内核PspCidTable句柄表遍历获取隐藏进程

最新推荐文章于 2023-12-01 15:24:44 发布
最新推荐文章于 2023-12-01 15:24:44 发布
阅读量2.3k 收藏 1
点赞数
分类专栏: Windows驱动 文章标签: 内核 PspCidTable句柄表 遍历 获取隐藏进程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hacklaolang/article/details/11928493
版权

先从WinDBG中来看下PspCidTable.

lkd> dd pspcidtable
84196eb4  8ae011c8 00000000 80000018 00000101
84196ec4  800005e0 80000020 00000000 00000000
84196ed4  00000000 00000000 00000000 00000113
84196ee4  00000000 00000000 841484e4 00000000
84196ef4  00000000 00000000 00000000 00000008
84196f04  00000000 84196f08 84196f08 00000000
84196f14  00000000 00000000 00000000 00000000
84196f24  00000000 8d703d38 807fed38 00000000

8ae011c8 为PspCidTable指向的句柄表的指针.


用WinDBG中看下句柄表_HANDLE_TABLE的内容.

lkd> dt _handle_table 8ae011c8 
nt!_HANDLE_TABLE
   +0x000 TableCode        : 0x9da23001
   +0x004 QuotaProcess     : (null) 
   +0x008 UniqueProcessId  : (null) 
   +0x00c HandleLock       : _EX_PUSH_LOCK
   +0x010 HandleTableList  : _LIST_ENTRY [ 0x8ae011d8 - 0x8ae011d8 ]
   +0x018 HandleContentionEvent : _EX_PUSH_LOCK
   +0x01c DebugInfo        : (null) 
   +0x020 ExtraInfoPages   : 0n0
   +0x024 Flags            : 1
   +0x024 StrictFIFO       : 0y1
   +0x028 FirstFreeHandle  : 0x874
   +0x02c LastFreeHandleEntry : 0x8ae045a0 _HANDLE_TABLE_ENTRY
   +0x030 HandleCount      : 0x3aa
   +0x034 NextHandleNeedingPool : 0x1800
   +0x038 HandleCountHighWatermark : 0x413

TableCode去掉最后2位掩码后就是指向多层表的指针. 

lkd> ? 0x9da23001 & FFFFFFFC
Evaluate expression: -1650315264 = 9da23000
lkd> dd 9da23000
9da23000  8ae04000 9da24000 c838f000 00000000
9da23010  00000000 00000000 00000000 00000000
9da23020  00000000 00000000 00000000 00000000
9da23030  00000000 00000000 00000000 00000000
9da23040  00000000 00000000 00000000 00000000
9da23050  00000000 00000000 00000000 00000000
9da23060  00000000 00000000 00000000 00000000
9da23070  00000000 00000000 00000000 00000000

lkd> dd 8ae04000 
8ae04000  00000000 fffffffe 86226021 00000000
8ae04010  86226d49 00000000 86245d49 00000000
8ae04020  86241851 00000000 86245789 00000000
8ae04030  86249c81 00000000 86251639 00000000
8ae04040  86251d49 00000000 86251a71 00000000
8ae04050  86255021 00000000 86255b31 00000000
8ae04060  86255859 00000000 86255581 00000000
8ae04070  8624b021 00000000 8624bd49 00000000

TableCode的后2位指定表的层数,每层表都是由512个_HANDLE_TABLE_ENTRY结构体组成. 

lkd> ? 0x9da23001 & 3
Evaluate expression: 1 = 00000001
lkd> dt _HANDLE_TABLE_ENTRY 8ae04000 + 8
nt!_HANDLE_TABLE_ENTRY
   +0x000 Object           : 0x86226021 Void
   +0x000 ObAttributes     : 0x86226021
   +0x000 InfoTable        : 0x86226021 _HANDLE_TABLE_ENTRY_INFO
   +0x000 Value            : 0x86226021
   +0x004 GrantedAccess    : 0
   +0x004 GrantedAccessIndex : 0
   +0x006 CreatorBackTraceIndex : 0
   +0x004 NextFreeTableEntry : 0


