[求助][讨论]使用ZwQuerySystemInformation枚举进程句柄-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助][讨论]使用ZwQuerySystemInformation枚举进程句柄

发表于: 2011-8-25 14:49 7311

[求助][讨论]使用ZwQuerySystemInformation枚举进程句柄

s朽木s

2011-8-25 14:49

7311

在用上述Native API在用户层枚举指定进程的句柄时遇到难题，
调用ZwQuerySystemInformation枚举句柄，返回SYSTEM_HANDLE_INFOMATION结构体buf指针。从Undocument查到该结构如下

typedef struct _SYSTEM_HANDLE_INFORMATION

{

ULONG          ProcessId;

UCHAR          ObjectTypeNumber;

UCHAR          Flags;

USHORT          Handle;

PVOID          Object;

ACCESS_MASK       GrantedAccess;

} SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION;

网上有方法如下：
获得句柄数
NumOfHandle = *(ULONG*)buf;//此处为何得到句柄数？？？？
得到结构体数组
h_info = ( PSYSTEM_HANDLE_INFORMATION )((ULONG)buf+4);

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (1)
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 2 楼原始的buffer而样式 +0 SIZE_T Count; +4 SYSTEM_HANDLE_INFORMATION info[Count]; 2011-8-25 17:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

s朽木s

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 2 楼原始的buffer而样式 +0 SIZE_T Count; +4 SYSTEM_HANDLE_INFORMATION info[Count]; 2011-8-25 17:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复