SYSTEM_HANDLE_INFORMATION

最新推荐文章于 2021-11-23 17:39:41 发布
原创 最新推荐文章于 2021-11-23 17:39:41 发布 · 2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细解析了Windows系统中句柄的内部结构和工作原理,包括SYSTEM_HANDLE_INFORMATION和SYSTEM_HANDLE_TABLE_ENTRY_INFO等关键数据结构,以及如何通过NtQuerySystemInformation函数获取系统内所有进程的句柄信息。
复制代码
typedef struct _SYSTEM_HANDLE_INFORMATION{
    ULONG                ProcessId;
    UCHAR                ObjectTypeNumber;
    UCHAR                Flags;
    USHORT               Handle;
    PVOID                Object;
    ACCESS_MASK          GrantedAccess;
    /*
    ProcessId:           进程标识符
    ObjectTypeNumber;    打开的对象的类型
    Flags:               句柄属性标志
    Handle:              句柄数值,在进程打开的句柄中唯一标识某个句柄
    Object:              这个就是句柄对应的EPROCESS的地址
    GrantedAccess:       句柄对象的访问权限
    */
} SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION;

ObjectTypeNumber的定义

// 枚举对象类型
typedef enum _SYSTEM_HANDLE_TYPE
{
    OB_TYPE_UNKNOWN,         // 0,未知类型
    OB_TYPE_TYPE,            // 1,类型
    OB_TYPE_DIRECTORY,       // 2,目录
    OB_TYPE_SYMBOLIC_LINK,   // 3,符号链接
    OB_TYPE_TOKEN,           // 4,安全
    OB_TYPE_PROCESS,         // 5,进程
    OB_TYPE_THREAD,          // 6,线程
    OB_TYPE_JOB,             // 7,Job
    OB_TYPE_DEBUG_OBJECT,    // 8,调试对象
    OB_TYPE_EVENT,           // 9,事件
    OB_TYPE_EVENT_PAIR,      // 10,事件
    OB_TYPE_MUTANT,          // 11,互斥体
    OB_TYPE_CALLBACK,        // 12,回调
    OB_TYPE_SEMAPHORE,       // 13,信号量
    OB_TYPE_TIMER,           // 14,时钟
    OB_TYPE_PROFILE,         // 15,Profile
    OB_TYPE_KEYED_EVENT,     // 16,键盘事件
    OB_TYPE_WINDOWS_STATION, // 17,fixed
    OB_TYPE_DESKTOP,         // 18,桌面
    OB_TYPE_SECTION,         // 19,共享内存区
    OB_TYPE_KEY,             // 20,键值
    OB_TYPE_PORT,            // 21,端口
    OB_TYPE_WAITABLE_PORT,   // 22,可等待端口
    OB_TYPE_ADAPTER,         // 23,适配器
    OB_TYPE_CONTROLLER,      // 24,控制器
    OB_TYPE_DEVICE,          // 25,设备
    OB_TYPE_DRIVER,          // 26,驱动
    OB_TYPE_IOCOMPLETION,    // 27,fixed
    OB_TYPE_FILE,            // 28,内存映射文件
    OB_TYPE_WMIGUID          // 29,fixed
} SYSTEM_HANDLE_TYPE;
 
typedef enum _MEMORY_INFORMATION_CLASS
{
    MemoryBasicInformation,
    MemoryWorkingSetList,
    MemorySectionName,
    MemoryBasicVlmInformation
} MEMORY_INFORMATION_CLASS, *PMEMORY_INFORMATION_CLASS;
 
typedef struct _OBJECT_TYPE_INFORMATION
{
    UNICODE_STRING TypeName;
    ULONG TotalNumberOfHandles;
    ULONG TotalNumberOfObjects;
} OBJECT_TYPE_INFORMATION, *POBJECT_TYPE_INFORMATION;
 
typedef struct _OBJECT_ALL_INFORMATION
{
    ULONG NumberOfObjects;
    OBJECT_TYPE_INFORMATION ObjectTypeInformation[1];
} OBJECT_ALL_INFORMATION, *POBJECT_ALL_INFORMATION;


