PspCidTable攻与防

最新推荐文章于 2024-04-23 17:09:00 发布
最新推荐文章于 2024-04-23 17:09:00 发布
阅读量1.2k 收藏 1
点赞数 1
文章标签: table null object 算法 工作 c

转自:http://hi.baidu.com/_achillis/blog/item/2bb59619d8019cbc4bedbc56.html

 

PspCidTable的攻与防,其实就是进程隐藏与检测所涉及到的一部分工作~~
不管基于PspCidTable的进线程检测,还是抹PspCidTable进行进程对象的隐藏,都涉及到 对PspCidTable的遍历 .
所以如何安全正确地遍历PspCidTable才是该技术的关键
一、获取PspCidTable的地址
常用的方法是从前面提到的三个查询PspCidTable的函数中特征搜索.
PsLookupProcessThreadByCid()
PsLookupProcessByProcessId()
PsLookupThreadByThreadId()
比如PsLookupProcessByProcessId()中:
  1. lkd> u
  2. nt!PsLookupProcessByProcessId+0x12:
  3. 8057ce2f ff8ed4000000     dec      dword ptr [esi+0D4h]
  4. 8057ce35 ff35e0955680     push     dword ptr [nt!PspCidTable (805695e0)] //就是这儿了
  5. 8057ce3b e89b1dffff       call     nt!ExMapHandleToPointer (8056ebdb)
  6. 8057ce40 8bd8             mov      ebx,eax

这个方法没什么好说的,匹配就是了~
另一种方法是从KPCR中取,我比较喜欢这种方法:
lkd> dt _KPCR ffdff000
nt!_KPCR
   +0x000 NtTib            : _NT_TIB
   ...
   +0x034 KdVersionBlock   : 0x80555038
lkd> dd 0x80555038
80555038 0a28000f 00020006 030c014c 0000002d
80555048 804e0000 ffffffff 80563420 ffffffff //这里分别是KernelBase和PsLoadedModuleList
...
805550a8 80563420 00000000 805694d8 00000000 //这里是PsLoadedModuleList和PsActiveProcessHead
805550b8 805695e0 00000000 8056ba08 00000000 //这里是PspCidTable和ExpSystemResourcesList
代码如下:

  1. PHANDLE_TABLE PspCidTable;
  2. _asm
  3. {
  4.     mov eax,fs:[0x34]
  5.     mov eax,[eax+0x80]
  6.     mov eax,[eax]
  7.     mov PspCidTable,eax
  8. }
  9. DbgPrint("PspCidTable=0x%08X/n" ,PspCidTable);

二、如何遍历PspCidTable
第一种方法是使用导出的ExEnumHandleTable,优点是该函数导出了,用起来安全快捷
可能的缺点也是因为被导出了,所以比较容易被XX再XXX,不是足够可靠~
函数原型如下:
NTKERNELAPI
BOOLEAN
ExEnumHandleTable (
PHANDLE_TABLE HandleTable,
EX_ENUMERATE_HANDLE_ROUTINE EnumHandleProcedure,
PVOID EnumParameter,
PHANDLE Handle
);
typedef BOOLEAN (*EX_ENUMERATE_HANDLE_ROUTINE)(
IN PHANDLE_TABLE_ENTRY HandleTableEntry,
IN HANDLE Handle,
IN PVOID EnumParameter
    );
我们只要自己实现EnumHandleProcedure就可以了,传递给我们的参数有HANDLE_TABEL_ENTRY的指针和对应的句柄.
HandleTableEntry->Object就拿到对象了,接下来嘛,该干啥干啥~