_HANDLE_TABLE_ENTRY结构体中的Object去掉最后3位掩码,就是指向EPROCESS结构体的指针. 

lkd> ? 0x86226021 &FFFFFFF8
Evaluate expression: -2044567520 = 86226020
lkd> dt _EPROCESS -y Image* -y Flag* 86226020
nt!_EPROCESS
   +0x16c ImageFileName : [15]  "System"
   +0x19c ImagePathHash : 0
   +0x26c Flags2 : 0x202d800
   +0x270 Flags : 0x14040800
   +0x270 ImageNotifyDone : 0y0

如果要获取进程的全路径,可以在下面的偏移处获取. 

lkd> dt _EPROCESS -r -y SeA*
nt!_EPROCESS
   +0x1ec SeAuditProcessCreationInfo : _SE_AUDIT_PROCESS_CREATION_INFO
lkd> dt _SE_AUDIT_PROCESS_CREATION_INFO -r
nt!_SE_AUDIT_PROCESS_CREATION_INFO
   +0x000 ImageFileName    : Ptr32 _OBJECT_NAME_INFORMATION
      +0x000 Name             : _UNICODE_STRING
         +0x000 Length           : Uint2B
         +0x002 MaximumLength    : Uint2B
         +0x004 Buffer           : Ptr32 Uint2B


来个例子看下,是系统自带的任务管理器进程的EPROCESS: 

lkd> dt _SE_AUDIT_PROCESS_CREATION_INFO 8898fd40+1ec -r
nt!_SE_AUDIT_PROCESS_CREATION_INFO
   +0x000 ImageFileName    : 0x88082af0 _OBJECT_NAME_INFORMATION
      +0x000 Name             : _UNICODE_STRING "\Device\HarddiskVolume2\Windows\System32\taskmgr.exe"
         +0x000 Length           : 0x68
         +0x002 MaximumLength    : 0x6a
         +0x004 Buffer           : 0x88082af8  "\Device\HarddiskVolume2\Windows\System32\taskmgr.exe"

最后贴上我写的遍历代码 

NTSTATUS CPspCidTable::EnumPspCidTable()
{
	NTSTATUS status = STATUS_SUCCESS;
	ULONG ulPspCidTable = 0;
	PHANDLE_TABLE	pHandleTable = NULL;	// 指向句柄表的指针

	ulPspCidTable = GetPspCidTableValue();
	if ( ulPspCidTable == 0 )
	{
		return STATUS_UNSUCCESSFUL;
	}
	pHandleTable = (PHANDLE_TABLE)(*(PULONG)ulPspCidTable);
	KdPrint(( "pHandleTable->%p", pHandleTable ));

	// 获取循环必须的初始值
	ULONG uTableCode = 0;
	ULONG uFlag = 0;

	uTableCode = (pHandleTable->TableCode) & 0xFFFFFFFC;
	uFlag = (pHandleTable->TableCode) & 0x03;
	KdPrint(( "uTableCode->%08X", uTableCode ));

	switch ( uFlag )
	{
	case 0:
		{
			EnumTable1(uTableCode);
			break;
		}
	case 1:
		{
			EnumTable2(uTableCode);
			break;
		}
	case 2:
		{
			EnumTable3(uTableCode);
			break;
		}
	}

	return status;
}

NTSTATUS CPspCidTable::EnumTable1( ULONG uTableCode )
{
	PHANDLE_TABLE_ENTRY pHandleTableEntry = NULL;

	pHandleTableEntry = (PHANDLE_TABLE_ENTRY)( (ULONG)(*(PULONG)uTableCode) + 8 );
	// KdPrint(( "pHandleTableEntry->%p", pHandleTableEntry ));