复制代码


使用时应注意,返回到缓冲区的首先是一个ULONG类型的数据,表示有多少数组


复制代码


  使用NtQuerySystemInformation函数的SystemHandleInformation=16号功能.
  其相关结构定义如下:
  typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO{
      USHORT UniqueProcessId;
      USHORT CreatorBackTraceIndex;
      UCHAR ObjectTypeIndex;
      UCHAR HandleAttributes;
      USHORT HandleValue;
      PVOID Object;
      ULONG GrantedAccess;
  } SYSTEM_HANDLE_TABLE_ENTRY_INFO, *PSYSTEM_HANDLE_TABLE_ENTRY_INFO;

typedef struct _SYSTEM_HANDLE_INFORMATION{

ULONG NumberOfHandles;

SYSTEM_HANDLE_TABLE_ENTRY_INFO Handles[1];

} SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION;

该功能号获取系统内所有进程的句柄放在Handles里,个数由NumberOfHandles标识,

每个句柄由UniqueProcessId来区分属于那个不同的进程.
                                              


复制代码


                                     -------《ProcessExplorer原理分析之句柄处理【原创】




                

                
                
        

    



  



    

      

        

            

              
                
                  htpidk
                
              
            

            

                关注
              
            

        

        

          
      

      










                



	

		

			

				
					
name_to_handle_at函数和open_by_handle_at函数

				
			

			

				

					tangzhangyin的专栏
				

				

					02-22
					
					1452
					
				

			

		

		

			
				
dirfdpathnamehandlemount_idflagsmount_fdhandleflagsname_to_handle_at()和open_by_handle_at()系统调用将openat(2)的功能分为两部分:name_to_handle_at(): 返回一个对应于指定文件的不透明句柄;open_by_handle_at(): 打开与前面调用name_to_handle_at()返回的句柄对应的文件,并返回一个打开的文件描述符。

			
		

	



                

            
              



	

		

			

				
					
NtQuerySystemInformation的不同参数的结构

				
			

			

				

					做一个快乐学习者
				

				

					05-27
					
					1339
					
				

			

		

		

			
				
__kernel_entry NTSTATUS NtQuerySystemInformation(
  SYSTEM_INFORMATION_CLASS SystemInformationClass,
  PVOID                    SystemInformation,
  ULONG                    SystemInformationLength,
  PULONG                   ReturnLength
);




typed...

			
		

	



              


  
  
              

                


	

		

			

				
					
【转】SYSTEM_HANDLE_INFORMATION

				
			

			

				

					
				

				

					01-04
					
					558
					
				

			

		

		

			
				
typedef struct _SYSTEM_HANDLE_INFORMATION{
    ULONG                ProcessId;
    UCHAR                ObjectTypeNumber;
    UCHAR                Flags;
    USHORT               Handle;
 ...

			
		

	





	

		

			

				
					
EhLib 8.0 Build 8.0.023 Pro Edition FullSource for D7-XE8

				
			

			

				

					01-04
				

			

		

		

			
				
EhLib 8.0 Build 8.0.023 Pro Edition FullSource for D7-XE8
亲测可用,含全部源码及 Demo

The Library contains components and classes for Borland Delphi versions 7, 9, 
Developer Studio 2006, Delphi 2007, Embarcadero RAD Studio 2009-XE8, Lazarus.

TABLE OF CONTENTS
-----------------
Overview
Installation Library
Installation Help
Demonstration Programs
Registering and Prices
Other information
About author


Where to start.
-------------------

Read about EhLib for Lazarus in the file - Lazarus\readme.txt

Start overview of the library with the main Demo project
.\Demos\Bin\MainDemo.Exe.
(Compiled Demo files are available in the Evaluation version of the library)

Then you can read a summary of the new features and changes
in the file history-eng.html.

More detail about new features can be found in the file -
About EhLib 8 Eng.doc

To install a new version of the library in the IDE, use the installation program
in .\Installer\EhLibInstaller.exe



Overview
--------

The Library contains several components and objects.

