[原创]在三环下获取指定进程中所有的句柄信息，并列出内核对象地址-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]在三环下获取指定进程中所有的句柄信息，并列出内核对象地址

发表于: 2023-5-20 13:16 8397

[原创]在三环下获取指定进程中所有的句柄信息，并列出内核对象地址

nb_cracker 活跃值

2023-5-20 13:16

8397

#include <iostream>
#include <Windows.h>
#include <winternl.h>
 
#define SystemHandleInformation 0x10
#define SystemHandleInformationSize 1024 * 1024 * 20
 
using fNtQuerySystemInformation = NTSTATUS(WINAPI*)(
    ULONG SystemInformationClass,
    PVOID SystemInformation,
    ULONG SystemInformationLength,
    PULONG ReturnLength
);
 
// handle information
typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO
{
    USHORT UniqueProcessId;
    USHORT CreatorBackTraceIndex;
    UCHAR ObjectTypeIndex;
    UCHAR HandleAttributes;
    USHORT HandleValue;
    PVOID Object;
    ULONG GrantedAccess;
} SYSTEM_HANDLE_TABLE_ENTRY_INFO, *PSYSTEM_HANDLE_TABLE_ENTRY_INFO;
 
// handle table information
typedef struct _SYSTEM_HANDLE_INFORMATION
{
    ULONG NumberOfHandles;
    SYSTEM_HANDLE_TABLE_ENTRY_INFO Handles[1];
} SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION;
 
int main()
{
    ULONG returnLength = 0;
    fNtQuerySystemInformation NtQuerySystemInformation = (fNtQuerySystemInformation)GetProcAddress(GetModuleHandle(L"ntdll"), "NtQuerySystemInformation");
    PSYSTEM_HANDLE_INFORMATION handleTableInformation = (PSYSTEM_HANDLE_INFORMATION)HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, SystemHandleInformationSize);
    NtQuerySystemInformation(SystemHandleInformation, handleTableInformation,SystemHandleInformationSize, &returnLength);
 
    for (int i = 0; i < handleTableInformation->NumberOfHandles; i++)
    {
        SYSTEM_HANDLE_TABLE_ENTRY_INFO handleInfo = (SYSTEM_HANDLE_TABLE_ENTRY_INFO)handleTableInformation->Handles[i];
        //指定进程的PID, 16进制的形式
        if (handleInfo.UniqueProcessId == 0x1234)
        {
            printf_s("Handle 0x%x at 0x%p, PID: %x\n", handleInfo.HandleValue, handleInfo.Object, handleInfo.UniqueProcessId);
        }
        else
        {
            break;
        }
    }
 
    return 0;
}

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

最后于 2023-5-20 21:59 被nb_cracker编辑，原因：

#基础知识 #系统内核

收藏・2

免费・0

支持

最新回复 (5)
秋狝雪币： 3004 活跃值： (30861) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 2 楼感谢分享 2023-5-20 16:13 1
htpidk 雪币： 7353 活跃值： (4050) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 278 粉丝 1 关注私信	htpidk 3 楼怎么这么像CHATGPT的文章 2023-5-20 18:33 0
syser 雪币： 3552 活跃值： (4694) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 231 粉丝 8 关注私信	syser 4 楼 htpidk 怎么这么像CHATGPT的文章不是像,就是 2023-5-20 18:48 0
黑洛雪币： 6124 活跃值： (4656) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 5 楼你这个代码是有问题的，不像是验证过的 2023-8-27 04:07 0
yulon 雪币： 281 活跃值： (704) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 1 关注私信	yulon 6 楼 nb cracker 2023-8-27 10:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

nb_cracker

发帖

回帖

RANK

关注

私信

他的文章

[原创]在三环下获取指定进程中所有的句柄信息，并列出内核对象地址 8398

关于我们

联系我们

企业服务

看雪公众号

最新回复 (5)
秋狝雪币： 3004 活跃值： (30861) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 2 楼感谢分享 2023-5-20 16:13 1
htpidk 雪币： 7353 活跃值： (4050) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 278 粉丝 1 关注私信	htpidk 3 楼怎么这么像CHATGPT的文章 2023-5-20 18:33 0
syser 雪币： 3552 活跃值： (4694) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 231 粉丝 8 关注私信	syser 4 楼 htpidk 怎么这么像CHATGPT的文章不是像,就是 2023-5-20 18:48 0
黑洛雪币： 6124 活跃值： (4656) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 5 楼你这个代码是有问题的，不像是验证过的 2023-8-27 04:07 0
yulon 雪币： 281 活跃值： (704) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 1 关注私信	yulon 6 楼 nb cracker 2023-8-27 10:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复