[求助] NtQuerySystemInformation 获取系统句柄问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
Boring勇哥雪币： 4119 活跃值： (1500) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 77 粉丝 5 关注私信	Boring勇哥 2020-5-24 19:32 2 楼 0 要看进程权限的
叁毛雪币： 17 活跃值： (278) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 215 粉丝 2 关注私信	叁毛 1 2020-5-24 21:59 3 楼 0 获取下调试特权
lg好人雪币： 158 活跃值： (339) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 47 粉丝 1 关注私信	lg好人 2020-5-24 23:21 4 楼 0 我用了提权的，但是还是一样的效果 win10 64 系统最后于 2020-5-24 23:22 被lg好人编辑，原因：
拍拖雪币： 1790 活跃值： (2879) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 256 粉丝 9 关注私信	拍拖 2 2020-5-25 09:25 5 楼 0 我记得好像是SYSTEM_HANDLE_INFORMATION返回的子结构SYSTEM_HANDLE_TABLE_ENTRY_INFO里的USHORT UniqueProcessId等在新的系统下会导致数值超出。好像会导致遍历时返回的ID有问题。早ProcessHacker的源码里特别针对该问题在自己的驱动里重新实现了该功能。
lg好人雪币： 158 活跃值： (339) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 47 粉丝 1 关注私信	lg好人 2020-5-25 10:13 6 楼 0 发现进程ID 大于 65535 就不能获取，咋会这样呢怎么获取所有进程呢？最后于 2020-5-25 10:15 被lg好人编辑，原因：
hzqst 雪币： 12837 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 539 关注私信	hzqst 3 2020-5-25 10:32 7 楼 0 lg好人发现 进程ID 大于 65535 就不能获取，咋会这样呢怎么获取所有进程呢？上驱动，具体参考ProcessHacker
lg好人雪币： 158 活跃值： (339) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 47 粉丝 1 关注私信	lg好人 2020-5-25 11:07 8 楼 0 hzqst 上驱动，具体参考ProcessHacker r3有办法解决没
hzqst 雪币： 12837 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 539 关注私信	hzqst 3 2020-5-25 12:19 9 楼 1 lg好人 r3有办法解决没 typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO_EX { PVOID Object; ULONG_PTR UniqueProcessId; ULONG_PTR HandleValue; ULONG GrantedAccess; USHORT CreatorBackTraceIndex; USHORT ObjectTypeIndex; ULONG HandleAttributes; ULONG Reserved; } SYSTEM_HANDLE_TABLE_ENTRY_INFO_EX, PSYSTEM_HANDLE_TABLE_ENTRY_INFO_EX; typedef struct _SYSTEM_HANDLE_INFORMATION_EX { ULONG_PTR NumberOfHandles; ULONG_PTR Reserved; SYSTEM_HANDLE_TABLE_ENTRY_INFO_EX Handles[1]; } SYSTEM_HANDLE_INFORMATION_EX, PSYSTEM_HANDLE_INFORMATION_EX; 最后于 2020-5-25 12:22 被hzqst编辑，原因：
Boring勇哥雪币： 4119 活跃值： (1500) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 77 粉丝 5 关注私信	Boring勇哥 2020-5-25 12:31 10 楼 0 PSYSTEM_HANDLE_INFORMATION_EX shi = nullptr; DWORD tmp = 0; size = 0; NTSTATUS stat; while (true) { if ((stat = NtQuerySystemInformation(SystemExtendedHandleInformation, shi, size, &tmp)) != STATUS_INFO_LENGTH_MISMATCH) break; if (shi)delete[] reinterpret_cast<LPVOID>(shi); size = tmp + sizeof(SYSTEM_HANDLE_INFORMATION_EX) * 50; shi = reinterpret_cast<PSYSTEM_HANDLE_INFORMATION_EX>(new char[size]); } //获取失败 if (!NT_SUCCESS(stat)) { if (shi)delete[] reinterpret_cast<LPVOID>(shi); return; } //成功
lg好人雪币： 158 活跃值： (339) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 47 粉丝 1 关注私信	lg好人 2020-5-25 13:11 11 楼 0 现在可以了，谢谢
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

Boring勇哥

雪币： 4119

活跃值： (1500)

能力值：

( LV3，RANK：30 )

在线值：

发帖

3

回帖

77

粉丝

5

关注

私信

Boring勇哥 2020-5-24 19:32: 2 楼
0

要看进程权限的

叁毛

雪币： 17

活跃值： (278)

能力值：

( LV5，RANK：60 )

在线值：

发帖

10

回帖

215

粉丝

2

关注

私信

叁毛 1 2020-5-24 21:59: 3 楼
0

获取下调试特权

lg好人

雪币： 158

活跃值： (339)