  1. BOOLEAN MyEnumerateHandleRoutine(
  2.      IN PHANDLE_TABLE_ENTRY HandleTableEntry,
  3.      IN HANDLE Handle,
  4.      IN PVOID EnumParameter
  5.      )
  6. {
  7.     BOOLEAN Result=FALSE;
  8.     ULONG ProcessObject;
  9.     ULONG ObjectType;
  11.      ProcessObject=(HandleTableEntry->Value)&~7; //掩去低三位
  12.     
  13.      ObjectType=*(ULONG *)(ProcessObject-0x10);//取对象类型
  14.     if (ObjectType==(ULONG )PsProcessType)//判断是否为Process
  15.      {
  16.          (*(ULONG *)EnumParameter)++;
  17.         //注意PID其实就是Handle,而不是从EPROCESS中取,可以对付伪pid
  18.          DbgPrint("PID=%4d/t EPROCESS=0x%08X %s/n" ,Handle,ProcessObject,PsGetProcessImageFileName((PEPROCESS)ProcessObject));
  19.      }
  20.     return Result;//返回FALSE继续
  21. }

然后这样调用:
ExEnumHandleTable(PspCidTable,MyEnumerateHandleRoutine,NULL,&hLastHandle);
好了,打开DebugView看结果吧,还不错~~

第二种方法就是自己遍历PspCidTable了,结构嘛前面已经清楚了,和普通句柄表结构一样,不难下手.
自己实现一个山寨的MyEnumHandleTable了,接口和ExEnumHandleTable一样~~

  1. #define    MAX_ENTRY_COUNT (0x1000/8)  //一级表中的HANDLE_TABLE_ENTRY个数
  2. #define    MAX_ADDR_COUNT   (0x1000/4) //二级表和三级表中的地址个数
  4. BOOLEAN
  5. MyEnumHandleTable (
  6. PHANDLE_TABLE HandleTable,
  7. MY_ENUMERATE_HANDLE_ROUTINE EnumHandleProcedure,
  8. PVOID EnumParameter,
  9. PHANDLE Handle
  10.      )
  11. {
  12. ULONG i,j,k;
  13. ULONG_PTR CapturedTable;
  14.     ULONG TableLevel;
  15. PHANDLE_TABLE_ENTRY TableLevel1,*TableLevel2,**TableLevel3;
  16. BOOLEAN CallBackRetned=FALSE;
  17. BOOLEAN ResultValue=FALSE;
  18. ULONG MaxHandle;
  19. //判断几个参数是否有效
  20. if (!HandleTable
  21.    && !EnumHandleProcedure
  22.    && !MmIsAddressValid(Handle))
  23. {
  24.   return ResultValue;
  25. }
  26. //取表基址和表的级数
  27. CapturedTable=(HandleTable->TableCode)&~3;
  28. TableLevel=(HandleTable->TableCode)&3;
  29. MaxHandle=HandleTable->NextHandleNeedingPool;
  30. DbgPrint("句柄上限值为0x%X/n" ,MaxHandle);
  31. //判断表的等级
  32. switch(TableLevel)
  33. {
  34. case 0:
  35.    {
  36.    //一级表
  37.     TableLevel1=(PHANDLE_TABLE_ENTRY)CapturedTable;
  38.     DbgPrint("解析一级表0x%08x.../n" ,TableLevel1);
  39.    for (i=0;i<MAX_ENTRY_COUNT;i++)
  40.     {
  41.      *Handle=(HANDLE )(i*4);
  42.     if (TableLevel1[i].Object && MmIsAddressValid(TableLevel1[i].Object))
  43.      {
  44.      //对象有效时,再调用回调函数
  45.       CallBackRetned=EnumHandleProcedure(&TableLevel1[i],*Handle,EnumParameter);
  46.      if (CallBackRetned)  break ;
  47.      }
