NtQueryObject 在 win8 x86 x64 下获取不到指定句柄文件名的原因

最新推荐文章于 2023-11-20 15:52:29 发布
原创 最新推荐文章于 2023-11-20 15:52:29 发布 · 1.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Windows 8 #研发管理

本文详细记录了在Win8系统中使用NtQueryInformationFile列出所有句柄,通过NtQueryObject找到指定句柄文件名并进行文件拷贝的操作中遇到的问题,特别指出Win8系统下ObjectTypeNumber不再等于28,导致获取文件名失败。提供了解决方案和相关解释。

由于研发的需要,碰到了这样一个问题,用 NtQueryInformationFile 列出系统的所有句柄,然后通过 NtQueryObject 找到指定句柄的文件名,将文件拷贝出来。但是 在 win8 x86  x64 下却获取不到指定句柄文件名,在国外论坛 与 MSDN 中到处疯狂搜索都没找到原因。调试了 N 次,才发现在 win8 x86  x64 系统下 ObjectTypeNumber不再等于 28,  win7 x32 type:28  win8 x32 type:31   win8 x64 type:30.


记录下来,总有人需要!

NtQueryObject 卡死
weixin_33937778的博客
12-19 384
2019独角兽企业重金招聘Python工程师标准>>> ...
NtQueryObject 获得内核对象的信息
kinghzking的专栏
12-09 6569
一个内核对象有两个计数器:一个是句柄计数,句柄是给用户态用的;另一个是指针计数,也叫引用计数,因为核心态也常常用到内核对象,为了方便,在核心态的代码用指针直接访问对象,所以Object Manager维护了这个指针引用计数。只有在句柄计数和引用计数都为0时,对象才被释放。一般而言,指针引用计数值比句柄计数值大。 再进一步,实际上,在用户态其实是可以查询一个内核对象的句柄计数和引用计数
NtQueryObject 函数
93Storm
04-25 4330
若翻译出现错误,请指出,本人会即时改正。 这个函数未来可能会改变或者从windows中移除,但是不会通告你。(微软有多贱,我嘞个草了) 函数声明: NTSTATUS NtQueryObject( _In_opt_  HANDLE  Handle, _In_        OBJECT_INFORMATION_CLASS objectInformationClass, _Out_opt_
Ring3 调用 NtQueryObject 获得文件句柄对应的对象名时调用线程死锁的原因
商少
10-03 2343
之前遗留的一个问题http://blog.youkuaiyun.com/qq_18218335/article/details/76400680         之前实现Ring3 查找文件占用的时候发现对部分句柄进行NtQueryObject 操作的时候会造成调用者线程挂起,从Ring3 解决问题的方法就是生成一个单独的工作线程,代替我们执行NtQueryObject 函数,如果工作线程挂起,则调用Kill
查看文件被占用的进程 NtQueryObject NtQueryInformationFile NtQuerySystemInformation
linuxsmallping的专栏
06-22 4603
#pragma once #include #include #include #include #include #include #include using namespace std; #include typedef std::basic_stringTCHAR, std::char_traitsTCHAR>, std::allocatorTCHAR>> tstring; #inclu
精选资源
Mirage:内核模式的Anti-Anti-Debug插件。 基于intel vt-x && ept技术
02-06
5. **兼容性处理**:由于不同的反调试策略各异,Mirage需要能够适应多种情况,包括但不限于x86x64架构,以及各种调试工具(如Cutter、Windbg、x64dbg、x32dbg、Ghidra等)。 Mirage的出现,为安全研究人员提供了...
商业编程-源码-获取Win系统中打开的文件清单.zip
06-23
4. **获取文件名**:对于每个模块句柄,可以调用`NtQueryObject` 或 ` ZwQueryInformationFile` API,获取句柄对应的文件路径。请注意,这一步可能需要一些权限,可能需要以管理员身份运行程序。 5. **处理结果**:...
精选资源
枚举进程句柄.rar
02-01
这个"枚举进程句柄.rar"文件包含了一个用Delphi编写的示例程序,它展示了如何枚举并查看指定进程中的文件句柄、Mutex(互斥量)以及注册表句柄。以下是对这些知识点的详细解释: 1. **进程句柄**:在操作系统中,...
精选资源
ColdHide是适用于Windows的迷你,简单的开源用户模式反反调试库x86 / x64-C/C++开发
05-27
ColdHide是适用于Windows的小型,简单的开源用户模式反反调试库x86 / x64。 要注入此库,请尝试使用ColdMDLoader。 ColdHide ColdHide是适用于Windows的小型,简单的开源用户模式反反调试库x86 / x64。 要注入此库,...
