导航
  • 全部
...

(继续) 关于枚举系统中内核对象的一些问题

yxwsbobo 2010-02-09 10:33:05
NT_SUCCESS 宏是怎么定义的?

搜了半天勉强算搜到一个
#define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0)

明显和 MSDN
  1. NT_SUCCESS(Status)
  2.     Evaluates to TRUE if the return value specified by Status is a success type (00x3FFFFFFF) or an informational type (0x400000000x7FFFFFFF).

所说的不一样

可能这个原因弄的我无法自己好好调试




关于代码 有些疑问

  2.      // 枚举已经打开的句柄,取其名称
  3.      HMODULE hNtDll = NULL; // nt.dll句柄
  4.      ZWQUERYSYSTEMINFORMATION ZwQuerySystemInformation = NULL;
  5.      NTQUERYOBJECT NtQueryObject = NULL;
  6.      SYSTEM_HANDLE_INFORMATION *hInfo = NULL;
  7.      int nNumHandle = 0, i;      // 句柄数量
  8.      NTSTATUS Status;
  9.      ULONG nSize, nCount;
  10.      char cBuffer[0x40000], cInfoBuffer[0x1000];
  11.      OBJECT_ALL_INFORMATION *pInfo;
  12.      OBJECT_NAME_INFORMATION* pName;
  13.      DWORD nId = GetProcessId(hProcess);


  16.      // 取导出函数
  17.     hNtDll = GetModuleHandle( "ntdll.dll" );
  18.     ZwQuerySystemInformation = ( ZWQUERYSYSTEMINFORMATION )GetProcAddress( hNtDll, "ZwQuerySystemInformation" );
  19.     NtQueryObject = ( NTQUERYOBJECT )GetProcAddress( hNtDll, "NtQueryObject" );

  21.      // 查询句柄信息
  22.      Status = ZwQuerySystemInformation(SystemHandleInformation,
  23.          cBuffer,
  24.          0x40000,
  25.          &nSize);

  27.      if(NT_SUCCESS(Status))
  28.      {
  29.          nNumHandle = *(PULONG)cBuffer;
  30.          hInfo = (SYSTEM_HANDLE_INFORMATION*)(cBuffer + 4);
  31.          nCount = 0;
  32.          for(i = 0; i < nNumHandle; i++)
  33.          {
  34.               if(hInfo[i].ProcessId != nId) continue;
  35.               Status = NtQueryObject(hInfo[i].Handle, ObjectAllInformation, cInfoBuffer, 0x1000, &nSize);
  36.               if(NT_SUCCESS(Status))
  37.               {
  38.                    pInfo = (OBJECT_ALL_INFORMATION*)cInfoBuffer;
  39.                    nCount++;
  40. ……………………….
  41.               }
  42.          }
  43.      }



中的
hInfo[i].ObjectTypeNumber
也就是
引用
ObjectTypeNumber
A number which identifies the type of object to which the handle refers.The number
can be translated to a name by using the information returned by ZwQueryObject.

这是一个handle所指向的对象的类型对应的数?莫非就是内核对象类型?使用 ZwQueryObject 可以把数转换成名字,可我查了一下
引用
If the call to the ZwQueryObject function occurs in user mode, you should use the name "NtQueryObject" instead of "ZwQueryObject".

NtQueryObject其实就是用户模式下的ZwQueryObject ,而NtQueryObject马上就能见到,这个ObjectTypeNumber准确的说是什么啊

引用
Status = NtQueryObject(hInfo[i].Handle, ObjectAllInformation, cInfoBuffer, 0x1000, &nSize);

这里我估计写错了, 测试发现这里的hInfo[i].Handle 总是4*n(n>0) 也就是4的倍数,
或者说
hInfo[i].ProcessId 是4的时候
hInfo[i].Handle 从4,8,12 ..... max

然后
hInfo[i].ProcessId 会变成 260
hInfo[i].Handle 从 刚才的max 又编程4 然后增加到 OtherMax

NtQueryObject 应该是查询一个内核对象,我认为第一个参数不应该是这样的 不知道说的对不?




