C++&Win API NtQuerySystemInformation関数とSystemExtendedHandleInformation (0x40)でカーネルオブジェクトハンドルの一覧取得

公開された非公開関数NtQuerySystemInformationと非公開の定数SystemExtendedHandleInformation (0x40)を使うとカーネルオブジェクトハンドルの一覧を取得できます。固定長構造体のみなので前回投稿と比べれば遥かに扱いが楽です。なお、NtQuerySystemInformationとSystemExtendedHandleInformationは非後方互換性が明記された関数と非公開定数の組み合わせです。今後のWindowsアップデート次第では使えなくなる可能性があります。

追記∶C++では一見正常に動作しましたが、C#へ移植したところ範囲外アクセスエラーが発生しました。NtQuerySystemInformationの2〜3回目の呼び出しの間にカーネルオブジェクトが増加したことが要因と思われます。適当なマージンを加えつつ、戻り値がメモリ不足情報（STATUS_INFO_LENGTH_MISMATCH）の場合は処理を繰り返しても良いかもしれません。

#include <bit>#include <vector>#include <ranges>#include <format>#include <iostream>#define STRICT#define NOMINMAX#include <Windows.h>#include <winternl.h>#pragma comment(lib, "ntdll.lib")// 参考// https://www.geoffchappell.com/studies/windows/km/ntoskrnl/api/ex/sysinfo/query.htmstaticconstauto SystemExtendedHandleInformation = (SYSTEM_INFORMATION_CLASS)0x40;

// 参考// https://www.geoffchappell.com/studies/windows/km/ntoskrnl/api/ex/sysinfo/handle_table_entry_ex.htm?tx=60&ts=0,313typedefstruct SYSTEM_HANDLE_TABLE_ENTRY_INFO_EX
{
    PVOID Object;
    ULONG_PTR UniqueProcessId;
    ULONG_PTR HandleValue;
    ULONG GrantedAccess;
    USHORT CreatorBackTraceIndex;
    USHORT ObjectTypeIndex;
    ULONG HandleAttributes;
    ULONG Reserved;
} *PSYSTEM_HANDLE_TABLE_ENTRY_INFO_EX;

// 参考// https://www.geoffchappell.com/studies/windows/km/ntoskrnl/api/ex/sysinfo/handle_ex.htm?tx=60typedefstruct SYSTEM_HANDLE_INFORMATION_EX
{
    ULONG_PTR NumberOfHandles;
    ULONG_PTR Reserved;
    SYSTEM_HANDLE_TABLE_ENTRY_INFO_EX Handles[1];
} *PSYSTEM_HANDLE_INFORMATION_EX;

staticstd::vector<SYSTEM_HANDLE_TABLE_ENTRY_INFO_EX> GetSystemHandleTableEntryInfosEx()
{
    // NtQuerySystemInformationはnullptrと0を渡すと56（64ビット環境）、// サイズ56のバッファーを渡すと実際に必要なサイズを返す。
    DWORD required;
    ::NtQuerySystemInformation(SystemExtendedHandleInformation, nullptr, 0, &required);

    std::vector<BYTE> buffer(required);
    ::NtQuerySystemInformation(SystemExtendedHandleInformation, buffer.data(), required, &required);

    buffer.resize(required);
    if (!NT_SUCCESS(::NtQuerySystemInformation(SystemExtendedHandleInformation, buffer.data(), required, nullptr)))
        throwstd::exception();

    auto pinfos = std::bit_cast<PSYSTEM_HANDLE_INFORMATION_EX>(buffer.data());
    returnstd::vector(pinfos->Handles, pinfos->Handles + pinfos->NumberOfHandles);
}

intwmain()
{
    auto entries = GetSystemHandleTableEntryInfosEx();
    for (constauto& [i, entry] : entries | std::views::take(1000) | std::views::enumerate)
    {
        std::wcout<< std::format(L"{}: {} ({})\n", i, entry.Object, entry.ObjectTypeIndex);
    }
    if (entries.size() > 1000)
        std::wcout<< L"...\n";

    return0;
}

参考

C++&Win API NtQuerySystemInformation関数とSystemExtendedHandleInformation (0x40)でカーネルオブジェクトハンドルの一覧取得 - potisanのプログラミングメモ

Trending Articles

人気占い師・Sakkoが占う！今日のアナタの運勢と、ラッキーカラーは・・・

BVE阪急全線ダイヤ拡充パック　内容詳説(宝塚線)

ドメインコントローラーをベアメタル回復でバックアップ/リストアする方法

【みかじめ料】工藤會景浦組組長影浦一治容疑者を逮捕

サカサマのパテマ.mp4

カラオケ鉄板ネタになるの間違いなし「大塚愛から福原愛」って何！？

自宅警備員2　-灰原家の血族-　攻略

タスクスケジューラの「停止するまでの時間」設定の注意点について(Windows Server 2012 R2)

スポクラ・しながわ「フリースポーツに参加してみませんか？」（毎週月曜）／品川区

外字の有無をチェックするユーザー定義関数

大阪・泉南イオンで飛び降り自殺とみられる転落事件が発生：ネットで拡散された理由とは

井上貴博アナウンサー彼女や結婚の噂は？実家や親が話題？人気は？

Retouch pilot lite 3.5.3-簡単に写真内の不要な物体を消すことができる無料のフォトレタッチソフト...

福島県郡山市強姦事件

RealLifeCam (RLC) - Madison, Florence, Dianoria, Veronica, Karina - Backyard

＜仙台国際ホテル暴行＞ホテル側謝罪し和解　女性「二度と繰り返さないで」

【ディズニーランドパリ】日本にないオススメアトラクション13選【ウォルトディズニースタジオ】

生野が生んだスーパースター文政　現在、男道（刑務所）にて修行（服役）中㉙

改訂版　開眼　第１話

[Album] Sachiko Kobayashi – 55th Anniversary: All The Best [MP3]