 804
原文:http://www.cnblogs.com/Y4ng/archive/2012/09/06/EnumProcessHandle_EnumMutex.html     相信做过游戏多开的朋友就会发现,很多游戏普遍使用互斥mutex来防止程序多开,说实话这种方式已经非常OUT了。但是由于时间和技术的沉淀关系,留下来的游戏依然会存在这种方式。 最近接触到一款游戏是N前非常火热的对战游戏,可以称...
Win8下枚举任意进程句柄表。。。(VB6 Code)
weixin_34210740的博客
01-08 223
添加一个Command1、一个List1,代码: Private Type PROCESS_HANDLE_TABLE_ENTRY_INFO HandleValue As Long HandleCount As Long PointerCount As Long GrantedAccess As Long ObjectTypeIndex As Long HandleAttribut...
易语言枚举进程所有句柄源码.zip_easy _易语言枚举进程所有句柄源码_枚举进程_进程句柄
最新发布
09-15
Easy language enumeration process all handle source routines call API function to obtain system handle object information
易语言枚举进程所有句柄源码
06-01
在实际应用中,枚举进程句柄的功能可能被用于调试、监控或其他需要深入系统层次的应用。例如,安全软件可能会使用类似的技术来检测恶意程序的行为,或者系统管理员可能用它来排查性能问题。因此,掌握这种技术对于...
易语言源码易语言枚举进程所有句柄源码.rar
03-31
- 枚举进程句柄是指遍历系统中所有正在运行的进程,获取每个进程句柄。这通常涉及到Windows API的使用,如`EnumProcesses`函数,它可以返回当前系统中活动进程的PID数组。 - 获取句柄后,可以进一步获取进程的...
R3 x64枚举进程句柄
07-04 297
转载:https://blog.csdn.net/zhuhuibeishadiao/article/details/51292608 需要注意的是:在R3使用ZwQueryObject很容易锁死,需要放到线程中,如果线程超过500ms就说明卡死了 就只能放弃这个句柄了 这个句柄外面是一个FileObject类型,但真实是一个信号类型 还有在R3中枚举 有一个句柄我们是没有权限...
MFC枚举进程内核句柄
12-01
用MFC写的一个枚举进程内核句柄的工具,类似于XT或者process exp查看进程句柄的功能,运行效果见blog
枚举进程所有句柄-易语言
06-12
枚举进程所有句柄
简易任务管理器(附带源码)可枚举、关闭进程句柄、线程等
03-13
简易任务管理器 可枚举、关闭进程句柄、线程等 附带易语言源码 效果图 http://bbs.eyuyan.com/UploadFile/2010-2/201021519265860568.gif
枚举窗口句柄代码
12-03
附有开发窗口和模块,鼠标点击要查找的窗口,列出类和句柄
枚举进程 线程 模块 句柄 取CPU信息 缓存 页文件信息等等
01-18
枚举进程 线程 模块 句柄 取CPU信息 缓存 页文件信息等等
枚举进程中打开的句柄
07-04 517
转载:https://blez.wordpress.com/2012/09/17/enumerating-opened-handles-from-a-process/ 因为NtQueryInformation确实缺少文档或示例,因此我会在一两年前杀死这段消息。 以下代码显示特定进程的所有已打开句柄。结合DuplicateHandle技巧,您也可以打开其文件(或其他句柄)。 ...
枚举任意进程内核对象句柄的方法
Hanxinyi930702的博客
09-07 622
原理: 调用ntdll的一个导出函数ZwQuerySystemInformation可以获取一些重要信息,函数定义如下: 1 NTSTATUS WINAPI ZwQuerySystemInformation( 2 _In_ SYSTEM_INFORMATION_CLASS SystemInformationClass, 3 _Inout_ PVOID...
枚举进程内核句柄
Debug Hacker
12-01 1723
最近由于有一点点的时间,写了一个小工具,主要目的是总结前段时间对内核句柄的一些学习,功能很简单,类似于Process Explorer查看进程句柄的方法,在win7 x64上测试通过,效果如下图: 注意有些路径为空是因为x64下32位程序对64位程序用GetModuleFileNameEx获取进程的全路径是无法获取的,这个问题如果有好的解决方案欢迎推荐,自己太菜了... 代码上传到了C
枚举句柄
Keep It Simple, Stupid
04-28 741
#include #include #include static const int s_max = 1024; BOOL CALLBACK EnumWindowsProc(HWND, LPARAM); BOOL CALLBACK EnumChildWindowsProc(HWND, LPARAM); int main() { EnumWindows(EnumWindowsProc
易语言教程:枚举进程句柄代码解析
在易语言中,实现枚举进程句柄的过程大致如下: 1. 获取当前进程ID。 2. 使用`GetCurrentProcess()`获取当前进程句柄。 3. 调用`ZwQuerySystemInformation()`查询`SystemHandleInformation`,得到句柄信息结构数组...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值