x64通过PspCidTable遍历进程

最新推荐文章于 2023-03-25 11:36:22 发布
VIP文章 最新推荐文章于 2023-03-25 11:36:22 发布
阅读量2.8k 收藏 4
点赞数
分类专栏: 驱动学习 文章标签: PspCidTable x64遍历进程 句柄表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/51587179
版权

PspCidTable可以在PsLookupProcessByProcessId下寻找

我这硬编码了 只适用于win7 x64 其它版本需要自己改下特征码


#include <ntddk.h>


extern "C" NTKERNELAPI PVOID NTAPI  
ObGetObjectType(  
      IN PVOID pObject  
      ); 

extern "C" NTKERNELAPI UCHAR* 
PsGetProcessImageFileName(
	  IN PEPROCESS Process
	  );

#define   MAX_ENTRY_COUNT (0x1000/16)  //一级表中的 HANDLE_TABLE_ENTRY个数
#define   MAX_ADDR_COUNT   (0x1000/8) //二级表和 三级表中的地址个数

ULONG g_ProcessCount = 0;

typedef struct _EX_PUSH_LOCK                 // 7 elements, 0x8 bytes (sizeof) 
{                                                                              
              union                                    // 3 elements, 0x8 bytes (sizeof) 
              {                                                                          
                  struct                               // 5 elements, 0x8 bytes (sizeof) 
                  {                                                                      
/*0x000*/             UINT64       Locked : 1;         // 0 BitPosition                  
/*0x000*/             UINT64       Waiting : 1;        // 1 BitPosition                  
/*0x000*/             UINT64       Waking : 1;         // 2 BitPosition                  
/*0x000*/             UINT64       MultipleShared : 1; // 3 BitPosition                  
/*0x000*/             UINT64       Shared : 60;        // 4 BitPosition                  
                  };                                                                     
/*0x000*/         UINT64       Value;                                                    
/*0x000*/         VOID*        Ptr;                                                      
              };                                                                         
}EX_PUSH_LOCK, *PEX_PUSH_LOCK;                                                 
                