  48.     }//end of for i
  49.     ResultValue=TRUE;
  50.    
  51.    }
  52.   break ;
  53. case 1:
  54.    {
  55.    //二级表
  56.     TableLevel2=(PHANDLE_TABLE_ENTRY*)CapturedTable;
  57.     DbgPrint("解析二级表0x%08x.../n" ,TableLevel2);
  58.     DbgPrint("二级表的个数:%d/n" ,MaxHandle/(MAX_ENTRY_COUNT*4));
  59.    for (j=0;j<MaxHandle/(MAX_ENTRY_COUNT*4);j++)
  60.     {
  61.      TableLevel1=TableLevel2[j];
  62.     if (!TableLevel1)
  63.      break ; //为零则跳出
  64.     for (i=0;i<MAX_ENTRY_COUNT;i++)
  65.      {
  66.       *Handle=(HANDLE )(j*MAX_ENTRY_COUNT*4+i*4);
  67.      if (TableLevel1[i].Object && MmIsAddressValid(TableLevel1[i].Object))
  68.       {
  69.       //对象有效时,再调用回调函数
  70.        CallBackRetned=EnumHandleProcedure(&TableLevel1[i],*Handle,EnumParameter);
  71.       if (CallBackRetned)  break ;
  72.       //DbgPrint("Handle=%d/tObject=0x%08X/n",Handle,(TableLevel1[i].Value)&~3);
  73.       }
  74.      }//end of for i
  75.     }//end of for j
  76.     ResultValue=TRUE;
  77.    }
  78.   break ;
  79. case 2:
  80.    {
  81.    //三级表
  82.     TableLevel3=(PHANDLE_TABLE_ENTRY**)CapturedTable;
  83.     DbgPrint("解析三级表0x%08x.../n" ,TableLevel3);
  84.     DbgPrint("三级表的个数:%d/n" ,MaxHandle/(MAX_ENTRY_COUNT*4*MAX_ADDR_COUNT));
  85.    for (k=0;k<MaxHandle/(MAX_ENTRY_COUNT*4*MAX_ADDR_COUNT);k++)
  86.     {
  87.      TableLevel2=TableLevel3[k];
  88.     if (!TableLevel2)
  89.      break ; //为零则跳出
  90.     for (j=0;j<MaxHandle/(MAX_ENTRY_COUNT*4);j++)
  91.      {
  92.       TableLevel1=TableLevel2[j];
  93.      if (!TableLevel1)
  94.       break ; //为零则跳出
  95.      for (i=0;i<MAX_ENTRY_COUNT;i++)
  96.       {
  97.        *Handle=(HANDLE )(k*MAX_ENTRY_COUNT*MAX_ADDR_COUNT+j*MAX_ENTRY_COUNT+i*4);
  98.       if (TableLevel1[i].Object && MmIsAddressValid(TableLevel1[i].Object))
  99.        {
  100.        //对象有效时,再调用回调函数
  101.         CallBackRetned=EnumHandleProcedure(&TableLevel1[i],*Handle,EnumParameter);
  102.        if (CallBackRetned)  break ;
  103.        //DbgPrint("Handle=%d/tObject=0x%08X/n",Handle,(TableLevel1[i].Value)&~3);
  104.        }
  105.       }//end of for i
  106.      }//end of for j
  107.     }//end of for k
  108.     ResultValue=TRUE;
  109.    }
  110.      break ;
  111. default :
  112.    {
  113.     DbgPrint("Shoud NOT get here!/n" );
  114.    }
  115.      break ;
  116. }//end of switch
  117. return ResultValue;
  118. }

