枚举内核句柄表(Windows内核学习笔记)

最新推荐文章于 2022-10-16 16:06:03 发布
最新推荐文章于 2022-10-16 16:06:03 发布
阅读量966 收藏 2
点赞数
分类专栏: Windows开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42253797/article/details/105522273
版权
博主分享了关于内核枚举进程句柄的方法,详细探讨了如何在Windows内核中进行句柄表的枚举操作,是Windows内核学习笔记的一部分。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前面我写过有关内核句柄表的一些知识,今天来在这里跟大家分享一下我自己写的内核枚举进程句柄方法。

#include"EnumProcessHandleTable.h"



#ifdef   _WIN64 

#define  _HANDLE_TABLE_  0x200	//硬偏移Win7x64下的HANDLE_TABLE字段在EPROCESS下的偏移
#define  _OFFSET_        0x10	//TableCode中的第一项是用作审计,需要越过他到达HandleTableEntry
了解本专栏 订阅专栏 解锁全文 超级会员免费看
[网络安全自学篇] 八十四.《Windows黑客编程技术详解》之VS环境配置、基础知识及DLL延迟加载详解(1)
杨秀璋的专栏
06-19 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第一篇文章主要包括两部分内容,开发环境(VS、编译设置)、基础技术、运行单一实例(互斥对象示例)、DLL延迟加载(skin++换皮肤示例)、资源释放(MFC示例)。希望对您有所帮助~
Win32学习笔记(20)文件系统
wzprabbit的博客
03-05 1046
1.文件系统 文件系统时操作系统用于管理磁盘上文件的方法和数据结构;简单点说就是在磁盘上如何组织文件的方法(可以理解为:任何东西存到硬盘上都是0和1不过怎么组织由文件系统决定) 文件系统 NTFS FAT32 磁盘分区容量 2T 32G 单个文件容量 4G以上 最大4G EFS加密 支持 不支持 磁盘配额 支持 不支持 那么在哪看我们的硬盘是什么文件系统? 就比如我的C盘:我们右键点击属性 看到是NTFS。..
MFC枚举进程内核句柄
12-01
用MFC写的一个枚举进程内核句柄的工具,类似于XT或者process exp查看进程句柄的功能,运行效果见blog
[note]枚举进程之二(句柄分析篇)
a519609598的博客
09-18 362
继续接着上篇,这一篇说下句柄,关于handletable,其实也已经相当科普了~基础知识还是学习下吧. 继续引用下V大的思路. 3.通过pspCidTable获得进程c4.通过handletablelisthead获得进程d5.通过csrss的handletable用2种方法枚举获得进程e和f6.通过扫描当前进程的handletable获得进程g 在解释如何通过这...
Win8下枚举任意进程句柄。。。(VB6 Code)
weixin_34210740的博客
01-08 246
添加一个Command1、一个List1,代码: Private Type PROCESS_HANDLE_TABLE_ENTRY_INFO HandleValue As Long HandleCount As Long PointerCount As Long GrantedAccess As Long ObjectTypeIndex As Long HandleAttribut...
Ring3句柄枚举
weixin_34007886的博客
01-25 212
由于windows并没有给出枚举所有句柄所用到的API,要获得句柄,我们必须使用未公开的Native API才可以,使用如下函数: NTSTATUS WINAPI NtQuerySystemInformation( _In_ SYSTEM_INFORMATION_CLASS SystemInformationClass, _Inout_ PVOID ...
内核枚举进程(一)进程活动链
10-08 244
今天学会了一种在内核枚举进程的方法,写下来与大家共享。用到了的是EPROCESS 结构,EPROCESS 是一个关于进程的结构,此结构很庞大,包括的内容非常丰富.由于此结构未文档化所以用windbg来查看输入dt _eprocess命令查看该结构如下: ntdll!_EPROCESS +0x000 Pcb : _KPROCESS //进程控制...
Windows驱动开发技术详解》学习笔记
热门推荐
Sagittarius_Warrior的博客
02-13 2万+
Abstract   如果推荐 Windows 驱动开发的入门书,我强烈推荐《Windows驱动开发技术详解》。但是由于成书的时间较早,该书中提到的很多工具和环境都已不可用或找不到,而本文搜集了大部分的工具,并在 win10X64 上安装开发环境,在 win7x86 上进行实验,趟过了不少实际编译和测试中遇到的坑。此外,本文也对相关章节的重点进行了总结,全文目录如下: 全书导读 开发和调试 驱...
Linux系统内核笔记
qq_40800823的博客
09-24 1003
