[求助] NtQuerySystemInformation 获取系统句柄问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
Boring勇哥雪币： 4154 活跃值： (1535) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 79 粉丝 5 关注私信	Boring勇哥 2 楼要看进程权限的 2020-5-24 19:32 0
叁毛雪币： 7 活跃值： (333) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 213 粉丝 2 关注私信	叁毛 1 3 楼获取下调试特权 2020-5-24 21:59 0
lg好人雪币： 158 活跃值： (349) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 60 粉丝 1 关注私信	lg好人 4 楼我用了提权的，但是还是一样的效果 win10 64 系统最后于 2020-5-24 23:22 被lg好人编辑，原因： 2020-5-24 23:21 0
拍拖雪币： 1790 活跃值： (3786) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 262 粉丝 9 关注私信	拍拖 2 5 楼我记得好像是SYSTEM_HANDLE_INFORMATION返回的子结构SYSTEM_HANDLE_TABLE_ENTRY_INFO里的USHORT UniqueProcessId等在新的系统下会导致数值超出。好像会导致遍历时返回的ID有问题。早ProcessHacker的源码里特别针对该问题在自己的驱动里重新实现了该功能。 2020-5-25 09:25 0
lg好人雪币： 158 活跃值： (349) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 60 粉丝 1 关注私信	lg好人 6 楼发现进程ID 大于 65535 就不能获取，咋会这样呢怎么获取所有进程呢？最后于 2020-5-25 10:15 被lg好人编辑，原因： 2020-5-25 10:13 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 7 楼 lg好人发现 进程ID 大于 65535 就不能获取，咋会这样呢怎么获取所有进程呢？上驱动，具体参考ProcessHacker 2020-5-25 10:32 0
lg好人雪币： 158 活跃值： (349) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 60 粉丝 1 关注私信	lg好人 8 楼 hzqst 上驱动，具体参考ProcessHacker r3有办法解决没 2020-5-25 11:07 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 9 楼 lg好人 r3有办法解决没 typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO_EX { PVOID Object; ULONG_PTR UniqueProcessId; ULONG_PTR HandleValue; ULONG GrantedAccess; USHORT CreatorBackTraceIndex; USHORT ObjectTypeIndex; ULONG HandleAttributes; ULONG Reserved; } SYSTEM_HANDLE_TABLE_ENTRY_INFO_EX, PSYSTEM_HANDLE_TABLE_ENTRY_INFO_EX; typedef struct _SYSTEM_HANDLE_INFORMATION_EX { ULONG_PTR NumberOfHandles; ULONG_PTR Reserved; SYSTEM_HANDLE_TABLE_ENTRY_INFO_EX Handles[1]; } SYSTEM_HANDLE_INFORMATION_EX, PSYSTEM_HANDLE_INFORMATION_EX; 最后于 2020-5-25 12:22 被hzqst编辑，原因： 2020-5-25 12:19 1
Boring勇哥雪币： 4154 活跃值： (1535) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 79 粉丝 5 关注私信	Boring勇哥 10 楼 PSYSTEM_HANDLE_INFORMATION_EX shi = nullptr; DWORD tmp = 0; size = 0; NTSTATUS stat; while (true) { if ((stat = NtQuerySystemInformation(SystemExtendedHandleInformation, shi, size, &tmp)) != STATUS_INFO_LENGTH_MISMATCH) break; if (shi)delete[] reinterpret_cast<LPVOID>(shi); size = tmp + sizeof(SYSTEM_HANDLE_INFORMATION_EX) * 50; shi = reinterpret_cast<PSYSTEM_HANDLE_INFORMATION_EX>(new char[size]); } //获取失败 if (!NT_SUCCESS(stat)) { if (shi)delete[] reinterpret_cast<LPVOID>(shi); return; } //成功 2020-5-25 12:31 0
lg好人雪币： 158 活跃值： (349) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 60 粉丝 1 关注私信	lg好人 11 楼现在可以了，谢谢 2020-5-25 13:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Boring勇哥

雪币： 4154

活跃值： (1535)

能力值：

( LV3，RANK：30 )

在线值：

发帖

3

回帖

79

粉丝

5

关注

私信

Boring勇哥: 2 楼

要看进程权限的

2020-5-24 19:32

0

叁毛

雪币： 7

活跃值： (333)

能力值：

( LV5，RANK：60 )

在线值：

发帖

10

回帖

213

粉丝

2

关注

私信

叁毛 1: 3 楼

获取下调试特权

2020-5-24 21:59

0

lg好人

雪币： 158

活跃值： (349)

能力值：

( LV2，RANK：10 )

