^_^ 发表于 2019-1-15 17:40:52

关于枚举句柄的问题

本帖最后由 ^_^ 于 2019-1-15 17:42 编辑

话说枚举句柄一般用SystemHandleInformation,但SYSTEM_HANDLE_TABLE_ENTRY_INFO的成员HandleValue只有两个字节,但HANDLE在64位不是8个字节吗?在32位也是4个字节啊?是结构体错了还是咋地?typedef struct SYSTEM_HANDLE_TABLE_ENTRY_INFO
{
    ULONG ProcessId;
    BYTE ObjectTypeNumber;
    BYTE Flags;
    USHORT Handle;
    PVOID Object;
    ACCESS_MASK GrantedAccess;
} SYSTEM_HANDLE_TABLE_ENTRY_INFO, *PSYSTEM_HANDLE_TABLE_ENTRY_INFO;

Tesla.Angela 发表于 2019-1-16 00:18:55

你可以使用SystemExtendedHandleInformation,对应结构体SYSTEM_HANDLE_INFORMATION_EX。typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO_EX
{
    PVOID Object;
    ULONG_PTR UniqueProcessId;
    ULONG_PTR HandleValue;
    ULONG GrantedAccess;
    USHORT CreatorBackTraceIndex;
    USHORT ObjectTypeIndex;
    ULONG HandleAttributes;
    ULONG Reserved;
} SYSTEM_HANDLE_TABLE_ENTRY_INFO_EX, *PSYSTEM_HANDLE_TABLE_ENTRY_INFO_EX;
typedef struct _SYSTEM_HANDLE_INFORMATION_EX
{
    ULONG_PTR NumberOfHandles;
    ULONG_PTR Reserved;
    SYSTEM_HANDLE_TABLE_ENTRY_INFO_EX Handles;
} SYSTEM_HANDLE_INFORMATION_EX, *PSYSTEM_HANDLE_INFORMATION_EX;

gfw 发表于 2019-2-28 00:07:08

学习学习

sijin 发表于 2019-3-1 20:10:02

学习了,谢谢
页: [1]
查看完整版本: 关于枚举句柄的问题