深入探究ZwQuerySystemInformation与进程文件句柄

在Windows操作系统中，进程信息的检索是通过系统调用函数来实现的，而`ZwQuerySystemInformation`是Windows内核提供的一种用于查询系统信息的函数。这个函数可以用来查询包括进程、线程、驱动程序、处理器时间等多种系统信息。而当我们关注于查找进程中的文件句柄时，`ZwQuerySystemInformation`在特定的系统信息类别中可以提供这样的信息。 ### ZwQuerySystemInformation函数概述 `ZwQuerySystemInformation`函数原型定义在`ntddk.h`头文件中。它使用`SYSTEM_INFORMATION_CLASS`枚举类型来指定请求的系统信息类型。该函数的原型如下： ```cpp NTSTATUS ZwQuerySystemInformation( [in] SYSTEM_INFORMATION_CLASS SystemInformationClass, [out] PVOID SystemInformation, [in] ULONG SystemInformationLength, [out] PULONG ReturnLength ); ``` 其中参数说明如下： - `SystemInformationClass`：指定要查询信息的类别，例如进程、线程等。 - `SystemInformation`：指向输出缓冲区的指针，用于接收请求的信息。 - `SystemInformationLength`：输出缓冲区的大小。 - `ReturnLength`：指向一个变量，该变量会收到实际返回的数据大小。 ### 文件句柄信息检索 当我们想要使用`ZwQuerySystemInformation`来检索与文件句柄相关的信息时，我们需要关注于`SystemInformationClass`参数。根据官方文档，该函数并不直接提供一个名为“文件句柄”的信息类别。相反，可以使用`SystemHandleInformation`（或`SystemExtendedHandleInformation`在某些版本的Windows中）来获取进程的句柄表信息，进而分析出哪些是文件句柄。 - `SystemHandleInformation`类别用于获取系统中所有类型的句柄信息。它返回的结构体包括进程ID、句柄值和句柄类型。 - `SystemExtendedHandleInformation`提供了更详细的句柄信息，包括对象类型。 ### 使用场景和限制 使用`ZwQuerySystemInformation`来检索文件句柄通常需要管理员权限。并且，由于其涉及到系统内部信息，微软并不鼓励在普通的应用程序开发中使用它，因为它可能会在未来的系统更新中被修改或废弃。 ### 实际编码实现 以C/C++为例，通过调用`ZwQuerySystemInformation`可以实现进程文件句柄的检索。示例代码可能如下： ```cpp #include <ntddk.h> VOID FindProcessFileHandles(HANDLE ProcessId) { NTSTATUS status; ULONG size = 0x1000; PSYSTEM_HANDLE_INFORMATION handles = NULL; while (TRUE) { handles = (PSYSTEM_HANDLE_INFORMATION)ExAllocatePoolWithTag(NonPagedPool, size, 'GftS'); if (!handles) { return; } status = ZwQuerySystemInformation(SystemHandleInformation, handles, size, &size); if (status != STATUS_INFO_LENGTH_MISMATCH) { break; } ExFreePoolWithTag(handles, 'GftS'); } if (status == STATUS_SUCCESS) { for (ULONG i = 0; i < handles->NumberOfHandles; i++) { if (handles->Handles[i].UniqueProcessId == ProcessId) { // 这里可以根据需要检查handles->Handles[i].Object Type来确定是否为文件句柄 // 如果是文件句柄，可以进一步获取文件名等信息 } } } if (handles) { ExFreePoolWithTag(handles, 'GftS'); } } ``` ### 注意事项 - 由于这些函数直接与系统内核交互，错误使用可能导致系统不稳定。 - 审慎使用此类高级系统调用，尽量不要在生产环境中直接使用，除非确实需要且开发者对底层系统行为有充分了解。 - 应对返回的数据进行适当的分析和处理，避免对系统资源造成不必要的压力。 ### 结论 `ZwQuerySystemInformation`是Windows内核级编程中的一个重要函数，可以用来检索包括文件句柄在内的多种系统信息。但其使用需要较高的权限和对Windows内核的深入理解。在实际开发中，除非有特别的需要，一般开发者应避免直接使用这些系统级调用。如果确实需要获取进程的文件句柄信息，建议使用文档中明确支持的、更为稳定的API或工具。