精选资源
枚举当前系统的所有已打开文件的句柄handle及句柄对应的文件路径.zip
03-19
4. 对于每个找到的句柄,使用`NtQueryObject`函数获取对象的类型信息,确认它是文件句柄。 5. 如果句柄是文件句柄,可以调用` ZwQueryInformationFile `函数获取文件的路径信息。 6. 将句柄和对应文件路径记录到日志...
【升级】易语言文件解锁(关闭句柄法)-易语言
06-12
前言 上一次发布过的程序:【首发】检测文件的占用,具有学习和商业价值(By超级用户),可以使用,仿电脑管家 正文 对于怎么枚举文件句柄 ,上一帖子对此有介绍,核心代码大概如下:如果 (ZwQueryObject (handle, #ObjectTypeInformation, unicode, 0, size) ≠ #STATUS_INVALID_HANDLE )' 只要不是无效的,为什么,详细看下面的注释 ' 参数 ' Handle ' 对象的一个句柄获取信息。 ' ObjectInformationClass ' 指定一个OBJECT_INFORMATION_CLASS返回值的类型决定了信息在ObjectInformation缓冲区。 ' ObjectInformation ' 一个指向caller-allocated缓冲接收请求的信息。 ' ObjectInformationLength ' 指定的大小,以字节为单位,ObjectInformation缓冲区。 ' ReturnLength ' 一个指向变量的指针,接收的大小,以字节为单位,请求的关键信息。如果NtQueryObject STATUS_SUCCESS返回,返回的变量包含的数据量。如果NtQueryObject返回STATUS_BUFFER_OVERFLOW或STATUS_BUFFER_TOO_SMALL,您可以使用变量的值来确定所需的缓冲区大小。 ' 返回值 ' NtQueryObject返回STATUS_SUCCESS或适当的错误状态。可能的错误状态码包括以下: ' 返回代码 描述 ' STATUS_ACCESS_DENIED ' 有足够的权限来执行该cha询。 ' STATUS_INVALID_HANDLE ' 提供对象句柄无效。 ' STATUS_INFO_LENGTH_MISMATCH ' 信息长度不足以容纳数据。 unicode = 取空白字节集 (size) ZwQueryObject (handle, #ObjectTypeInformation, unicode, size, 0)' 读取信息的unicode文本 RtlUnicodeStringToAnsiString (ansi, unicode, 真)' 编码转换 ' RtlUnicodeStringToAnsiString例程将给定Unicode字符串转换成一个ANSI字符串。 str = 指针到文本 (ansi.Buffer) ' RtlFreeAnsiString常规版本存储由RtlUnicodeStringToAnsiString分配。 ' 参数 ' AnsiString ' 指针ANSI字符串缓冲区由RtlUnicodeStringToAnsiString以前分配的。 RtlFreeAnsiString (ansi) str = “无法获取”' 无效的怎么获取…… 返回 (str) 这一次呢更新了一个RemoteCloseHandle ,大概的原理是什么呢? 同时也采用了一些比较骚的方法,这种方法的限制较多,但是对于32位进程就很有效果。 NtClose在MSDN的大概介绍 1. NtClose is a generic routine that operates on any type of object. 2. Closing an open object handle causes that handle to become invalid. The system also decrements the handle count for the object and checks whether the object can be deleted. The system does not actually delete the object until all of the object's handles are closed and no referenced pointers remain. 3. A driver must close every handle that it opens as soon as the handle is no longer required. Kernel handles, which are those that are opened by a system thread or by specifying the OBJ_KERNEL_HANDLE flag, can be closed only when the previous processor mo
NtQueryObject遍历进程(死锁)与管道冲突的解决方案
waykd的博客
03-31 1421
在一次注入使用命名管道进行进程间通讯的案例中需要使用NtQueryObject遍历进程互斥锁情况,期间发现一个问题,NtQueryObject查询到管道时候会死锁,网上也有很多资料介绍NtQueryObject死锁的情况,不过解决方案不是很明确这里记录下解决办法在时候NtQueryObject打开进程关联句柄时,先使用CreateFileMapping假定创建文件句柄,如果创建成功,返回,当然假如...
利用NtDuplicateObject进行Dump
二狗的博客
08-10 621
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。(本文仅用于交流学习)这是国外老哥2020年提出的一种蛮有意思的思路。我们先来看看大致的思路是什么样子的,然后来看看一些需要学习的点。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 4148
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
静态反调试技术
weixin_30242907的博客
03-05 250
@author: dlive 0x01 PEB PEB中与反调试技术密切相关的成员有如下几个 +0x002 BeingDebugged; UChar +0x00c Ldr ; Ptr32 _PEB_LDR_DATA +0X018 ProcessHeap ; Ptr32 Void +0x068 NtGlobalFlag ; Uint4B BeingDebugged成员是一个标志,...