一、课程介绍 UNIX/Linux环境C语言,借助学习操作系统的接口的方法来学习、理解操作系统的 运行机制以及一些网络协议 C/C++、数据结构和算法 与平台无关,重点是算法逻辑 Uinx/Linux/Android/IOS 平台相关,系统接口 嵌入式/驱动/移植 硬件相关,硬件接口 环境介绍 内存管理 文件操作 文件管理 信号处理 进程管理 进程通信 网络通信 线程管理 线程...
驱动开发:内核枚举PspCidTable句柄
优快云
10-16 1万+
在上一篇文章中我们通过枚举特征码的方式找到了DPC定时器基址并输出了内核中存在的定时器列,本章将学习如何通过特征码定位的方式寻找Windows 10系统下面的内核句柄地址。首先引入一段基础概念;windowsPspCidTable 就是这样的一种(内核句柄)的内部存放的是进程EPROCESS和线程ETHREAD的内核对象,并通过进程PID和线程TID进行索引,ID号以4递增,内核句柄不属于任何进程,也不连接在系统的句柄上,通过它可以返回系统的任何对象。
EnumProcessHandle.rar(枚举进程句柄)MFC
10-13
通过调用ProcessHandleEnumDll实现遍历某一个进程的所有句柄,需要管理员身份运行,显示当前系统进程,可通过右键选择要查看的进程项,或在下方Edit输入10进制PID查看句柄,适用场景:需要查看进场当前句柄项,又无法进行调试器调试时,相对于使用调试器附加查看句柄,更快更高效也更安全
枚举进程句柄
xbgprogrammer的专栏
05-20 4372
目前正在做的项目进行性能测试,被通知进程句柄数已经
枚举进程内核句柄
Debug Hacker
12-01 1788
最近由于有一点点的时间,写了一个小工具,主要目的是总结前段时间对内核句柄的一些学习,功能很简单,类似于Process Explorer查看进程句柄的方法,在win7 x64上测试通过,效果如下图: 注意有些路径为空是因为x64下32位程序对64位程序用GetModuleFileNameEx获取进程的全路径是无法获取的,这个问题如果有好的解决方案欢迎推荐,自己太菜了... 代码上传到了C
(Win7) PspCidTable遍历进程句柄枚举进程
xlaomlng的博客
06-14 1530
本文出自悠然品鉴小悠,转载请注明出处http://www.youranshare.com/blog/sid/102.html 先说一下句柄是什么 在windows内核中定义了很多内核对象,像文件对象,线程对象,信号量对象啊等等;而Windows中并没有让我们直接去使用这些对象资源,而是通过句柄让我们去引用这些资源,句柄就相当于资源的数组,而句柄就是对应资源的索引,每个进程内部都有一个自己的私有...
驱动中枚举和关闭内核句柄
liwen930723的专栏
09-25 2335
WIN64AST的作者之前发布了一些教程,里面有关于关闭内核句柄的介绍,但是他忘了一件事,所以那份代码并不能真正的关闭内核句柄,而且他的代码。。。不敢用在项目里。有人在看雪上问过类似问题,我也回答过,在vista之后,windows会检查内核句柄值得有效性,也就是为什么下面我提供的代码中会有这一行: *(PULONG64)HandleValue |= (ULONG64)KERNEL_HANDLE...
NT内核函数枚举系统所有进程.
tangjian001的专栏
02-22 1239
//头文件部分.h #define NT_SUCCESS(status)          ((NTSTATUS)(status)>=0) #define STATUS_INFO_LENGTH_MISMATCH ((NTSTATUS)0xC0000004L) #define STATUS_ACCESS_DENIED        ((NTSTATUS)0xC0000022L) #def
内核枚举进程总结
zhuhuibeishadiao
05-02 3678
我知道的有三种方法 这里的第三种和第二种是一样的 隐藏进程也可以在这么做手脚 但需要注意多线程,在操作前,理应加锁 可以参考这篇文章 http://blog.youkuaiyun.com/zfdyq0/article/details/41813747 1.暴力枚举进程 通过PsLookupProcessByProcessId获得EPROCESS 第一个参数我们使用循环 填入0~6553
枚举任意进程内核对象句柄的方法
Hanxinyi930702的博客
09-07 706
原理: 调用ntdll的一个导出函数ZwQuerySystemInformation可以获取一些重要信息,函数定义如下: 1 NTSTATUS WINAPI ZwQuerySystemInformation( 2 _In_ SYSTEM_INFORMATION_CLASS SystemInformationClass, 3 _Inout_ PVOID...
易语言实现内核对象句柄枚举的源码分析
使用易语言的源码,尤其是涉及系统级操作的源码,比如枚举内核对象句柄的源码,对学习和理解操作系统工作原理、编程语言与系统API交互等有着极大的帮助。通过阅读和修改这些源码,程序员可以更深入地理解操作系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

KookNut39

感谢您请我喝咖啡哈哈哈哈

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值