本文作者:WY.lslrt
文章出处:未知
文章性质:原创
阅读次数:105
发布日期:2005-07-31
技术要点:
1。通过NTQuerySystemInforamtion函数获得系统所有句柄,来获得SOCKET句柄。
2.通过CreateToolhelp32Snapshot函数获得系统进程快照,获得进程详细信息。
实现细节1
NTQuerySystemInformation(DWORD,PDWORD,DWORD,PDWORD)是Windows未公开的API函数,它包含四个参数第一个参数指定了我们所查询的系统信息类型,它能够查询56种系统信息,为了查询系统HANDLE列表,我们定义一个常量
#define NT_HANDLE_LIST16(这个数值我是查资料得到的);
第二个参数是一个指针,这个指针用来返回系统句柄列表,在调用NtQuerySystemInformation函数之前,必须为这个指针分配足够的内存空间,否则函数调用会出错;
第三个参数是指定你为系统句柄列表所分配的内存空间大小,单位是byte;
第四个参数是NtQuerySystemInformation返回的系统句柄列表的大小;
一旦NtQuerySystemInformation函数调用成功,系统中所有的句柄将被存放在第二个参数所指向内存空间中,其中,第二个参数所指向的第一个32位数,是这个buf所包含的句柄数量,之后是顺序排列的句柄指针pHandleInfo,指向的是_HANDLEINFO结构:
typedef struct _HandleInfo
{
USHORT dwPid;
USHORT CreatorBackTraceIndex;
BYTE ObjType;
BYTE HandleAttributes;
USHORT HndlOffset;
DWORDdwKeObject;
ULONGGrantedAccess;
}HandleInfo, *pHandleInfo;
句柄信息中包括了句柄所属进程的PID,这样就可以关联进程和SOCKET了,SOCKET句柄的类型值为0x1A(26),所以,将所有类型为0x1A的句柄取出
方法:SOCKET s = (SOCKET)handle;
进行getsockname操作就可以得到当前的进程/端口对应列表,实际上并不然,得到的句柄都属于其他的进程,在NT中根据进程保护的原则,一个进程没有办法直接得到其他进程的各种信息,特别是句柄,不同进程中的同一句柄(句柄的数值相同)根本就不是同样的东西,因此,还必须进行一次转换,将其他进程的句柄转换为本进程的句柄,这个转换工作只要简单地调用DuplicateHandle函数就可以完成了:
DuplicateHandle(HANDLE,HANDLE,HANDLE,LPHANDLE,DWORD,BOOL,DWORD);
之后就可以通过getsockname、getsockopt等函数来获得SOCKET的各种属性了.
至此,进程和端口关联的工作已经基本完成,可是,还有一些不足的地方,因为权限问题所以不能够查看系统进程
附代码:
void GetSocketHandle(){
HANDLE hCurrentProcess = GetCurrentProcess();
HANDLE hToken;
/*获得当前进程级别句柄*/
if(!::OpenProcessToken(hCurrentProcess,TOKEN_QUERY|TOKEN_ADJUST_PRIVILEGES,&hToken)){
MessageBox("Open Process Token Failed!","ERROR",0);
return FALSE;
}
if(!RaisePrivileges(hToken,SE_DEBUG_NAME)){//提升进程级别
MessageBox("Raise Process Failed!","ERROR");
return FALSE;
}
if(hToken) CloseHandle(hToken);
//////////////////////////////////////////////////////////////////////////////////////////////////
PDWORD pdwHandleList = (PDWORD)malloc(MAX_HANDLE_LIST_BUF);//临时缓冲区
if(!pdwHandleList){
MessageBox("No Enough Memory for Handle List!","ERROR");
return FALSE;
}
DWORD dwNumBytesRet = 0;
//获得系统所有句柄
if(NtQuerySystemInformation(NT_HANDLE_LIST,pdwHandleList,MAX_HANDLE_LIST_BUF,&dwNumBytesRet)){
MessageBox("NtQuerySystemInformation Return Error!","ERROR");
return FALSE;
}
//////////////////////////////////////////////////////////////////////////////////////////////////
DWORD dwNumEntries;//句柄数
HANDLE hProc;
pHandleInfo pHandle;
dwNumEntries = pdwHandleList[0];//缓冲区的第一项为句柄数
pHandle = (pHandleInfo)(pdwHandleList+1);
/////////////////////////////枚举句柄获得相应信息////////////////////////////////////////////////
//获得各个进程的信息
for(DWORD i=0;i<dwNumEntries;i++){//1
if((pHandle->objType == OBJECT_TYPE_SOCKET) && (pHandle->dwPid) ){//2//判断是否为
//SOCKET类型
//OBJECT_TYPE_SOCKET 是定义的常量值为0x1a
if(pHandle->dwPid == m_nMyPID){//如果是本进程跳过
//获得进程的句柄
hProc = OpenProcess(WRITE_DAC,FALSE,pHandle->dwPid);
if(hProc){//3
AdjustDacl(hProc);//调整目标句柄的访问控制属性
CloseHandle(hProc);
}//3
else{//4
break;
}//4
HANDLE hMyHandle = NULL;
hProc = OpenProcess(PROCESS_DUP_HANDLE,TRUE,pHandle->dwPid);
if(hProc){//5
//将获得进程句柄复制到本进程句柄
DuplicateHandle(hProc,(HANDLE)pHandle->HandOffset,hCurrentProcess,
&hMyHandle,STANDARD_RIGHTS_REQUIRED,TRUE,0);
if(hMyHandle != NULL){//6
SocketInfo(hMyHandle,pHandle);//获得SOCKET信息
}//6
CloseHandle(hMyHandle);
}//5