...全文
给本帖投票
1028 30 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
为什么我在dll中创建的非模态对话框,并创建的消息循环进入了“死循环”;但是不写消息循环能实现点击界面吗?(附代码)被经理批评了,求求了啊55555555>>
30 条回复
切换为时间正序
请发表友善的回复…
发表回复
yxwsbobo 2010-02-10
  • 打赏
  • 举报
 回复
引用 27 楼 tr0j4n 的回复:
NumberOfObjectsTypes成员为所有的对象类型在ObjectTypeInformation数组中的计数



和我想的一样,可是矛盾出来了,我们现在是查询的一个对象的数据


ntStatus = pfnNtQueryObject((HANDLE)pSysHandleInfo[i].Handle,ObjectAllInformation, cInfoBuffer,0x10000,&ulSize);


ObjectTypeInformation数组中 有NumberOfObjectsTypes 个类型,有什么用? 难道一个内核对象可能有多种类型吗?
MoXiaoRab 2010-02-10
  • 打赏
  • 举报
 回复
引用 22 楼 yxwsbobo 的回复:
C/C++ code
ntStatus= pfnNtQueryObject((HANDLE)pSysHandleInfo[i].Handle,ObjectAllInformation,
cInfoBuffer,0x10000,&ulSize);

估计这次真的是最后一个问题了,瞌睡就去睡吧~~

这个函数 查询一个内核对象的所有信息

结果是
pAllInfo = (POBJECT_ALL_INFORMATION)cInfoBuffer;


可pAllInfo.NumberOfObjectsTypes  是什么?  不是一个内核对象吗? 那么内核对象类型应该只有一种啊,为什么有这个?他说的是什么意思

NumberOfObjectsTypes成员为所有的对象类型在ObjectTypeInformation数组中的计数
yxwsbobo 2010-02-10
  • 打赏
  • 举报
 回复
另外 再公布意见事

果然我猜的是对的。。。。 这次是真的对的。。。。 有确凿证据



被调用函数


HANDLE GetProcessKernelObject(DWORD ProcessId)

{

	

	HMODULE hNtDll = NULL;

	ZWQUERYSYSTEMINFORMATION pfnZwQuerySystemInformation = NULL;

	NTQUERYOBJECT pfnNtQueryObject = NULL;

	PSYSTEM_HANDLE_INFORMATION pSysHandleInfo = NULL;

	POBJECT_ALL_INFORMATION pAllInfo =NULL;

	POBJECT_NAME_INFORMATION pNameInfo = NULL;





	ULONG nNumberHandle =0;

	NTSTATUS ntStatus = 0;

	ULONG ulSize,ulCount;

	char cBuffer[0x80000],cInfoBuffer[0x10000];



	hNtDll = GetModuleHandle(TEXT("ntdll.dll"));

	pfnZwQuerySystemInformation = (ZWQUERYSYSTEMINFORMATION)GetProcAddress(hNtDll,"ZwQuerySystemInformation");

	pfnNtQueryObject = (NTQUERYOBJECT)GetProcAddress(hNtDll,"NtQueryObject");



	ntStatus = pfnZwQuerySystemInformation(SystemHandleInformation,cBuffer,0x80000,&ulSize);



	if(NT_SUCCESS(ntStatus))

	{

		DWORD n = ulSize/sizeof(SYSTEM_HANDLE_INFORMATION);

		nNumberHandle = *(PULONG)cBuffer;

		pSysHandleInfo = (PSYSTEM_HANDLE_INFORMATION)(cBuffer +4);

		ulCount = 0;



		for(ULONG i=0;i!=nNumberHandle;++i)

		{



			if(pSysHandleInfo[i].ProcessId != ProcessId)

				continue;





			ntStatus = pfnNtQueryObject((HANDLE)pSysHandleInfo[i].Handle,ObjectAllInformation,cInfoBuffer,0x10000,&ulSize);

			ntStatus = pfnNtQueryObject((HANDLE)pSysHandleInfo[i].Handle,ObjectNameInformation,cInfoBuffer,0x10000,&ulSize);

			if(NT_SUCCESS(ntStatus))

			{

				pAllInfo = (POBJECT_ALL_INFORMATION)cInfoBuffer;

				pNameInfo = (POBJECT_NAME_INFORMATION)cInfoBuffer;

				if(_tcsstr(pNameInfo->NameBuffer,TEXT("QQ")) !=NULL)

				{

					MessageBox(NULL,pNameInfo->NameBuffer,TEXT("发现"),NULL);

				}

			}

		}

	}

	return NULL;

}


调用方式
GetProcessKernelObject(4636);//4636是QQGAME的进程


在自己的程序中调用这个函数后 没有任何反应,但如果注入到QQGAME里面再调用这个 会弹出5个对话框,其中有我要的QQGame_Mutex0x/01/2003

这绝对能证明
我猜测 NtQueryObject 接受的第一个参数是 当前进程的内核对象句柄




这样的话 就对这几个函数有较为深刻的认识了 恩~~~~ 天黑了 睡觉~
yxwsbobo 2010-02-10
  • 打赏
  • 举报
 回复 


ntStatus = pfnNtQueryObject((HANDLE)pSysHandleInfo[i].Handle,ObjectAllInformation,

cInfoBuffer,0x10000,&ulSize);