	// 循环遍历句柄表,循环必须从1开始,跳过第一个HANDLE_TABLE_ENTRY
	for ( ULONG uIndex = 1; uIndex < 0x200; uIndex++ )
	{
		//pHandleTableEntry += uIndex;
		if ( pHandleTableEntry->Object != NULL )
		{
			PEPROCESS pCurEProcess = (PEPROCESS)(((ULONG)pHandleTableEntry->Object)  & 0xFFFFFFF8);
			//KdPrint(( "pCurEProcess->%p", pCurEProcess ));

			// 判断进程是否结束的标记
			ULONG flag = (*(PULONG)( (PUCHAR)pCurEProcess + 0x270 ) ) & 0x0C;
			// KdPrint(( "flag=%08X", flag ));

			// 打印活动进程
			if ( *(PUCHAR)(pCurEProcess) == 0x03 && flag != 0x0C )
			{
				// +0x16c ImageFileName    : [15] UChar		进程映像名称,只有15个字节,如果进程名称太长,则被截断.
				// +0x1ec SeAuditProcessCreationInfo : _SE_AUDIT_PROCESS_CREATION_INFO 这个结构体中包含进程路径字符串
				KdPrint(( "pCurEProcess->%p----%s", pCurEProcess, (PUCHAR)pCurEProcess + 0x16C) );
			}
		}

		pHandleTableEntry++;
		//KdPrint(( "pHandleTableEntry->%p", pHandleTableEntry ));
	}
	return STATUS_SUCCESS;
}
NTSTATUS CPspCidTable::EnumTable2( ULONG uTableCode )
{
	do 
	{
		// KdPrint(( "uTableCode->%08X", uTableCode ));
		EnumTable1(uTableCode);
		uTableCode += 4;
	} while ( *(PULONG)uTableCode != 0 );

	return STATUS_SUCCESS;
}
NTSTATUS CPspCidTable::EnumTable3( ULONG uTableCode )
{
	do 
	{
		EnumTable2(uTableCode);
		uTableCode += 4;
	} while ( *(PULONG)uTableCode != 0 );

	return STATUS_SUCCESS;
}

ULONG CPspCidTable::GetPspCidTableValue()
{
	PVOID pPsLookupProcessByProcessIdAddress = NULL;
	ULONG ulPspCidTableValue = 0;
	UNICODE_STRING ustrFuncName;

	// 获取PsLookupProcessByProcessId的函数地址
	RtlInitUnicodeString( &ustrFuncName, L"PsLookupProcessByProcessId" );
	pPsLookupProcessByProcessIdAddress = MmGetSystemRoutineAddress( &ustrFuncName );
	if ( pPsLookupProcessByProcessIdAddress == NULL )
	{
		return ulPspCidTableValue;
	}
	KdPrint(( "PsLookupProcessByProcessId->%08X", pPsLookupProcessByProcessIdAddress ));

	// 根据特征定位PspCidTable的值.
	// Win7系统的定位代码如下:
	// 842b5827 8b3db45e1884    mov     edi,dword ptr [nt!PspCidTable (84185eb4)]
	// 842b582d e8f96efdff			call		nt!ExMapHandleToPointer (8428c72b)
	for ( ULONG uIndex = 0; uIndex < 0x1000; uIndex++ )
	{
		if ( *( (PUCHAR)((ULONG)pPsLookupProcessByProcessIdAddress+ uIndex) ) == 0x8B &&
			*( (PUCHAR)((ULONG)pPsLookupProcessByProcessIdAddress+ uIndex + 1) ) == 0x3D &&
			*( (PUCHAR)((ULONG)pPsLookupProcessByProcessIdAddress+ uIndex + 6) ) == 0xE8 )
		{
			KdPrint(("Found OK!!"));
			ulPspCidTableValue = *( (PULONG)((ULONG)pPsLookupProcessByProcessIdAddress+ uIndex + 2) );
			break;
		}
	}

