Delphi Close Handle патока процесса

[jone]

Доброго время суток!

Как реализовать такое как в программе на скриншоте
По имени процесаа вывод списка и завершение из списка
какие функции используются гугли толком нечего вообще не нашёл (

[haruhi]

1. не понятно что именно нужно
2. получение списка хендлов для любого процесса - функция ZwQuerySystemInformation с классом информации SystemHandleInformation
3. чтобы закрыть хендл открытый в чужом процессе, необходимо внедрить в него свой код. внутри него вызвать функцию CloseHandle. В ProcessExplorer cкорее всего это делается с помощью создания потока в чужом процессе через CreateRemoteThread, с указанием поточной функции CloseHandle, так как эта функция полностью удовлетворяет прототипу поточной функции (принимает только один параметр).

[jone]

Цитата:

чтобы закрыть хендл открытый в чужом процессе, необходимо внедрить в него свой код. внутри него вызвать функцию CloseHandle. В ProcessExplorer cкорее всего это делается с помощью создания потока в чужом процессе через CreateRemoteThread, с указанием поточной функции CloseHandle, так как эта функция полностью удовлетворяет прототипу поточной функции (принимает только один параметр).

Код можно ?!

[haruhi]

так происходит загрузка DLL в чужой процесс (отсюда)

Код:

function LoadLibrary_Ex(ProcessID:DWORD;LibName:PChar):boolean;
var
  pLL,pDLLPath:Pointer;
  hProcess,hThr:THandle;
  LibPathLen,_WR,ThrID:DWORD;
begin
  Result:=False;
  LibPathLen:=Length(string(LibName));
  hProcess:=OpenProcess(PROCESS_ALL_ACCESS,false,ProcessID);
  if hProcess=0 then exit;
  pDLLPath:=VirtualAllocEx(hProcess,0,LibPathLen+1,MEM_COMMIT,PAGE_READWRITE);
  if DWORD(pDLLPath)=0 then exit;
  pLL:=GetProcAddress(GetModuleHandle(kernel32),'LoadLibraryA');
  WriteProcessMemory(hProcess,pDLLPath,LibName,LibPathLen+1,_WR);
  hThr:=CreateRemoteThread(hProcess,0,0,pLL,pDLLPath,0,ThrID);//<---- создание потока
  if hThr=0 then exit;
  Result:=CloseHandle(hProcess);
end;

в нашем случае с CloseHandle всё проще: VirtualAllocEx и WriteProcessMemory не нужны. функции CreateRemoteThread надо передать адрес функции CloseHandle и собственно, сам хендл

как-то так

Код:

hProcess:=OpenProcess(PROCESS_ALL_ACCESS,false,ProcessID);
if hProcess=0 then exit;
pCH:=GetProcAddress(GetModuleHandle(kernel32),'CloseHandle');
hThr:=CreateRemoteThread(hProcess,0,0,pCH,<хендл в чужом процессе>,0,ThrID);
CloseHandle(hProcess);

[Пепел Феникса]

Цитата:

так происходит загрузка DLL в чужой процесс

а однако плохой код примера:
1)утечка памяти в чужом процессе.
2)хендл потока оставлен открыт.

[jone]

Цитата:

Сообщение от Пепел Феникса

а однако плохой код примера:
1)утечка памяти в чужом процессе.
2)хендл потока оставлен открыт.

Может учебник есть по этой тематике а то не очень понимаю или пример если не сложно

[haruhi]

Цитата:

Сообщение от Пепел Феникса

а однако плохой код примера:
1)утечка памяти в чужом процессе.
2)хендл потока оставлен открыт.

это копипаста из статьи rpy3uH'а . а так для понимания сути хватит. Для CloseHandle память выделять не надо, только создать поток и передать ему параметры, и потом закрыть хендл самого потока, но это мелочи

[jone]

Цитата:

Сообщение от haruhi

так происходит загрузка DLL в чужой процесс (отсюда)

Код:

function LoadLibrary_Ex(ProcessID:DWORD;LibName:PChar):boolean;
var
  pLL,pDLLPath:Pointer;
  hProcess,hThr:THandle;
  LibPathLen,_WR,ThrID:DWORD;
begin
  Result:=False;
  LibPathLen:=Length(string(LibName));
  hProcess:=OpenProcess(PROCESS_ALL_ACCESS,false,ProcessID);
  if hProcess=0 then exit;
  pDLLPath:=VirtualAllocEx(hProcess,0,LibPathLen+1,MEM_COMMIT,PAGE_READWRITE);
  if DWORD(pDLLPath)=0 then exit;
  pLL:=GetProcAddress(GetModuleHandle(kernel32),'LoadLibraryA');
  WriteProcessMemory(hProcess,pDLLPath,LibName,LibPathLen+1,_WR);
  hThr:=CreateRemoteThread(hProcess,0,0,pLL,pDLLPath,0,ThrID);//<---- создание потока
  if hThr=0 then exit;
  Result:=CloseHandle(hProcess);
end;

в нашем случае с CloseHandle всё проще: VirtualAllocEx и WriteProcessMemory не нужны. функции CreateRemoteThread надо передать адрес функции CloseHandle и собственно, сам хендл

как-то так

Код:

hProcess:=OpenProcess(PROCESS_ALL_ACCESS,false,ProcessID);
if hProcess=0 then exit;
pCH:=GetProcAddress(GetModuleHandle(kernel32),'CloseHandle');
hThr:=CreateRemoteThread(hProcess,0,0,pCH,<хендл в чужом процессе>,0,ThrID);
CloseHandle(hProcess);

не пойму что вставлять(выделил зелёным) а так разабрался вроде

[Пепел Феникса]

см пункт 2 первого ответа.

[jone]

Цитата:

var
pLL,pDLLPath,pCH,poo:Pointer;
hProcess,hThr:THandle;
LibPathLen,_WR,ThrID:DWORD;
ProcessID:integer;
begin
ProcessID:=3676;
hProcess:=OpenProcess(PROCESS_ALL_A CCESS,false,ProcessID);
poo:=VirtualAllocEx(hProcess, 0, 0, MEM_COMMIT, PAGE_EXECUTE_READWRITE);

if hProcess=0 then exit;
pCH:=GetProcAddress(GetModuleHandle (kernel32),'CloseHandle');
hThr:=CreateRemoteThread(hProcess,0 ,0,pCH,poo,0,ThrID);
CloseHandle(hProcess);
end;

Делаю так не работает в чём ошибка я в этом не очень разбераюсь помагите пожалуйста