TDBGridEh component
TDBGridEh provides all functionality of TDBGrid 
 and adds several new features as follows:
   Allows to select records, columns and rectangle areas.
   Special titles that can correspond to several/all columns.
   Footer that is able to show sum/count/other field values.
   Automatic column resizing to set grid width equal client width.
   Ability to change row and title height.
   Allows automatic broken of a single line long title and data row 
     to a multiline.
   Title can act as button and, optionally show a sort marker.
   Automatically sortmarking.
   Ability to truncate long text with ellipsis.
   Lookup list can show several fields.
   Incremental search in lookup fields.
   Frozen columns.
   DateTime picker support for TDateField and TDateTimeField.
   Allows to show bitmaps from TImageList depending on field value.
   Allows to hide and track horizontal or vertical scrollbars.
   Allows to hide columns.
   Allows to show 3D fr

			
		

	



		

			
		



	

		

			

				
					
摄影构图学-SXXYJ高清重制版.pdf

				
			

			

				

					03-12
				

			

		

		

			
				
摄影构图学-SXXYJ高清重制版.pdf

			
		

	





	

		

			

				
					
通过遍历系统句柄信息(SystemHandleInformation),获取系统进程和当前进程的eprocess

					
热门推荐

				
			

			

				

					pureman_mega的博客
				

				

					11-23
					
					1万+
					
				

			

		

		

			
				
实验环境:win10 1909 64

参考:https://blog.youkuaiyun.com/qinlicang/article/details/4489727

首先,获取系统的句柄信息;然后,在句柄信息表中进行搜索,通过数据结构进行匹配;最后,确定系统进程和当前进程的eprocess;

主要数据结构如下:


typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO {
    USHORT UniqueProcessId;
    USHORT CreatorBack

			
		

	





	

		

			

				
					
(转) SYSTEM_HANDLE_INFORMATION中ObjectTypeIndex的定义

				
			

			

				

					weixin_33862514的博客
				

				

					05-13
					
					352
					
				

			

		

		

			
				

typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO{
	USHORT	UniqueProcessId;
	USHORT	CreatorBackTraceIndex;
	UCHAR	ObjectTypeIndex;
	UCHAR	HandleAttributes;
	USHORT	HandleValue;
	PVOID	Object;
	ULONG	Gr...

			
		

	





	

		

			

				
					
NtQuerySystemInformationSystemHandleInformation,PSYSTEM_HANDLE_INFORMATION,NT_SUCCESS,SYSTEM_HANDLE,STATUS_INFO_LENGTH_MISMATCH未定义标识符

					
最新发布

				
			

			

				

					09-22
				

			

		

		

			
				
} SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION;  // 原始函数指针 typedef SOCKET(WINAPI* PFN_socket)(int, int, int); typedef int(WINAPI* PFN_closesocket)(SOCKET); typedef BOOL(WINAPI* PFN_...

			
		

	





	

		

			

				
					
SYSTEM_PROCESS_INFORMATION 结构体

				
			

			

				

					03-31
				

			

		

		

			
				
SYSTEM_PROCESS_INFORMATION 结构体是 Windows 操作系统内部使用的一种数据结构,用于描述系统中正在运行的进程的信息。该结构体定义如下:  ```c typedef struct _SYSTEM_PROCESS_INFORMATION {  ULONG ...

			
		

	





	

		

			

				
					
SYSTEM_PROCESS_INFORMATION申明打印出来

				
			

			

				

					05-16
				

			

		

		

			
				
SYSTEM_PROCESS_INFORMATION是Windows操作系统中的一个数据结构,用于描述系统中运行进程的信息。其定义在Windows SDK的Winternl.h头文件中,申明如下:  ```C typedef struct _SYSTEM_PROCESS_INFORMATION {  ULONG...

