遍历进程句柄并干掉互斥体

互斥体例子

int main(int argc, char* argv[])  
{  
    HANDLE hMtx = CreateMutex(NULL,false,"process"); //创建一个有名对象，可以在其他进程中访问   
    if(GetLastError() == ERROR_ALREADY_EXISTS)    //除了创建该对象的进程能进到else分支，其他进程都进入if分支，然后退出  
    {  
        ExitProcess(0);  
    }  
    else  
            //do something    
    return 0;  
}  

干掉互斥体

a.主要思路是查找目标进程，b.找到后枚举进程所有打开的句柄，c.用ZwDuplicateObject复制句柄，能复制成功的基本是可用的句柄，d.先关闭上次调用ZwDuplicateObject时复制的句柄，然后已DUPLICATE_CLOSE_SOURCE的方式(复制后关闭原句柄)再次复制/关闭句柄。以此关闭限制多开的Mutex。

1.准备工作。代码进行枚举并打开进程，打开进程需要提权，使进程本身具有SE_PRIVILEGE_ENABLED权限。然后导出一堆Zw*函数用于枚举系统和进程的UnDocument API。读者可能知道进程EPROCESS结构中有进程句柄表，记录了进程打开的句柄信息，但是有了SE_PRIVILEGE_ENABLED权限和UnDocument API就能获得目标进程的句柄表了么？貌似也不是~那这不就无解了？在R3下的确很直白的方法，但是，有个很重要的事：进程句柄从4开始计数，每次往上加4，这个可以通过ARK工具查看验证。知道这个事就好办了，大不了在循环中慢慢找过去呗~虽然挨个找过去是一个办法，但是未必每个值为4N的整数就是进程内有效句柄啊~因此，需要用另一个UnDocument API----ZwDuplicateObject加以验证，如果调用这个函数成功就是一个可用的句柄，然后对这个句柄经行下一步处理。

2.摸排信息。光有进程句柄，同时知道这是一个有效的句柄作用不大。想想GUI进程一堆窗口，每个窗口一个句柄，不可能直接一棍打死吧？所以得摸清楚这个句柄的背景信息，通过调用ZwQueryObject可以获得该句柄的类型名和句柄名。通过字符串比较(wcsstr)找到Mutext对应的句柄。

3.暗杀。以DUPLICATE_CLOSE_SOURCE方式调用DuplicateHandle，意思很直白了，复制的时候把源句柄关闭。谁是源句柄？当然是创建Mutext的进程中的Mutext句柄。读者可以在调试时单步运行到DuplicateHandle，然后观察xuetr中句柄占用情况：调用前，创建这个Mutext的进程对这个句柄的引用数>0，调用成功后引用数=0，因此在创建进程中再也找不到这个句柄的信息了。最后在代码中调用CloseHandle，关闭复制到本进程中的Mutext句柄。当系统发现这个句柄的引用数==0，于是会删除对应的内核对象。当下次运行同一个进程并创建互斥体时，发现系统中并没有这个互斥体，于是顺利的通过if语句往下执行。

源码在此
OK