在回调函数中,我们可以根据情况作出具体处理.若是检测进程,就像我写的那样,检查一下对象类型是Process的就记录之~
若是抹PspCidTable,则将相应的Object清零,并设置到FirstFree,达到这个Handle就像真的被Destroy了一样的效果~
Futo_enhanced的驱动中是这样写的(稍稍改动了一下,假设是在抹掉一个EPROCESS):
p_tableEntry[a].Object = 0;
p_tableEntry[a].GrantedAccess = PspCidTable->FirstFree;
PspCidTable->FirstFree = pid ;
这里涉及到句柄的分配算法了.这样,基于PspCidTable的进程检测就歇菜了.但是上一篇的分析提到了,进线程退出时会调用 ExDestroyHandle()销毁句柄,若找不到就会蓝屏.因此,必须在被保护的目标进程及其线程退出前的某个时候把抹掉的进线程对象再放回去.结 束线程其实就是给线程插APC执行PspExitThread(),而PspExitThread()会调用 PspCreateThreadNotifyRoutine,因此在这个回调中把线程对象放回去是合适的.同法,进程在退出时调用的 PspExitProcess()也会执行PspCreateProcessNotifyRoutine,此时再把进程对象放回去.这里我想如不设置 FirstFree为我们抹掉的句柄项,这个被我们抹掉的HANDLE_TABLE_ETNRY项会被保留吗?
另外也可以来个ObjectHook,Fuck掉PsProcessType->TypeInfo->DeleteProcedure和 PsThreadType->TypeInfo->DeleteProcedure然后是隐藏掉的进程就照顾一下~~~
下面是PsProcessType的部分内容:
   +0x02c DumpProcedure    : (null)
   +0x030 OpenProcedure    : (null)
   +0x034 CloseProcedure   : (null)
   +0x038 DeleteProcedure : 0x805d2cdc     void nt!PspProcessDelete+0
    +0x03c ParseProcedure   : (null)
   +0x040 SecurityProcedure : 0x805f9150     long nt!SeDefaultObjectMethod+0
   +0x044 QueryNameProcedure : (null)
   +0x048 OkayToCloseProcedure : (null)
总之,只要在PspCidTable中找到空位把目标进程的EPROCESS和ETHREAD再放回去,并且其索引与 EPROCESS->UniqueProcessId和ETHREAD->Cid.UniqueThread保持一致就可以了.抽点时间写个 隐藏进程的Demo练习下~~