估计这次真的是最后一个问题了,瞌睡就去睡吧~~

这个函数 查询一个内核对象的所有信息

结果是
pAllInfo = (POBJECT_ALL_INFORMATION)cInfoBuffer;


可pAllInfo.NumberOfObjectsTypes 是什么? 不是一个内核对象吗? 那么内核对象类型应该只有一种啊,为什么有这个?他说的是什么意思

haze_1111 2010-02-10
  • 打赏
  • 举报
 回复
先mark一下~~~~~~~~
yxwsbobo 2010-02-10
  • 打赏
  • 举报
 回复
引用 24 楼 wineggdrop 的回复:
NtQueryObject第一个参数是要得到信息的对象句柄,如果这个对象句柄并不属于当前进程的话,你要使用DuplicateHandle()等先处理才有效。


谢谢,看书的时候这个函数还真看的不打明白


Windows核心编程有如下解释:

该函数最常见额一种用法可能涉及系统中同时运行的3个不同的进程,调用DuplicateHandle时,它的第一个参数和第三个参数(hSourceProcessHandle and hTargetProcessHandle)是内核对象句柄,这2个句柄本身必须相对与调用DuplicateHandle函数的那个进程(此句我不太明白,这样的话不就是必须有3个进程了?前面为什么还了个大多?)此外这2个参数的标识符必须是进程内核对象,传递其他内核对象,函数调用失败
WinEggDrop 2010-02-10
  • 打赏
  • 举报
 回复
NtQueryObject第一个参数是要得到信息的对象句柄,如果这个对象句柄并不属于当前进程的话,你要使用DuplicateHandle()等先处理才有效。
MoXiaoRab 2010-02-10
  • 打赏
  • 举报
 回复
这个值一般为0或1
MoXiaoRab 2010-02-09
  • 打赏
  • 举报
 回复
可以。用ZwClose吧。
CloseHandle有的时候不行

注意提下Debug权限
yxwsbobo 2010-02-09
  • 打赏
  • 举报
 回复
引用 8 楼 sjdev 的回复:
NtQueryObject 接受的第一个参数:
The handle of the object for which information is being queried.



恩 我知道他的功能是查询第一个参数指向的内核对象 的信息的

我弄错的是另一个地方

由于我刚开始缓冲区不够,得到的信息也有问题,以这个错误的信息自然弄的我莫名其妙了。。





这样的话,hInfo[i].Handle所得到的句柄,就是指向 这个进程内的内核对象并且不会增加使用记数
TO Tr0j4n LastQs:
不注入到目标进程 直接 CloseHandle(hInfo[i].Handle) 可以不,这个关系到对 hInfo[i].Handle的理解
yxwsbobo 2010-02-09
  • 打赏
  • 举报
 回复
事实证明我又错了。。。


不同进程的 HANDLE)pSysHandleInfo[i].Handle 也不同 恩


不错 你是对的。。。。

不过有一点挺奇怪

HANDLE 是 VOID* 应该是4字节 但是 pSysHandleInfo[i].Handle 却只有2字节。。
MoXiaoRab 2010-02-09
  • 打赏
  • 举报
 回复
引用 17 楼 yxwsbobo 的回复:
吃分的感觉很爽啊???


那么多分了又不缺分  想要分 自己拿个小号问问题不就好了嘛~~~~ 


事实证明有一点我说对了

我猜测 NtQueryObject 接受的第一个参数是 当前进程的内核对象句柄?

当我在进程ID中输入 QQ游戏大厅的进程ID 和迅雷进程的ID

NtQueryObject((HANDLE)pSysHandleInfo[i].Handle,ObjectNameInformation,cInfoBuffer,0x10000,&ulSize);
得到的名字字符串 前6个是一模一样的,其中包括本代码所在的程序中的字符串 后面的没测试我估计也一样

那就是倒分了。

分代表别人对我的认可,和自己倒分没意思的
yxwsbobo 2010-02-09
  • 打赏
  • 举报
 回复
吃分的感觉很爽啊???


那么多分了又不缺分 想要分 自己拿个小号问问题不就好了嘛~~~~


事实证明有一点我说对了

我猜测 NtQueryObject 接受的第一个参数是 当前进程的内核对象句柄?