	return ulPspCidTableValue;
}




hacklaolang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一款手工杀毒/Anti-rootkit工具-ixer 0.11开源版
chinghoi's blog
06-15 2953
前言:       随着信息科技的迅速发展,Internet已经成为全球最重要的信息传播工具。当人们在享受网络为我们的工作、生活带来方便和效率的同时,但它们潜在地也带来了安全问题。据统计,凡是刚开始接触过互联网的人,大部分人都或多或少的被入侵、恶意攻击过,并且安全威胁事件逐年上升。可见黑客如此猖獗,应该采取什么手段来防止黑客入侵是大家普遍关心的问题。 长期以来,最为严重的安全威胁就是恶意程序。
C#句柄操作实例遍历窗体、载图
03-22
C#句柄开发实例,遍历窗体现在系统中运行的进程窗体、然后通过句柄操作,实现载图,特别说明,一些进程是不可视的,所以截图会黑屏,我们在后面会增加截图以后的OCR实现,请长期关注我们
驱动保护进程_隐藏进程_遍历内核句柄
07-02
1、改进程PID,隐藏自己的进程 2、断链隐藏自己的进程,防PG 3、设置R3层的访问权限 4、保护指定进程的内存权限 5、遍历进程句柄,并降低指定进程PID句柄权限,里面有遍历内存进程和每个进程句柄的方法 6、操作debugport,防止调试或者使自己脱离调试,检测调试
遍历PspCidTable检测隐藏进程
08-11 331
一、PspCidTable概述 PspCidTable也是一个句柄,其格式与普通的句柄是完全一样的,但它与每个进程私有的句柄有以下不同: 1.PspCidTable中存放的对象是系统中所有的进程线程对象,其索引就是PID和TID。 2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有的句柄则存放的是对象头(OBJECT_HE...
6.5 Windows驱动开发:内核枚举PspCidTable句柄
CSDN
12-01 4202
在 Windows 操作系统内核中,PspCidTable 通常是与进程(Process)管理相关的数据结构之一。它与进程的标识和管理有关,每个进程都有一个唯一的标识符,称为进程 ID(PID)。与之相关的是客户端 ID,它是一个结构,其中包含唯一标识进程的信息。这样的标识符在进程管理、线程管理和内核对象的创建等方面都起到关键作用。
【Web漏洞探索】目录遍历漏洞
kjcxmx的博客
07-01 1461
目录遍历Directory traversal(也称文件路径遍历、目录穿越、路径遍历、路径穿越)是一种允许攻击者在未授权的状态下读取应用服务上任意文件的安全漏洞。这包括应用代码、数据、凭证以及操作系统的敏感文件。在有些情况下,攻击者还可能对服务器里的文件进行任意写入,更改应用数据甚至完全控制服务器。程序系统在实现上没有过滤用户输入的…/之类的目录跳转符,允许攻击者通过提交目录跳转符来遍历服务器上的任意文件。 比如: 当服务器处理传送过来的image1.jpg文件名后,Web应用程序会自动添加完整的路径,比如
linux一些常用指令(根据尚硅谷韩顺平老师视频所写,都是自己手打的)
main_Scanner01的博客
07-07 811
` vim和vi的基本介绍 所有的 Linux 系统都会内建 vi 文本编辑器。 Vim 具有程序编辑的能力,可以看做是Vi的增强版本,可以主动的以字体颜色辨别 语法的正确性,方便程序设计。代码补完、编译及错误跳转等方便编程的功能特别 丰富,在程序员中被广泛使用。 vim和vi的常用的三种模式 正常模式: 以 vim 打开一个档案就直接进入一般模式了(这是默认的模式)。在这个模式中, 你可以使用 『上下左右』按键来移动光标,你可以使用『删除字符』或『删除整行』来处理档案内容, 也可以使用『复制、贴上』来处
26.全局句柄PspCidTable
qq_35129925的博客
07-22 818
https://www.cnblogs.com/kuangke/p/5761615.html
pspcidtable
yaneng的专栏
06-18 1223
第8个男人" 的code里面就做的很好,找到PspCidTable后自己搜索所有的进程对象就行了://----------------------------------------------------------------------VOID IsValidProcess ()/*++Author : 第8个男人Leaner : sudami [[email protected]]T
