Tesla.Angela
发表于 2016-8-25 08:52:33
《WIN64教程》补充:关闭内核句柄
在《强制解锁文件》里,用以下代码关闭句柄:VOID ForceCloseHandle(PEPROCESS Process, ULONG64 HandleValue)
{
HANDLE h;
KAPC_STATE ks;
OBJECT_HANDLE_FLAG_INFORMATION ohfi;
if( Process==NULL )
return;
if( !MmIsAddressValid(Process) )
return;
KeStackAttachProcess(Process, &ks);
h=(HANDLE)HandleValue;
ohfi.Inherit=0;
ohfi.ProtectFromClose=0;
ObSetHandleAttributes(h, &ohfi, KernelMode);
ZwClose(h);
KeUnstackDetachProcess(&ks);
}不过这段代码只可以关闭普通句柄,无法关闭内核句柄。关闭内核句柄的代码,应该加上如下处理:
**** Hidden Message *****这样就可以关闭内核句柄了。
284406022
发表于 2016-8-25 08:59:03
怎么回事,我点回复,一下子回复了这么多贴
zjr230506
发表于 2016-8-25 09:00:25
顶一发顺便看看方法
baggiowangyu
发表于 2016-8-25 09:04:07
让我来看看内核有啥不同
meesong
发表于 2016-8-25 09:04:52
谢谢TA,学习一下
f74107
发表于 2016-8-25 09:18:46
谢谢TA,学习一下
liwen930723
发表于 2016-8-25 09:20:09
当时好像我记得在群上说过来着。。
crazylin
发表于 2016-8-25 09:34:58
学习学习,谢谢分享
红枫叶
发表于 2016-8-25 09:35:44
准备入坑看看
jfjfjf8888
发表于 2016-8-25 09:43:07
第一次回帖奉献给你啦
jfjfjf8888
发表于 2016-8-25 09:43:20
第一次回帖奉献给你啦
zxygmh
发表于 2016-8-25 09:53:23
看看是不是|0x80000000
n36437517
发表于 2016-8-25 09:58:45
学习学习。。。。。。。。。
PM115270862
发表于 2016-8-25 10:04:08
顶起。。。。。。。。。。。。。。
PM115270862
发表于 2016-8-25 10:04:21
顶起。。。。。。。。。。。。。。
jyw0113
发表于 2016-8-25 10:08:14
看看,学习下
hot001960
发表于 2016-8-25 10:08:42
学习学习
xtfpg
发表于 2016-8-25 11:01:08
我要看看
luqi_44
发表于 2016-8-25 11:41:47
看看学习中
mysmartid
发表于 2016-8-25 13:01:31
回复,学习,谢谢分享
nayan007
发表于 2016-8-25 15:24:46
学习下
daterlove
发表于 2016-8-25 16:22:30
仰望大神操作
bqrm_521
发表于 2016-8-25 17:56:19
谢谢分享
wird0r
发表于 2016-8-25 19:50:06
前排学习下
x13579
发表于 2016-8-27 10:13:01
学习ta好榜样
tangptr@126.com
发表于 2016-8-27 10:50:25
学习学习
JerryAJ
发表于 2016-8-27 16:12:29
虽然我还没看到这里,先回复下看看原理,感谢TA
linkerrors
发表于 2016-8-30 00:12:51
谢谢楼主!
qq569582281
发表于 2016-9-1 23:27:56
真厉害!!!,向TA学习!!!!
wangmin1944
发表于 2016-9-11 21:34:58
绿林科技
发表于 2016-10-19 23:28:05
谢谢分享
绿林科技
发表于 2016-10-19 23:28:09
谢谢分享