当我在进程ID中输入 QQ游戏大厅的进程ID 和迅雷进程的ID

NtQueryObject((HANDLE)pSysHandleInfo[i].Handle,ObjectNameInformation,cInfoBuffer,0x10000,&ulSize);
得到的名字字符串 前6个是一模一样的,其中包括本代码所在的程序中的字符串 后面的没测试我估计也一样
MoXiaoRab 2010-02-09
  • 打赏
  • 举报
 回复
呵呵。等着你结贴呢。我今天得谢谢你
yxwsbobo 2010-02-09
  • 打赏
  • 举报
 回复
OK 3Q~~


我增加了一倍 从 0x40000 变成 0x80000 OK了~~~



我先研究研究在结贴~~
yxwsbobo 2010-02-09
  • 打赏
  • 举报
 回复
引用 10 楼 tr0j4n 的回复:
看返回值是不是STATUS_INFO_LENGTH_MISMATCH,可能是缓冲区长度不够



对 就是长度不够 我再弄长点试试
MoXiaoRab 2010-02-09
  • 打赏
  • 举报
 回复
引用 11 楼 yxwsbobo 的回复:
找到原因了 相同的代码 放在虚拟机上 XP 可以运行良好


悲剧

什么原因?你什么系统?居然不能运行?
MoXiaoRab 2010-02-09
  • 打赏
  • 举报
 回复
进不去的话,Status=?
yxwsbobo 2010-02-09
  • 打赏
  • 举报
 回复
找到原因了 相同的代码 放在虚拟机上 XP 可以运行良好


悲剧
MoXiaoRab 2010-02-09
  • 打赏
  • 举报
 回复
看返回值是不是STATUS_INFO_LENGTH_MISMATCH,可能是缓冲区长度不够
加载更多回复(9)
驱动开发:内核枚举PspCidTable句柄表
在上一篇文章我们通过枚举特征码的方式找到了DPC定时器基址并输出了内核存在的定时器列表,本章将学习如何通过特征码定位的方式寻找Windows 10系统下面的内核句柄表地址。首先引入一段基础概念;windowsPspCidTable 就是这样的一种表(内核句柄表),表的内部存放的是进程EPROCESS和线程ETHREAD的内核对象,并通过进程PID和线程TID进行索引,ID号以4递增,内核句柄表不属于任何进程,也不连接在系统的句柄表上,通过它可以返回系统的任何对象
驱动开发:内核枚举IoTimer定时器
枚举IO定时器的案例并不多见,即便有也是无法使用过时的,此教程学到肯定就是赚到了。至此IO定时器的枚举就介绍完了,在教程你已经学会了使用特征码定位这门技术,相信你完全可以输出内核想要得到的任何结构体。这个函数他是一个初始化函数,既然是初始化里面一定会涉及到链表的存储问题,找到他就能找到定时器链表基址,该函数的定义如下。接着就是通过代码实现对此处的定位,定位我们就采用特征码搜索的方式,如下代码是特征搜索部分。定时器,内核定时器其实就是在内核实现的时钟,该定时器的枚举非常简单,因为在。
6.5 Windows驱动开发:内核枚举PspCidTable句柄表
在 Windows 操作系统内核,PspCidTable 通常是与进程(Process)管理相关的数据结构之一。它与进程的标识和管理有关,每个进程都有一个唯一的标识符,称为进程 ID(PID)。与之相关的是客户端 ID,它是一个结构,其包含唯一标识进程的信息。这样的标识符在进程管理、线程管理和内核对象的创建等方面都起到关键作用。
Windows内核系统架构
一.架构概述 下图显示了Windows的基本结构。Windows采用双模式来保护操作系统本身,以避免被应用程序的错误所波及。操作系统核心运行在内核模式下,应用程序的代码运行在用户模式下。每当应用程序需要用到系统内核内核的扩展模块(内核驱动程序)所提供的服务时,应用程序通过硬件指令从用户模式切换到内核模式;当系统内核完成了所请求的服务以后,控制权又回到了用户模式代码。 在Windows,用户代码和内核代码有各自的运行环境,而且它们可以访问的内存空间也不相同。在32位系统内核代码可以访问当前进
IOT-OS之RT-Thread(三)--- C语言对象化与内核对象管理
一、RT-thread内核对象模型 RT-Thread的内核对象模型是一种非常有趣的面向对象实现方式。由于C语言更为面向系统底层,操作系统核心通常都是采用C语言和汇编语言混合编写而成。C语言作为一门高级计算机编程语言,一般被认为是一种面向过程的编程语言:程序员按照特定的方式把要处理事物的过程一级级分解成一个个子过程。面向对象源于人类对世界的认知多偏向于类别模式,根据世界不同物品的特性分门别类的组织在一起抽象并归纳,形成各个类别的自有属性。
进程/线程/DLL

15,473

社区成员

49,171

社区内容

发帖
与我相关
我的任务
社区描述
VC/MFC 进程/线程/DLL
社区管理员
  • 进程/线程/DLL社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章
手机看
关注公众号

关注公众号

 客服 返回
顶部