在线值：

发帖

20

回帖

60

粉丝

1

关注

私信

lg好人: 4 楼

我用了提权的，但是还是一样的效果

win10 64 系统

最后于 2020-5-24 23:22 被lg好人编辑，原因：

2020-5-24 23:21

0

拍拖

雪币： 1790

活跃值： (3786)

能力值：

( LV6，RANK：90 )

在线值：

发帖

22

回帖

262

粉丝

9

关注

私信

拍拖 2: 5 楼

我记得好像是SYSTEM_HANDLE_INFORMATION返回的子结构SYSTEM_HANDLE_TABLE_ENTRY_INFO里的USHORT UniqueProcessId等在新的系统下会导致数值超出。好像会导致遍历时返回的ID有问题。
早ProcessHacker的源码里特别针对该问题在自己的驱动里重新实现了该功能。

2020-5-25 09:25

0

lg好人

雪币： 158

活跃值： (349)

能力值：

( LV2，RANK：10 )

在线值：

发帖

20

回帖

60

粉丝

1

关注

私信

lg好人: 6 楼

发现进程ID 大于 65535 就不能获取，咋会这样呢

怎么获取所有进程呢？

最后于 2020-5-25 10:15 被lg好人编辑，原因：

2020-5-25 10:13

0

hzqst

雪币： 12848

活跃值： (9147)

能力值：

( LV9，RANK：280 )

在线值：

发帖

47

回帖

1793

粉丝

569

关注

私信

hzqst 3: 7 楼

lg好人发现 进程ID 大于 65535 就不能获取，咋会这样呢怎么获取所有进程呢？

上驱动，具体参考ProcessHacker

2020-5-25 10:32

0

lg好人

雪币： 158

活跃值： (349)

能力值：

( LV2，RANK：10 )

在线值：

发帖

20

回帖

60

粉丝

1

关注

私信

lg好人: 8 楼

hzqst 上驱动，具体参考ProcessHacker

r3有办法解决没

2020-5-25 11:07

0

hzqst

雪币： 12848

活跃值： (9147)

能力值：

( LV9，RANK：280 )

在线值：

发帖

47

回帖

1793

粉丝

569

关注

私信

hzqst 3: 9 楼

lg好人 r3有办法解决没

typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO_EX {    
	PVOID Object;    
	ULONG_PTR UniqueProcessId;    
	ULONG_PTR HandleValue;    
	ULONG GrantedAccess;    
	USHORT CreatorBackTraceIndex;    
	USHORT ObjectTypeIndex;    
	ULONG HandleAttributes;    
	ULONG Reserved;    
} SYSTEM_HANDLE_TABLE_ENTRY_INFO_EX, *PSYSTEM_HANDLE_TABLE_ENTRY_INFO_EX;    
typedef struct _SYSTEM_HANDLE_INFORMATION_EX {    
	ULONG_PTR NumberOfHandles;    
	ULONG_PTR Reserved;    
	SYSTEM_HANDLE_TABLE_ENTRY_INFO_EX Handles[1];    
} SYSTEM_HANDLE_INFORMATION_EX, *PSYSTEM_HANDLE_INFORMATION_EX;

最后于 2020-5-25 12:22 被hzqst编辑，原因：

2020-5-25 12:19

1

Boring勇哥

雪币： 4154

活跃值： (1535)

能力值：

( LV3，RANK：30 )

在线值：

发帖

3

回帖

79

粉丝

5

关注

私信

Boring勇哥: 10 楼

PSYSTEM_HANDLE_INFORMATION_EX shi = nullptr;
DWORD tmp = 0; size = 0; NTSTATUS stat;
while (true) {
   if ((stat = NtQuerySystemInformation(SystemExtendedHandleInformation, shi, size, &tmp)) != STATUS_INFO_LENGTH_MISMATCH)
       break;
   if (shi)delete[] reinterpret_cast<LPVOID>(shi);
   size = tmp + sizeof(SYSTEM_HANDLE_INFORMATION_EX) * 50;
   shi = reinterpret_cast<PSYSTEM_HANDLE_INFORMATION_EX>(new char[size]);
}

//获取失败
if (!NT_SUCCESS(stat)) {
    if (shi)delete[] reinterpret_cast<LPVOID>(shi);
    return;
}
//成功

2020-5-25 12:31

0

lg好人

雪币： 158

活跃值： (349)

能力值：

( LV2，RANK：10 )

在线值：

发帖

20

回帖

60

粉丝

1

关注

私信

lg好人: 11 楼

现在可以了，谢谢

2020-5-25 13:11

0