能力值：

( LV2，RANK：10 )

在线值：

发帖

20

回帖

47

粉丝

1

关注

私信

lg好人 2020-5-24 23:21: 4 楼
0

我用了提权的，但是还是一样的效果

win10 64 系统

最后于 2020-5-24 23:22 被lg好人编辑，原因：

拍拖

雪币： 1790

活跃值： (2879)

能力值：

( LV6，RANK：90 )

在线值：

发帖

22

回帖

256

粉丝

9

关注

私信

拍拖 2 2020-5-25 09:25: 5 楼
0

我记得好像是SYSTEM_HANDLE_INFORMATION返回的子结构SYSTEM_HANDLE_TABLE_ENTRY_INFO里的USHORT UniqueProcessId等在新的系统下会导致数值超出。好像会导致遍历时返回的ID有问题。
早ProcessHacker的源码里特别针对该问题在自己的驱动里重新实现了该功能。

lg好人

雪币： 158

活跃值： (339)

能力值：

( LV2，RANK：10 )

在线值：

发帖

20

回帖

47

粉丝

1

关注

私信

lg好人 2020-5-25 10:13: 6 楼
0

发现进程ID 大于 65535 就不能获取，咋会这样呢

怎么获取所有进程呢？

最后于 2020-5-25 10:15 被lg好人编辑，原因：

hzqst

雪币： 12837

活跃值： (8998)

能力值：

( LV9，RANK：280 )

在线值：

发帖

47

回帖

1803

粉丝

539

关注

私信

hzqst 3 2020-5-25 10:32: 7 楼
0

lg好人发现 进程ID 大于 65535 就不能获取，咋会这样呢怎么获取所有进程呢？

上驱动，具体参考ProcessHacker

lg好人

雪币： 158

活跃值： (339)

能力值：

( LV2，RANK：10 )

在线值：

发帖

20

回帖

47

粉丝

1

关注

私信

lg好人 2020-5-25 11:07: 8 楼
0

hzqst 上驱动，具体参考ProcessHacker

r3有办法解决没

hzqst

雪币： 12837

活跃值： (8998)

能力值：

( LV9，RANK：280 )

在线值：

发帖

47

回帖

1803

粉丝

539

关注

私信

hzqst 3 2020-5-25 12:19: 9 楼
1

lg好人 r3有办法解决没

typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO_EX {    
	PVOID Object;    
	ULONG_PTR UniqueProcessId;    
	ULONG_PTR HandleValue;    
	ULONG GrantedAccess;    
	USHORT CreatorBackTraceIndex;    
	USHORT ObjectTypeIndex;    
	ULONG HandleAttributes;    
	ULONG Reserved;    
} SYSTEM_HANDLE_TABLE_ENTRY_INFO_EX, *PSYSTEM_HANDLE_TABLE_ENTRY_INFO_EX;    
typedef struct _SYSTEM_HANDLE_INFORMATION_EX {    
	ULONG_PTR NumberOfHandles;    
	ULONG_PTR Reserved;    
	SYSTEM_HANDLE_TABLE_ENTRY_INFO_EX Handles[1];    
} SYSTEM_HANDLE_INFORMATION_EX, *PSYSTEM_HANDLE_INFORMATION_EX;

最后于 2020-5-25 12:22 被hzqst编辑，原因：

Boring勇哥

雪币： 4119

活跃值： (1500)

能力值：

( LV3，RANK：30 )

在线值：

发帖

3

回帖

77

粉丝

5

关注

私信

Boring勇哥 2020-5-25 12:31: 10 楼
0

PSYSTEM_HANDLE_INFORMATION_EX shi = nullptr;
DWORD tmp = 0; size = 0; NTSTATUS stat;
while (true) {
   if ((stat = NtQuerySystemInformation(SystemExtendedHandleInformation, shi, size, &tmp)) != STATUS_INFO_LENGTH_MISMATCH)
       break;
   if (shi)delete[] reinterpret_cast<LPVOID>(shi);
   size = tmp + sizeof(SYSTEM_HANDLE_INFORMATION_EX) * 50;
   shi = reinterpret_cast<PSYSTEM_HANDLE_INFORMATION_EX>(new char[size]);
}

//获取失败
if (!NT_SUCCESS(stat)) {
    if (shi)delete[] reinterpret_cast<LPVOID>(shi);
    return;
}
//成功

lg好人

雪币： 158

活跃值： (339)

能力值：

( LV2，RANK：10 )

在线值：

发帖

20

回帖

47

粉丝

1

关注

私信

lg好人 2020-5-25 13:11: 11 楼
0

现在可以了，谢谢