			
		

	





	

		

			

				
					
(转)关于SYSTEM_HANDLE_TYPE

				
			

			

				

					weixin_38166931的博客
				

				

					12-27
					
					220
					
				

			

		

		

			
				
http://hi.baidu.com/_achillis/item/98003737be6760f2a9842817
  今天写程序,用ZwQuerySystemInformation枚举系统中的文件句柄时出了问题,死活一个都找不到,可是这明显不可能啊?于是用Process Explorer随便找了个文件句柄对象,然后看了它的OBJECT_TYPE,才发现文件句柄的类型索引应为28,...

			
		

	





	

		

			

				
					
【旧文章搬运】炉子给的SYSTEM_HANDLE_TYPE有点错误

				
			

			

				

					weixin_30407099的博客
				

				

					12-26
					
					214
					
				

			

		

		

			
				
原文发表于百度空间,2008-12-03==========================================================================
今天写程序,用ZwQuerySystemInformation枚举系统中的文件句柄时出了问题,死活一个都找不到,可是这明显不可能啊?于是用Process Explorer随便找了个文件句柄对象,然后看了它的O...

			
		

	





	

		

			

				
					
NtQuerySystemInformation

				
			

			

				

					farmwang的专栏
				

				

					06-11
					
					1883
					
				

			

		

		

			
				
// CPPTest.cpp: 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <windows.h>
#include <stdio.h>
#include <thread>

#define SYSTEM_PERF_INFO             0x02
#define SYSTEM_PROC_TIME  ...

			
		

	





	

		

			

				
					
查看文件被占用的进程 NtQueryObject NtQueryInformationFile NtQuerySystemInformation

				
			

			

				

					linuxsmallping的专栏
				

				

					06-22
					
					4611
					
				

			

		

		

			
				
#pragma once
#include #include #include #include #include 
#include #include using namespace std;
#include typedef std::basic_stringTCHAR, std::char_traitsTCHAR>, std::allocatorTCHAR>> tstring;
#inclu

			
		

	





	

		

			

				
					
有关遍历进程中句柄的方法总结

				
			

			

				

					mergerly的专栏
				

				

					04-16
					
					1923
					
				

			

		

		

			
				
此篇文章说是原创有些牵强。就像题目所说的,更多的是对前人方法的总结。写作的初衷倒也不是技术方面的研究,不过是工作的需求罢了。
方法中涉及到一些函数需要提权,其实我一直以为网上那个标准的提权函数没什么用,直到这次写程序我才知道原来有的时候是真的需要提权的。现附上一份比较好看的提权代码,也方便自己以后使用。
 
BOOL AdjustProcessPrivilege(HANDLE hProces

			
		

	





	

		

			

				
					
枚举进程句柄

				
			

			

				

					qq_41490873的博客
				

				

					09-19
					
					609
					
				

			

		

		

			
				
#include <windows.h>
#include <stdio.h>

#define NT_SUCCESS(x) ((x) >= 0)
#define STATUS_INFO_LENGTH_MISMATCH 0xc0000004

#define SystemHandleInformation 16
#define ObjectBasicInformation 0
#define ObjectNameInformation 1
#define ObjectTypeI

			
		

	





	

		

			

				
					
对/etc/rc.d/init.d/目录的一点理解

				
			

			

				

					cradmin的专栏
				

				

					04-09
					
					8871
					
				

			

		

		

			
				
辅助环境:rh9,fc7另:本文如无特殊解释,init.d指的就是/etc/rc.d/init.d目录。本文包括3部分内容1、        Linux的引导过程2、        运行级别3、        /etc/rc.d/ 与/etc/rc.d/init.d的关系都仅限于自身的理解,如有差错和不足的地方请指正和补充!一起学习,一起进步。        “/etc/rc.d/init.d/目

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

  

	
    

      

      

      

        
        

          
          

            

              成就一亿技术人!
            

            

              拼手气红包6.0元
            

          

        

        

          

            还能输入1000个字符
          

          

             
          

          

            

              红包
              添加红包
            

            

              表情包
              插入表情
              

                

              

            

            

              表情包
              代码片
              

                
              

            

            

              
              
              
              
              
              
              
            

          

        

      

    

		

			

			

			
			

					 条评论被折叠 查看
			

			

				
			

		

	

	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值