深入学习System.SysUtils.pas
pulledup的博客
10-12 1811
深入学习System.SysUtils.pas 1、 // 求Unicode字符串的字节长度: function ByteLength(const S: string): Integer; inline; 2、 const netapi = 'netapi32.dll'; NERR_Success = 0; //Win32获取当前计算机所加入的工作组(WorkGroup...
Windows 句柄泄露学习总结
bcbobo21cn的专栏
03-19 9107
句柄泄露实例分析 http://www.cnblogs.com/Leo_wl/p/5397274.html 在上篇文章.NET对象与Windows句柄(二):句柄分类和.NET句柄泄露的例子中,我们有一个句柄泄露的 例子。例子中多次创建和Dispose了DataReceiver和DataAnalyzer对象,但由于忘记调用DataAnalyzer的 Stop方法,导
C++强制关闭串口占有句柄
功夫再高也怕菜刀 充分体现了科技的力量
02-06 3086
编码环境:VS2008源码下载地址:下载源码源码如下:头文件 NTStruct.h#pragma once#include typedef LONG NTSTATUS;typedef enum _SYSTEM_INFORMATION_CLASS{SystemBasicInformation=0,SystemProcessorInformation=1,SystemModuleInformation
句柄泄露
maomao171314的专栏
07-31 4190
介绍   欢迎来到这个调试教程系列的第5篇。在这篇文章,我们会介绍Windows中的句柄,什么是句柄以及怎么调试句柄泄露。在读这篇文章之前,我希望你对前4篇文章掌握的都还不错。这一系列的文章并不是在重复WinDbg/NTSD的帮助文件,而是介绍实实在在的问题,它们是怎么一回事,以及如何解决它们。   什么是句柄   对于一个程序来说,句柄就是设备,文件,或其它一些系统对象或资源的实例。程序
怎么判断一个句柄在不在枚举内
最新发布
09-05
<think> 我们需要判断一个句柄(handle)是否在某个枚举(enum)定义的范围内。在不同的编程语言中,枚举的实现和检查方式可能不同。这里以C语言为例,因为枚举在C中较为基础,且问题可能涉及底层操作。 在C语言中,枚举本质上是整型常量,编译器会将枚举成员替换为对应的整数值。因此,一个枚举类型定义了一组连续的或不连续的整数常量。要判断一个整数值(句柄可能用整数表示)是否属于某个枚举,我们通常需要考虑以下情况: 1. **枚举是连续的**:例如,`enum { A=0, B=1, C=2 }`,那么值0、1、2都在枚举内。 2. **枚举是非连续的**:例如,`enum { A=0, B=2, C=5 }`,那么值0、2、5在枚举内,但1、3、4则不在。 由于枚举在编译后就是整数,所以C语言本身没有提供直接的方法来检查一个整数是否为某个枚举的有效值。因此,我们需要手动实现检查。 ### 方法 #### 1. 定义检查函数 我们可以编写一个函数,检查给定整数是否在枚举定义的值集合中。例如: ```c typedef enum { HANDLE_TYPE_A = 0, HANDLE_TYPE_B = 1, HANDLE_TYPE_C = 2, HANDLE_TYPE_MAX // 作为边界标记 } handle_type_t; // 检查handle值是否在枚举范围内 int is_valid_handle(int handle) { return (handle >= HANDLE_TYPE_A && handle < HANDLE_TYPE_MAX); } ``` 这种方法适用于连续枚举,并且要求枚举的最后有一个最大值标记(通常通过添加一个额外的枚举成员)。 #### 2. 非连续枚举的检查 如果枚举值非连续,我们可以使用一个有效值数组,然后检查给定的值是否在数组中。 ```c typedef enum { HANDLE_TYPE_A = 0, HANDLE_TYPE_B = 2, HANDLE_TYPE_C = 5 } handle_type_t; static const int valid_handles[] = { HANDLE_TYPE_A, HANDLE_TYPE_B, HANDLE_TYPE_C }; int is_valid_handle(int handle) { for (int i = 0; i < sizeof(valid_handles)/sizeof(valid_handles[0]); i++) { if (valid_handles[i] == handle) { return 1; // 有效 } } return 0; // 无效 } ``` #### 3. 使用宏自动生成(高级技巧) 如果枚举值可能变动,我们可以考虑使用宏来简化维护。例如: ```c #define VALID_HANDLES \ H(HANDLE_TYPE_A) \ H(HANDLE_TYPE_B) \ H(HANDLE_TYPE_C) typedef enum { HANDLE_TYPE_A = 0, HANDLE_TYPE_B = 2, HANDLE_TYPE_C = 5 } handle_type_t; // 定义函数 int is_valid_handle(int handle) { // 使用宏展开有效值比较 #define H(x) if (handle == x) return 1; VALID_HANDLES #undef H return 0; } ``` ### 注意事项 - **枚举的底层类型**:在C++11及以上,可以使用枚举类(enum class)并指定底层类型,但同样需要自己实现检查。 - **句柄的含义**:句柄可能不仅仅是一个枚举值,也可能是一个指针或其他类型,需要根据上下文确定。如果句柄是指针,则不能直接用上述方法判断。 - **性能考虑**:如果枚举值很多且非连续,线性查找可能影响性能,可以考虑使用哈希表或二分查找(如果有效值有序)。 ### 其他语言 - **C#**:可以使用`Enum.IsDefined`方法。 - **Java**:可以通过`EnumSet`或遍历枚举常量。 - **Python**:使用`Enum`时,可以用`isinstance(value, EnumType)`或检查值是否在`list(EnumType)`中。 ### 总结 在C语言中,由于枚举在编译后就是整数,且没有内置的检查机制,我们需要根据枚举是否连续来设计检查函数。对于连续枚举,可以通过范围检查;对于非连续枚举,需要手动列出有效值或使用宏来辅助。 §§相关问题§§ 1. 在C语言中,如何确保新增枚举成员后,枚举值检查函数能自动更新? 2. 如果枚举值与系统错误码重叠,如何避免检查时产生冲突? 3. 在C++11的强类型枚举(enum class)中,判断一个整数是否属于枚举的方法有何不同? 4. 对于非连续的大型枚举(如超过100个值),如何优化检查函数的性能? 5. 在Windows API编程中,句柄(HANDLE)通常是指针类型,能否用类似方法检查其有效性?如果不能,通常采用什么方式? </think> ### 如何判断句柄是否在枚举范围内 判断句柄是否在枚举范围内需要根据编程语言和具体场景采用不同方法。以下是常见实现方式: #### 1. C/C++ 中的标准方法 ```c // 假设枚举定义 typedef enum { HANDLE_FILE = 0x1000, HANDLE_SOCKET = 0x2000, HANDLE_MEMORY = 0x3000, HANDLE_MAX // 作为边界标记 } HandleType; // 检查函数 bool IsValidHandle(HandleType handle) { // 检查是否在连续范围内 return (handle >= HANDLE_FILE && handle < HANDLE_MAX); } // 针对非连续枚举的位掩码检查 #define VALID_HANDLE_MASK 0xF000 bool IsHandleInEnum(uint32_t handle) { return ((handle & VALID_HANDLE_MASK) != 0); } ``` #### 2. C++11/17 更安全的检查 ```cpp #include <type_traits> #include <array> enum class SafeHandle : uint32_t { File = 0x1000, Socket = 0x2000, Memory = 0x3000 }; // 编译时检查(C++17) template<typename T> constexpr bool IsValidHandleType(T value) { static_assert(std::is_enum_v<T>, "Requires enum type"); switch(value) { case SafeHandle::File: case SafeHandle::Socket: case SafeHandle::Memory: return true; default: return false; } } // 运行时检查 bool ValidateHandle(uint32_t raw) { constexpr std::array validValues = { static_cast<uint32_t>(SafeHandle::File), static_cast<uint32_t>(SafeHandle::Socket), static_cast<uint32_t>(SafeHandle::Memory) }; return std::find(validValues.begin(), validValues.end(), raw) != validValues.end(); } ``` #### 3. C# 的专用方法 ```csharp // 定义枚举 public enum HandleType { File = 0x1000, Socket = 0x2000, Memory = 0x3000 } // 检查方法 bool IsValidHandle(HandleType handle) { return Enum.IsDefined(typeof(HandleType), handle); } // 包含位标志的检查 [Flags] public enum HandleFlags { Readable = 1, Writable = 2, Executable = 4 } bool IsValidFlagCombination(HandleFlags flags) { const HandleFlags allValid = HandleFlags.Readable | HandleFlags.Writable | HandleFlags.Executable; return (flags & ~allValid) == 0; } ``` #### 4. 系统级句柄的特殊检查(Windows API) ```c #include <windows.h> bool IsSystemHandleValid(HANDLE h) { if (h == INVALID_HANDLE_VALUE || h == NULL) return false; // 尝试获取对象信息(真实环境需错误处理) BYTE buffer[sizeof(OBJECT_BASIC_INFORMATION)] = {0}; ULONG retLength = 0; NTSTATUS status = NtQueryObject( h, ObjectBasicInformation, buffer, sizeof(buffer), &retLength ); return NT_SUCCESS(status); } ``` #### 关键注意事项 1. **边界处理**:始终定义明确的枚举边界值(如 `MAX_HANDLE`) 2. **类型安全**:C++优先使用 `enum class` 避免隐式转换 3. **位标志验证**:位运算枚举需验证组合有效性 4. **系统句柄特殊性**:系统句柄需使用API验证,不能仅靠值判断 5. **性能考量**:高频调用场景避免线性搜索,使用位掩码或跳表
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值