逆向学习Windows篇:进程句柄操作详解

最新推荐文章于 2024-07-17 21:40:42 发布
最新推荐文章于 2024-07-17 21:40:42 发布
阅读量1.3k 收藏 6
点赞数 33
分类专栏: 2024逆向学习 文章标签: 学习 逆向工程 MFC 数据库 oracle
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41489908/article/details/139795917
版权

本节课在线学习视频(网盘地址,保存后即可免费观看):

​https://pan.quark.cn/s/379f94bd2c38​

逆向学习Windows篇:进程句柄操作详解

在Windows系统中,句柄(Handle)是操作系统用来标识资源的一种抽象概念。句柄在进程间进行资源管理和协调时扮演了重要角色。本文将介绍如何打开进程并获取其句柄、句柄在进程中的作用、如何使用句柄操作进程、每个进程的句柄表,以及句柄的继承方式。本文还将通过一些代码实例来演示这些概念。

一、句柄的基本概念

句柄是一种抽象的数据类型,用于标识和管理系统资源,例如文件、进程、线程、同步对象等。在Windows系统中,句柄由操作系统分配和管理,用户程序可以通过句柄来访问和操作相关资源。

二、如何打开进程获取句柄

1. 使用OpenProcess函数

​OpenProcess​​函数用于打开一个已存在的进程,并返回该进程的句柄。以下是​​OpenProcess​​函数的原型:

HANDLE OpenProcess(
  DWORD dwDesiredAccess,
  BOOL  bInheritHandle,
  DWORD dwProcessId
);
  • ​dwDesiredAccess​​:指定所需的访问权限。
  • ​bInheritHandle​​:指示是否允许子进程继承该句柄。
  • ​dwProcessId​​:要打开的进程的ID。

示例

以下代码演示了如何使用​​OpenProcess​​函数打开一个进程并获取其句柄:

#include <windows.h>
#include <stdio.h>

int main() {
    DWORD processId = 1234; // 替换为目标进程的ID
    HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, processId);

    if (hProcess == NULL) {
        printf("Failed to open process. Error: %lu\n", GetLastError());
        return 1;
    }

    printf("Successfully opened process with handle: %p\n", hProcess);

    // 关闭句柄
    CloseHandle(hProcess);

    return 0;
}

三、句柄在进程中的作用

句柄在进程中用于标识和管理系统资源。通过句柄,程序可以执行各种操作,如读取和写入内存、控制线程、同步操作等。句柄的作用包括:

  1. 资源管理:通过句柄,操作系统可以高效地管理和分配资源。
  2. 权限控制:句柄包含了访问权限信息,确保只有有权限的操作可以执行。
  3. 同步操作:句柄可以用于同步操作,如等待某个事件或信号。

四、如何使用句柄操作进程

1. 读取和写入进程内存

通过​​ReadProcessMemory​​和​​WriteProcessMemory​​函数,可以使用进程句柄来读取和写入进程的内存。

示例

以下代码演示了如何使用进程句柄读取和写入目标进程的内存:

#include <windows.h>
#include <stdio.h>

int main() {
    DWORD processId = 1234; // 替换为目标进程的ID
    HANDLE hProcess = OpenProcess(PROCESS_VM_READ | PROCESS_VM_WRITE | PROCESS_VM_OPERATION, FALSE, processId);

    if (hProcess == NULL) {
        printf("Failed to open process. Error: %lu\n", GetLastError());
        return 1;
    }

    int value = 0;
    SIZE_T bytesRead;
    if (ReadProcessMemory(hProcess, (LPCVOID)0x00000000, &value, sizeof(value), &bytesRead)) {
        printf("Read value: %d\n", value);
    } else {
        printf("Failed to read memory. Error: %lu\n", GetLastError());
    }

    int newValue = 42;
    SIZE_T bytesWritten;
    if (WriteProcessMemory(hProcess, (LPVOID)0x00000000, &newValue, sizeof(newValue), &bytesWritten)) {
        printf("Wrote value: %d\n", newValue);
    } else {
        printf("Failed to write memory. Error: %lu\n", GetLastError());
    }

    // 关闭句柄
    CloseHandle(hProcess);

    return 0;
}

五、每个进程的句柄表

每个进程都有一个句柄表,用于存储与该进程相关的所有句柄。句柄表是一个内核对象,包含了进程可以访问的所有资源的句柄。操作系统通过句柄表来管理和分配句柄。

六、句柄的继承方式

当一个进程创建子进程时,可以选择是否让子进程继承父进程的句柄。句柄的继承方式由​​bInheritHandle​​参数控制,该参数可以在句柄创建时指定。

示例

以下代码演示了如何创建一个子进程,并指定是否继承父进程的句柄:

#include <windows.h>
#include <stdio.h>

int main() {
    // 创建一个可继承的句柄
    HANDLE hEvent = CreateEvent(NULL, TRUE, FALSE, NULL);
    if (hEvent == NULL) {
        printf("Failed to create event. Error: %lu\n", GetLastError());
        return 1;
    }

    // 启动子进程
    STARTUPINFO si = { sizeof(si) };
    PROCESS_INFORMATION pi;
    BOOL inheritHandles = TRUE; // 指示是否继承句柄

    if (!CreateProcess(NULL, "child_process.exe", NULL, NULL, inheritHandles, 0, NULL, NULL, &si, &pi)) {
        printf("Failed to create child process. Error: %lu\n", GetLastError());
        CloseHandle(hEvent);
        return 1;
    }

    printf("Successfully created child process.\n");

    // 关闭子进程句柄
    CloseHandle(pi.hProcess);
    CloseHandle(pi.hThread);

    // 关闭事件句柄
    CloseHandle(hEvent);

    return 0;
}

结论

本文介绍了在Windows系统中如何打开进程并获取其句柄、句柄在进程中的作用、如何使用句柄操作进程、每个进程的句柄表,以及句柄的继承方式。通过这些知识和示例代码,希望能帮助你更好地理解和使用Windows的句柄机制。

