src/Get-PsHandles.ps1

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
#requires -version 6
using namespace System.Runtime.InteropServices

Set-Alias -Name pshndl -Value Get-PsHandles
function Get-PsHandles {
  [CmdletBinding()]
  param(
    [Parameter(Mandatory, Position=0)]
    [ValidateScript({!!($script:ps = Get-Process -Id $_ -ErrorAction 0)})]
    [Int32]$Id,

    [Parameter()][Switch]$ShowEmpty
  )

  begin {
    $kernel32, $ntdll, $page, $to_i = (New-Delegate kernel32 -Signature @{
      CloseHandle = [Func[IntPtr, Boolean]]
      OpenProcess = [Func[UInt32, Boolean, Int32, IntPtr]]
    }), (New-Delegate ntdll -Signature @{
      NtDuplicateObject = (
        [IntPtr], [IntPtr], [IntPtr], [IntPtr].MakeByRefType(),
        [UInt32], [UInt32], [UInt32], [Int32]
      )
      NtQueryInformationProcess = [Func[IntPtr, Int32, IntPtr, Int32, [Byte[]], Int32]]
      NtQueryObject = [Func[IntPtr, UInt32, [Byte[]], UInt32, [Byte[]], Int32]]
    }), [Byte[]]::new(0x1000), "ToInt$((32, 64)[($x = ($sz = [IntPtr]::Size) / 4 - 1)])"

    function Expand-UnicodeString([IntPtr]$h, [UInt32]$o) {
      if (!$ntdll.NtQueryObject.Invoke($h, $o, $page, $page.Length, $null)) {
        try {
          $uni = [GCHandle]::Alloc($page, [GCHandleType]::Pinned)

          $str = $uni.AddrOfPinnedObject()
          [Marshal]::PtrToStringUni([Marshal]::ReadIntPtr([IntPtr]($str.$to_i() + $sz)))
        }
        catch { Write-Verbose $_ }
        finally {
          if ($gch) { $gch.Free() }
        }
      }
    }
  }
  process {
    try {
      if (($hndl = $kernel32.OpenProcess.Invoke(0x440, $false, $Id)) -eq [IntPtr]::Zero) {
        throw [InvalidOperationException]::new()
      }

      $ptr = [Marshal]::AllocHGlobal(($bufsz = 0x1000))
      while ($ntdll.NtQueryInformationProcess.Invoke($hndl, 51, $ptr, $bufsz, $null)) {
        $ptr = [Marshal]::ReAllocHGlobal($ptr, [IntPtr]($bufsz *= 2))
      }

      $tmp = $ptr
      $NumberOfHandles = [Marshal]::ReadIntPtr($tmp).$to_i()
      $handles = (0..($NumberOfHandles - 1)).ForEach{
        $HandleValue = [Marshal]::ReadIntPtr([IntPtr]($tmp.$to_i() + (0x08, 0x10)[$x]))
        if ($Id -ne $PID) {
          [IntPtr]$duple = [IntPtr]::Zero
          if (!$ntdll.NtDuplicateObject.Invoke(
            $hndl, $HandleValue, [IntPtr]-1, [ref]$duple, 0, 0, 0x02
          )) {
            $tmp = [IntPtr]($tmp.$to_i() + (28, 40)[$x])
            continue
          }
          $page.Clear()
          $type = Expand-UnicodeString $duple 2
          $page.Clear()
          $name = Expand-UnicodeString $duple 1

          if ($duple -ne [IntPtr]::Zero) {
            if (!$kernel32.CloseHandle.Invoke($duple)) {
              Write-Verbose "Could not close duple of $($HandleValue.$to_i()) handle."
            }
          }
        }
        else {
          $page.Clear()
          $type = Expand-UnicodeString $HandleValue 2
          $page.Clear()
          $name = Expand-UnicodeString $HandleValue 1
        }

        [PScustomObject]@{
          Value = '0x{0:X}' -f $HandleValue
          Type  = $type
          Name  = $name
        }

        $tmp = [IntPtr]($tmp.$to_i() + (28, 40)[$x])
      }
    }
    catch { Write-Verbose $_ }
    finally {
      if ($ptr)  { [Marshal]::FreeHGlobal($ptr) }
      if ($hndl -and $hndl -ne [IntPtr]::Zero) {
        if (!$kernel32.CloseHandle.Invoke($hndl)) {
          Write-Verbose "Could not close process handle."
        }
      }
    }
  }
  end {
    $ps.Dispose()
    if ($handles) {
      if (!$ShowEmpty) { $handles.Where{$_.Name} } else { $handles }
    }
    [GC]::Collect()
  }
}