 

wowbell
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Win64 驱动内核编程-30.枚举与删除线程回调
天使也掉毛
04-04 4478
枚举与删除线程回调 进程回调可以监视进程的创建和退出,这个在前面的章节已经总结过了。某些游戏保护的驱动喜欢用这个函数来监视有没有黑名单中的程序运行,如果运行则阻止运行或者把游戏退出。而线程回调则通常用来监控远程线程的建立,如果发现有远程线程注入到了游戏进程里,则马上把游戏退出。现在来详细讲解如何绕过这个两个监控。 我们注册的进程回调,会存储在一个名为PspCreateProc...
一款手工杀毒/Anti-rootkit工具-ixer 0.11开源版
chinghoi's blog
06-15 2953
前言:       随着信息科技的迅速发展,Internet已经成为全球最重要的信息传播工具。当人们在享受网络为我们的工作、生活带来方便和效率的同时,但它们潜在地也带来了安全问题。据统计,凡是刚开始接触过互联网的人,大部分人都或多或少的被入侵、恶意攻击过,并且安全威胁事件逐年上升。可见黑客如此猖獗,应该采取什么手段来防止黑客入侵是大家普遍关心的问题。 长期以来,最为严重的安全威胁就是恶意程序。
cid.zip_pspcidtable_进程_驱动
09-21
通过PspCidTable遍历进程线程,并用PspTerminateThreadByPointer结束,无硬编码,在XP下测试通过
[note]枚举进程之二(句柄表分析篇)
a519609598的博客
09-18 270
继续接着上篇,这一篇说下句柄表,关于handletable,其实也已经相当科普了~基础知识还是学习下吧. 继续引用下V大的思路. 3.通过pspCidTable获得进程表c4.通过handletablelisthead获得进程表d5.通过csrss的handletable用2种方法枚举获得进程表e和f6.通过扫描当前进程的handletable获得进程表g 在解释如何通过这...
内核PspCidTable句柄表遍历获取隐藏进程
CrazyWolf的专栏
09-23 2339
先从WinDBG中来看下PspCidTable. lkd> dd pspcidtable 84196eb4 8ae011c8 00000000 80000018 00000101 84196ec4 800005e0 80000020 00000000 00000000 84196ed4 00000000 00000000 00000000 00000113 84196ee4 0000
6.5 Windows驱动开发:内核枚举PspCidTable句柄表
CSDN
12-01 4207
在 Windows 操作系统内核中,PspCidTable 通常是与进程(Process)管理相关的数据结构之一。它与进程的标识和管理有关,每个进程都有一个唯一的标识符,称为进程 ID(PID)。与之相关的是客户端 ID,它是一个结构,其中包含唯一标识进程的信息。这样的标识符在进程管理、线程管理和内核对象的创建等方面都起到关键作用。
pspcidtable
yaneng的专栏
06-18 1223
第8个男人" 的code里面就做的很好,找到PspCidTable后自己搜索所有的进程对象就行了://----------------------------------------------------------------------VOID IsValidProcess ()/*++Author : 第8个男人Leaner : sudami [[email protected]]T
[转载]基于pspCidTable的进程检测技术
yaneng的专栏
06-18 4270
基于pspCidTable的进程检测技术文章作者:gz1x信息来源:邪恶八进制信息安全团队(www.eviloctal.com)一.     pspCidTable概念及内核调试二.     获取pspCidTable的方法三.     几种进程检测方法的对比四.     anti-pspCidTable技术及其他一.     pspCidTable概念及内核调试-----------------
PspCidTable 完全解读
weixin_34216036的博客
12-07 207
PspCidTable 完全解读 by sysdog 2009.5.1 Whu ------------------------------------------------------------------------------- 一、句柄 句柄:HADNLE 在winnt.h 定义如下: typedef void *HANDLE; 是一个 3...
关于PspCidTable
zfdyq
10-20 910
PspCidTable为一个全局变量,其格式与普通的句柄表是完全一样的. 但它与每个进程私有的句柄表有以下不同:  1.PspCidTable中存放的对象是系统中所有的进线程对象指针,其索引就是PID和CID  2.PspCidTable中存放是对象体(指向EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HEADER)  3.PspCidTable
pspCidTAble完全解读
06-17
完全分析了句柄,句柄表和pspCidTAble,并有windbg实验验证
一种基于PspCidTable的进程检测方法
02-26
一种基于PspCidTable的进程检测方法
FU_rootkit
11-09
实现进程隐藏的rootkit代码。通过DKOM,抹pspcidtable等多种方式隐藏进程。
【Leetcode】2007. 从双倍数组中还原原数组
weixin_43627638的博客
04-19 311
一个整数数组original可以转变成一个数组changed,转变方式为将original中每个元素加入数组中,然后将所有元素。给你一个数组changed,如果change是数组,那么请你返回original数组,否则请返回空数组。original的元素可以以顺序返回。
算法刷题-16
qq_45773834的博客
04-21 639
学习来源: leetcode,牛客 https://programmercarl.com https://www.yuque.com/taxing-qarr6/hxitgt/dedugmp09knerdi1
DFS与回溯专题:路径总和问题
孤舟一叶~的博客
04-19 793
对二叉树进行dfs搜索,递归计算每条路径的节点值之和,当某个节点的左右子节点都为空时,说明已经搜索完成某一条路径,将它与目标值进行比较,若相等,则为true。路径恢复: 向上回溯前,需要将当前节点从路径 list 中删除,即执行list.remove(list.size() - 1)。为什么要写list_all.add(new ArrayList(list)),而不是list_all.add(list)?注意:解释里面的sum.add(path)就是list_all.add(list)
有关栈的练习
luhaimin7的博客
04-19 1304
有关栈的练习
牛客NC233 加起来和为目标值的组合(四)【中等 DFS C++、Java、Go、PHP】
weixin_37991016的博客
04-22 194
代码中的类名、方法名、参数名已经指定,请勿修改,直接返回方法规定的值即可。* @param nums int整型一维数组。* @param target int整型。* @return int整型。
[Algorithm][二分查找][山峰数组的峰顶索引][寻找峰值][寻找旋转排序数组中的最小值][0~n-1中缺失的数字]详细讲解
SnowK博客
04-23 442
[Algorithm][二分查找][山峰数组的峰顶索引][寻找峰值][寻找旋转排序数组中的最小值][0~n-1中缺失的数字]详细讲解
代码随想录算法训练营day40
最新发布
weixin_43390031的博客
04-23 316
1为头,左子树节点个数为0,右子数节点个数为2,即dp[0]*dp[2],2为头,dp[1]*dp[1],3为头dp[2]*dp[0]。故对dp[i],我们也考虑1到i为头节点的数量相加,dp[i]=dp[0]*dp[i-1]+dp[1]*dp[i-2]+…时间复杂度O(n^2)。(i-2)取最大值,综合讨论一下就是拆成i-j和j,然后比较dp[i-j]*j和(i-j)*j的最大值,这里因为dp[i-j]必须要进行至少拆成两个数,所以没有包含i-j,故我们还需要比较i-j,递推公式就是。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值