【Windows内核编程】Win10/Win11通过PspCidTable取得EProcess
懵逼树上懵逼果
08-04 833
内核RING0层运用PspCidTable枚举可能被隐藏、断链的进程,得到EPROCESS对象
PspCidTable 完全解读
weixin_34216036的博客
12-07 207
PspCidTable 完全解读 by sysdog 2009.5.1 Whu ------------------------------------------------------------------------------- 一、句柄 句柄:HADNLE 在winnt.h 定义如下: typedef void *HANDLE; 是一个 3...
C#获取进程的主窗口句柄的实现方法
01-21
通过调用Win32 API实现。 代码如下:public class User32API{ private static Hashtable processWnd = null;  public delegate bool WNDENUMPROC(IntPtr hwnd, uint lParam);  static User32API() { if ...
遍历已知父窗里子窗所有句柄
11-23
遍历已知父窗里子窗所有句柄 的实例
delphi遍历窗体句柄
11-05
delphi遍历窗体句柄 准备区域截图用 类似qq截图
基于pytorch+ResNet50的眼部疾病图片分类源码+文档说明.zip
04-24
详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;
基于yolov5的鸟窝目标检测源码+模型.zip
04-24
YOLO高分设计资源源码,详情请查看资源内容中使用说明 YOLO高分设计资源源码,详情请查看资源内容中使用说明 YOLO高分设计资源源码,详情请查看资源内容中使用说明 YOLO高分设计资源源码,详情请查看资源内容中使用说明YOLO高分设计资源源码,详情请查看资源内容中使用说明YOLO高分设计资源源码,详情请查看资源内容中使用说明YOLO高分设计资源源码,详情请查看资源内容中使用说明YOLO高分设计资源源码,详情请查看资源内容中使用说明YOLO高分设计资源源码,详情请查看资源内容中使用说明YOLO高分设计资源源码,详情请查看资源内容中使用说明YOLO高分设计资源源码,详情请查看资源内容中使用说明YOLO高分设计资源源码,详情请查看资源内容中使用说明YOLO高分设计资源源码,详情请查看资源内容中使用说明YOLO高分设计资源源码,详情请查看资源内容中使用说明YOLO高分设计资源源码,详情请查看资源内容中使用说明YOLO高分设计资源源码,详情请查看资源内容中使用说明YOLO高分设计资源源码,详情请查看资源内容中使用说明YOLO高分设计资源源码,详情请查看资源内容中使用说明YOLO高分设计资源源码,详情请查看资源内容中使用说明YOLO高分设计资源源码,详情请查看资源内容中使用说明YOLO高分设计资源源码,详情请查看资源内容中使用说明YOLO高分设计资源源码,详情请查看资源内容中使用说明YOLO高分设计资源源码,详情请查看资源内容中使用说明YOLO高分设计资源源码,详情请查看资源内容中使用说明YOLO高分设计资源源码,详情请查看资源内容中使用说明YOLO高分设计资源源码,详情请查看资源内容中使用说明
中南财经政法大学-答辩PPT模板我给母校送模板作品.pptx
04-24
PPT模板,答辩PPT模板,毕业答辩,学术汇报,母校模板,我给母校送模板作品,周会汇报,开题答辩,教育主题模板下载。PPT素材下载。
node-v8.7.0-sunos-x64.tar.gz
最新发布
04-24
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
2024-2030全球与中国混合光纤同轴网络市场现状及未来发展趋势.docx
04-24
2024-2030全球与中国混合光纤同轴网络市场现状及未来发展趋势
c++ 遍历进程获取进程指定类型句柄后关闭句柄
02-11
c语言遍历进程并关闭指定类型的句柄的方法如下: 1. 使用 API 函数 EnumProcesses() 枚举所有正在运行的进程。 2. 对于每个进程,使用 OpenProcess() 函数打开进程,并使用 EnumProcessHandles() 函数枚举所有句柄...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值