//CloseHandle(hProc);
}
}//2
pHandle++;
}//1
if(pdwHandleList){
free(pdwHandleList);
}
if(hCurrentProcess){
CloseHandle(hCurrentProcess);
}
return TRUE;
}
void SocketInfo(HANDLE RequireHandle,pHandleInfo pHandleBuf)
{
sockaddr_in name = ;
name.sin_family = AF_INET;
int namelen = sizeof(sockaddr_in);
SOCKET s = (SOCKET)RequireHandle;
//获得SOCKET进程的详细消息,由Process ID通过系统快照找到Process的详细信息
//系统快照可以在kernel32.dll里调用,此功能稍后补加
if(getsockname(s,(sockaddr*)&name,&namelen) != SOCKET_ERROR){//7
TargetHandle[++THIndex].m_hHandle = *pHandleBuf;
TargetHandle[THIndex].m_addr = name;
TargetHandle[THIndex].sockettype = 4;
int optlen = 4;
getsockopt(s,SOL_SOCKET,SO_TYPE,(char*)&TargetHandle[THIndex].sockettype,&optlen);
}//7
else CloseHandle(RequireHandle);
}
void AdjustDacl(HANDLE hProcess)//调整目标进程的DACL,数据结构,函数定义参考AclAPI.h
{
SID world = ;
LPTSTR ptstrName = (LPTSTR)&world;
EXPLICIT_ACCESS ea={//进程访问控制信息
STANDARD_RIGHTS_ALL|SPECIFIC_RIGHTS_ALL,
SET_ACCESS,
NO_INHERITANCE,
{
0,NO_MULTIPLE_TRUSTEE,
TRUSTEE_IS_SID,
TRUSTEE_IS_USER,
ptstrName
}
};
ACL *pdacl = 0;
if(SetEntriesInAcl(1,&ea,0,&pdacl)!=ERROR_SUCCESS){
MessageBox("SetEntriesInAcl Failed!","ERROR");
return;
}
if(SetSecurityInfo(hProcess,SE_KERNEL_OBJECT,DACL_SECURITY_INFORMATION,0,0,pdacl,0)){
MessageBox("SetSecurity Failed!","ERROR");
}
LocalFree(pdacl);
}
BOOL CLocalscanDlg::RaisePrivileges(HANDLE hToken,char *pPriv)//提升自己的进程级别
{
TOKEN_PRIVILEGES tkp;
if(!::LookupPrivilegeValue(NULL,pPriv,&tkp.Privileges[0].Luid)){//获得当前级别
MessageBox("Look Up PrivilegeValue Failed!","NULL");
return FALSE;
}//修改进程级别
tkp.PrivilegeCount = 1;
tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
if(!::AdjustTokenPrivileges(hToken,FALSE,&tkp,0,NULL,NULL)){//调整进程级别
MessageBox("Adjust Privileges Failed!","ERROR");
return FALSE;
}
return TRUE;
}
2.
从第一步已经可以获得打开的窗口和及占用端口进程的PID,可以通过Kernel32.dll中的CreateToolhelp32Snapshot(DWORD dwFlags,DWORD th32ProcessID)来获得系统中进程快照,进一步获得详细信息(需包含头文件tlhelp32.h)
第一个参数是系统快照的类型在这里选择TH32CS_SNAPPROCESS,此时第二个参数必须为NULL.
若调用成功便返回系统快照的句柄,然后通过
Process32First(HANDLE hSnapshot,LPPROCESSENTRY32 lppe)和
Process32Next(HANDLE hSnapshot,LPPROCESSENTRY32 lppe)函数获得进程的详细信息
LPPROCESSENTRY32的结构
typedef struct tagPROCESSENTRY32 {
DWORD dwSize; //此为结构大小,使用上面两函数前必须先赋值sizeof(PROCESSENTRY32)
DWORD cntUsage;
DWORD th32ProcessID; //进程PID
DWORD th32DefaultHeapID;
DWORD th32ModuleID;
DWORD cntThreads; //线程数
DWORD th32ParentProcessID;
LONG pcPriClassBase;
DWORD dwFlags;
char szExeFile[MAX_PATH]; //进程名
} PROCESSENTRY32;
typedef PROCESSENTRY32 * PPROCESSENTRY32;
typedef PROCESSENTRY32 * LPPROCESSENTRY32;
附代码:
BOOL GetSocketProcInfo()
{
int i;
HANDLE hSnapShot;
PROCESSENTRY32 lppe;
hSnapShot = ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);//获得系统快照
lppe.dwSize = sizeof(lppe);//赋值
int ret = ::Process32First(hSnapShot,&lppe);
if(ret){
do {
for(i=0;i<=THIndex;i++){
if(TargetHandle[ i ].m_hHandle.dwPid == lppe.th32ProcessID){
strcpy(TargetHandle[ i ].m_hProcList.ExeName,lppe.szExeFile);
TargetHandle[ i ].m_hProcList.cntThreads = lppe.cntThreads;
}
}
}while(::Process32Next(hSnapShot,&lppe));
}
CloseHandle(hSnapShot);
return TRUE;
}
不足:
因为刷新时不断将目标进程的句柄复制所以会造成系统句柄增多.会占用系统内存,和将事先给结构分配给的内存用完,会导致NTQuerySystemInformation函数错误
解决:
建立PID链表,将PID记录下来,对出现的PID赋于不同的属性BOOL isNew,来防止重复复制。
