Перечисляем хэндлы сокетов... в чем ошибка?

В небезызвестной статье Holy_Father сказано, что

Перечисляю хэндлы с пом. zwquerysysteminformation, таких не нахожу

В то же время по netstat -a вижу что есть несколько сокетов в состоянии ESTABLISHED.

Баг в статье? Или у меня в голове?

 

"\Device\Tcp" и "\Device\Udp"
Посмотреть открытые хендлы можно с помощью ProcessExplorer by Russinovich

 

Потому что хендлы сокетов - \Device\Afd. Перезакрывай все \Device\Tcp и \Device\Ip в том же Process Explorer - ничего от этого не изменится.

 

Дело в том что среди хэндлов типа файл нет ни одного с именем похожим на что-нибудь из приведенного.

 

Плохо смотрел значит У System на моей машине их с полсотни, если не больше. А как ты тип File у хендла определяешь? Номера у типов различаются в разных системах

 

не вдаваясь в сугубые подробности, заранее извиняюсь за delphi
GetInfoTable - взята в каком-то сорце от Ms-Rem

Код (Text):

1.    HandlesInfo := GetInfoTable(SystemHandleInformation);
2.  
3.    GetMem(us, 1024);
4.  
5.    for i := 0 to HandlesInfo^.NumberOfHandles-1 do
6.    begin
7.      if HandlesInfo^.Information[i].ObjectTypeNumber = 28 then
8.      begin
9.        //--- determine object info
10.        if zwqueryobject(HandlesInfo^.Information[i].Handle,
11.                         ObjectNameInformation, us, 1024, addr(ret)) = STATUS_SUCCESS then
12.        begin
13.          s := WIdeCharToString(us.Buffer);
14.          writeln(s);
15.        end;
16.      end;
17.    end;

 

У меня ХР. Там OB_TYPE_FILE = 28? В 2к и ниже вроде 23. Но с типом объекта 23 хэндлов нет вообще.

 

slow
Самый простой способ определить - перечислить все хендлы вместе с типом и посмотреть индекс. Более правильный - получить через ZwQueryObject с параметром ObjectTypeInformation имя типа. Полный пример был у Неббета в книжке

 

Кстати,

- не канает! Это известный баг, он у ElicZ на его страничке описан, состоящий в том, что таким образом выводятся только те типы которые есть в NT (а их 23 всего).

 

Хех! А у меня работает!

Код (Text):

1. ZwQueryObject (hHandle, 2, &obT, sizeof (obT), 0);

 

Интересно, однако... по ZwQueryObject некоторые объекты с именем File имеют ObjectTypeNumber = 5 а остальные =28

 

slow, лучше проверять не ObjectTypeNumber, а имя типа объекта, т.е. сравнивать строки - не запутаешься, и проще.

 

Спасибо, это я уже понял.
Вопрос только в том, как определить среди хэндлов типа файл хэндлы сокетов.

 

Ну все нужные в нормальной жизни типы в этот список точно входят

Никак не определить. Файл он и в африке файл, а его семантика уже драйвером определяется

 

Значит, в статье или в переводе ОПЕЧАТКА.

Попробуем тогда NtQueryDirectoryObject поприменять.

 

Получаешь дескрипторы типа "File", узнаёшь их имя
ZwQueryObject, hHandle, 1, ...
сравниваешь с \Device\Tcp.
Только все имена, начинающиеся с \Device - в юникоде.

 

Кароче почему-то большую часть хэндлов не копируется в процесс
с пом ZwDuplicateObject (

Код (Text):

1.  if ZwDuplicateObject(GetCurrentProcess,HandlesInfo^.Information[i].Handle,
2.                        hProcess, Addr(ObjHandle), DUPLICATE_SAME_ACCESS, 0, 0) = STATUS_SUCCESS then ....

Может вызываю неправильно?

 

все, нашел ошибку... всем спасибо

 

у меня неправильны параметры у ZwDuplicateObject, надо так

Код (Text):

1. if ZwDuplicateObject(hProcess,HandlesInfo^.Information[i].Handle,
2.                        INVALID_HANDLE_VALUE, Addr(ObjHandle), DUPLICATE_SAME_ACCESS, 0, 0) = STATUS_SUCCESS
3.        then begin

hProcess здесь это хэндл процесса - владельца хэндла HandlesInfo^.Information.Handle

 

Еще попутный вопрос.

WSA функции не хотят работать с этим хэндлом ( Возвращают ошибку 10038 - т.е. An operation was attempted on something that is not a socket.

Как получить из этого хэндла хэндл сокета, чтобы работать с wsa функциями?