SYSTEM_HANDLE_INFORMATION结构

Question

这种结构从何而来？我知道它是在著名的ntdll.h中声明的，并且是未记录的windows API的一部分。但在不同版本的windows中，它不是有所不同吗？有没有办法将这种结构从工作系统中删除？我在Windbg中尝试了'dt SYSTEM_HANLDE_INFORMATION‘，在SoftIce中尝试了’SYSTEM_HANLDE_INFORMATION‘，但我得到的都是'no get’的信息。我还用PdbDump.exe转储了ntoskrnl.pdb，并在转储的结构中进行了搜索--既找不到SYSTEM_HANLDE_INFORMATION也找不到SYSTEM_HANLDE。

你能帮我一下吗？

Answer 1

您可以在查询所有打开的文件句柄时引用this paper on CodeProject，其中它的定义如下：

typedef struct _SYSTEM_HANDLE
{
    DWORD    dwProcessId;
    BYTE     bObjectType;
    BYTE     bFlags;
    WORD     wValue;
    PVOID    pAddress;
    DWORD    GrantedAccess;
}
SYSTEM_HANDLE;