web安全工具库
关注
  • 33
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SPY++工具,windows句柄获取工具
05-15
SPY++工具,windows句柄获取工具
详解易语言写内存整数型
08-26
`_打开进程()` 和 `_关闭对象()` 用于获取和关闭进程句柄,而 `_内存写整数()` 则是核心的内存写入命令,确保了数据能被正确地写入目标进程的内存空间。 总结来说,易语言写内存整数型的方法涉及到进程的访问、内存...
Windows句柄(Handle)
weixin_42101997的博客
05-18 345
Windows操作系统中,句柄(Handle)是一个特殊的标识符,用于表示和操作各种系统资源,如文件、窗口、进程、线程、事件等。Windows句柄是一个整数值,通常由系统API函数在创建或打开一个资源时返回,并用于后续的操作。正确使用句柄Windows编程中的重要一环,因为不正确地管理句柄可能会导致资源泄漏、安全问题或程序崩溃。:句柄隐藏了资源或对象的内部表示,使得开发者可以通过句柄操作资源,而无需关心资源在内存中的具体位置或结构。只有拥有适当权限的进程才能通过句柄访问特定的资源。
OG-Injector-Sharp:CS的开源注入器
03-28
- **获取进程信息**:OG-Injector-Sharp首先需要找到并获取目标进程句柄,这通常通过进程ID或进程名称完成。 - **创建远程线程**:然后,它会在目标进程中创建一个新的线程,这个线程将在目标进程中执行注入的代码...
微软Spyxx调试分析工具32位及64位
01-19
Windows编程中,每个窗口都有一个唯一的句柄,它是操作系统用来标识和操作窗口的标识符。Spyxx可以帮助我们查找并显示所有已打开窗口的句柄,通过这个句柄,开发者可以精确地操控特定窗口。窗口类则定义了窗口的...
VC编的游戏内存修改器
01-23
2. **内存操作**:有了进程句柄后,我们可以使用`ReadProcessMemory`和`WriteProcessMemory`函数来读取和修改目标进程的内存。这两个API允许开发者跨越进程边界传输数据,从而实现内存修改。 3. **内存搜索算法**:...
2024Datawhale AI夏令营---基于术语词典干预的机器翻译挑战赛--学习笔记
weixin_61573157的博客
07-15 1051
机器翻译(Machine Translation,简称MT)是自然语言处理领域的一个重要分支,其目标是将一种语言的文本自动转换为另一种语言的文本。机器翻译的发展可以追溯到20世纪50年代,经历了从基于规则的方法、统计方法到深度学习方法的演变过程。当前,机器翻译正朝着更加智能化和个性化方向发展。一方面,结合上下文理解、情感分析等技术,提高翻译的准确性和自然度;另一方面,通过用户反馈和个性化学习,提供更加符合用户需求的翻译服务。同时,跨语言信息检索、多模态翻译等新兴领域也正在成为研究热点。
爬虫学习日记
wuhu_czy的博客
07-12 743
爬虫python code
昇思25天学习打卡营第14天|LLM-文本解码原理--以MindNLP为例
最新发布
wwt72的博客
07-17 494
限制输出序列的最大长度为50个token。top-p=0.95,top-p采样表示在每一步生成token时,只从概率分布中累计概率达到95%的token中进行采样,有助于保持生成文本的流畅性和质量,同时允许一些低概率的token被选中,从而增加多样性。表示禁用了top-k采样,因为在top-k采样中,通常是从概率最高的k个token中随机选择一个token作为下一个输出,而这里设置为0表示不限制token的选择,实际上这将等同于使用 softmax 概率分布直接进行采样。这有助于提高生成文本的多样性。
探索Perl语言:入门学习与实战指南
洛秋的博客
07-15 988
Perl(Practical Extraction and Report Language)由Larry Wall于1987年创建,旨在帮助系统管理员简化日常任务。高效灵活:Perl的语法灵活多样,支持多种编程风格(过程式、面向对象等)。强大的文本处理能力:内置强大的正则表达式支持,是处理文本数据的利器。丰富的模块库:通过CPAN(Comprehensive Perl Archive Network)可以方便地获取和使用各类模块。Perl广泛应用于系统管理、Web开发、网络编程、数据库操作等领域。
NumPy库学习之np.random.rand函数
qq_46396470的博客
07-15 291
是 NumPy 库中的一个函数,用于生成随机数。这些随机数是从均匀分布 [0, 1) 中抽取的,即每个数都在0到1之间,但不包括1。
钓鱼攻击 - 基础学习
Reset
07-16 635
钓鱼攻击是一种典型的欺诈式攻击手段,攻击者通过伪装成可以信任的角色,利用电子邮件或其他通信渠道向被攻击者发送植入了木马的文档或恶意链接,并诱骗被攻击者点击执行,从而实现对被攻击者计算机的远程控制或恶意程序感染。
python 语法学习 day 7
2303_79973545的博客
07-15 301
-----元组之间可以进行比较,比较的规则是逐个比较元组中的元素。首先比较第一个元素,如果相等,则比较第二个元素,以此类推。如果所有元素都相等,那么元组相等;否则,比较的结果取决于第一个不相等元素的比较结果。题意:统计单词的种类以及数量(忽略大小写),最终以降序输出(出现次数相同的单词根据单词的大小升序输出)-------掌握如何将一个英语句子中的单词拆出来,并且去掉标点符号。EOF,输入后产生异常-->>捕获异常,结束输入。第一次提交的答案是:先把所有输入值放在列表里面。------字典排序。
昇思MindSpore 25天学习打卡营|day20
weixin_42036358的博客
07-13 731
生成式对抗网络(Generative Adversarial Networks,GAN)是一种生成式机器学习模型,是近年来复杂分布上无监督学习最具前景的方法之一。最初,GAN由Ian J. Goodfellow于2014年发明,并在论文生成器的任务是生成看起来像训练图像的“假”图像;判别器需要判断从生成器输出的图像是真实的训练图像还是虚假的图像。GAN通过设计生成模型和判别模型这两个模块,使其互相博弈学习产生了相当好的输出。GAN模型的核心在于提出了通过对抗过程来估计生成模型这一全新框架。
Cadence23学习笔记(三)
zjb6668的博客
07-15 344
焊接FPC的时候先上锡,焊台加热后再图上焊油,再放置元器件,再加热:万用表测电流只需要把表笔接到电流的孔位即可测量电流,不需要接再串联一个负载:有些线性电源两个通道可以串联,并联起来使用;
WPF学习(7) --MVVM模式
Fourglsl的博客
07-15 286
WPF学习(7) --MVVM模式
node.js的安装及学习(node/nvm/npm的区别)
Future_yzx的博客
07-14 455
node.js 一种Javascript编程语言的运行环境,能够使得javascript能够脱离浏览器运行。以前js只能在浏览器(也就是客户端)上运行,node.js将浏览器中的javascript运行环境进行封装的,使得该语言也可以在服务端运行。node.js=Google的V8引擎+内置基本模块(大多用JavaScript编写),类似JRE=JVM+java标准库node.js诞生之前,JavaScript只能运行于浏览器,现在也可以在服务器端运行于node.js;
Games101学习笔记 Lecture 20: Color and Perception
weixin_70073176的博客
07-17 677
Pθϕ)λPθϕλ)PθϕλtVx​Vy​Vz​。
base SAS programming学习笔记12(do loop)
ddjdd1234的博客
07-12 300
当使用point来指定行数读取的时候,需要使用stop避免结束读入数据的指针而引起连续读入该行数据,由于STOP会停止执行DATA步则不会将PDV的数据输出至输出数据集,因此需要加上OUTPUT来输出数据,将OUTPUT放入循环中则每次循环的数据都输出,如果放至循环外则只有最后一行数据输出。在上述程序中earned由于链接的是“+”,因此值都是保留到下一行,到第12月份仍然在执行循环,该循环完毕后month增至13,此时终止循环,因此输出的month=13;所以do until循环至少循环一次;
Reverse_Engineering_for_Beginners-en-lite
01-24
Reverse_Engineering_for_Beginners-en-lite

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

web安全工具库

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值