typedef struct _HANDLE_TRACE_DB_ENTRY // 4 elements, 0xA0 bytes (sizeof) 
          {                                                                        
/*0x000*/     struct _CLIENT_ID ClientId;       // 2 elements, 0x10 bytes (sizeof) 
/*0x010*/     VOID*        Handle;                                                 
/*0x018*/     ULONG32      Type;                                                   
/*0x01C*/     UINT8        _PADDING0_[0x4];
最低0.47元/天 解锁文章
zhuhuibeishadiao
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Windows内核驱动EPROCESS遍历进程模块
12-14
windows驱动 遍历进程模块
x64驱动 遍历 PspCidTable 枚举隐进程和线程
LYSM
06-05 2709
介绍 PspCidTable 是一个内核句柄,存放进程和线程的内核对象(EPROCESS 和 ETHREAD),并通过 PID 和 TID 进行索引(所以进程ID和线程ID不可能相同),ID 号以 4 递增。 获取 PspCidTable 地址 win7: PsLookupProcessByProcessId(被导出) -> PspCidTable win10: PsLookupProcessByProcessId(被导出) -> PspReferenceCidTableEntry -&g
win10 x64驱动实现遍历全局句柄
weixin_41725706的博客
12-06 529
win10 x64驱动遍历全局句柄
【超详细】遍历Windows进程
weixin_34391445的博客
11-11 2006
摘要 遍历系统进程常用的有三种方式 头文件<Tlhelp32.h>,先使用CreateToolhelp32Snapshot创建系统快照,即拷贝一份系统所有进程的信息到指定的结构体PROCESSENTRY32中,然后使用Process32First和Process32Next获得每一个进程的详细信息。需要注意的是编译成32位程...
Windows 10 x64 Ring0 遍历进程
zcy5157912的博客
03-25 209
原理:进程PID都为4的整数倍
在Win7 x64通过PspCidTable枚举进程
qq269813279的博客
06-13 2044
PspCidTable存放着一个结构为_HANDLE_TABLE的指针,_HANDLE_TABLE结构记录句柄的相关信息,句柄存放着所有进程和线程的对象,其索引就是PID和TID,在WinDbg看一下相关的结构。我们遍历进程对象需要关注两个成员,第一个是TableCode,第二个是NextHandleNeedingPool。TableCode:该成员记录级和地址,低2位记录着的级数,掩掉...
深入理解句柄
rongwenbin的专栏
02-26 3501
设计到句柄的有以下这些概念 HANDLE_TABLE HANDLE_TABLE结构体中的TableCode变量 实际上啊,TableCode是指向句柄项第一个句柄项的指针(NULL句柄项) TableCode就是HANDLE_TABLE_ENTRY的指针 但是,当有两级以上时,这个时候就不是了,先来搞定最简单的。 HANDLE_TABLE_ENTRY:句柄项 对象头_OB
用户句柄遍历
Mikasys的博客
10-20 529
私有句柄 _HANDLE_TABLE_ENTRY的Object直接指向_OBJECT_HEADER不用减 #include <ntifs.h> //一个页最大容纳的_HANDLE_TABLE_ENTRY #define MAX_ENTRY_COUNT (0x1000/sizeof(HANDLE_TABLE_ENTRY)) //未公开未文档化 typedef PVOID(NTAPI *OBGETOBJECTTYPE)(IN PVOID pObject); EXTERN_C NTKERNE
HANDLE-->HANDLE_TABLE_ENTRY
SUNE__学无止境
12-16 762
0
通过PEB遍历进程模块(x64/wow4)
HXD1C6001的博客
11-14 495
未整理 转载于:https://www.cnblogs.com/IMRIVER/p/9960785.html
C#遍历系统进程的方法
01-21
本文实例讲述了C#遍历系统进程的方法。分享给大家供大家参考。具体实现方法如下: 建立一个listBox将进程名称遍历进去 this.listBox1.Items.Clear(); Process[] MyProcesses=Process.GetProcesses(); foreach...
易语言遍历进程模块
08-21
易语言遍历进程模块源码系统结构:GetDword,GetWord,GetEaxDword,遍历模块,WideCharToMultiByte,LocalAlloc,LocalFree, ======窗口程序集1 || ||------GetDword || ||------GetWord || ||------GetEaxDword || ||----...
C++调用WMI遍历进程
06-15
详细演示了C++调用WMI遍历进程的整个过程,有详细注释,代码可以直接复用。
关于驱动隐藏那点事(不触发PG 支持win10)
热门推荐
zhuhuibeishadiao
07-21 1万+
已开源:https://github.com/ZhuHuiBeiShaDiao/NewHideDriverEx 更新:支持seh,原理自己逆下 将seh挂到其它模块上而已. 看网上用此方法隐藏用的挺嗨啊,麻烦打个出处,谢谢了. 没必要藏着,人生没有必要为这些小玩意小打小闹。 看到某些哥们这搞搞那搞搞,BSOD PATCHGUARD 无语,WRK是个好东西啊! 还有半年来也没怎么发博客,惭...
MiniFilter文件系统学习
zhuhuibeishadiao
04-23 1万+
Minfilter与legacy filter区别 比sfilter加载顺序更易控制. altitude被绑定到合适的位置。  Minfilter在注册服务项中有一项Altitude值 此值越高位置越靠前 (待考证 每一个minifilter驱动必须有一个叫做altitude的唯一标识符.一个minifilter驱动的altitude定义了它加载时在I/O栈中相对其他minifi
Minifilter过滤,功能实现对驱动目录的监控,包括创建,重命名,删除并实现hips
zhuhuibeishadiao
05-02 1万+
注意下:我的这套过滤只能用在nt6系统上 原因是使用一个nt6上才有的函数 见函数 PsGetProcessFullName 其实没必要自己来写获取全路径 因为minifilter已经给我们提供了获取全路径的函数 FltGetFileNameInformation 我就不改了,哈哈 说说遇到的问题吧 在监控创建的时候,我在卸载post中的,我拒绝后,在弹窗,2-3
攻破Win7~Win10 PatchGuard(KPP & DSE)【支持Win10 TH1/TH2/RS1/RS2】【WIN64内核越狱】
zhuhuibeishadiao
01-13 1万+
最新状态:已放弃Win7.Win8,8.1的静态Patch,专注于Win10 PatchGuard. 1.重启内核越狱,支持Win7~Win10 Win10 10.0.10240.0 ~ Win10.10.0.14939.693(2017.1.11更新至693最新版) Win8 6.3.9600.18289 ~ 6.3.9600.18378(已停止更新) Win7 6.1.7601.177
利用ObRegisterCallbacks保护进程并附上突破ObRegisterCallbacks的方法[未更新]
zhuhuibeishadiao
05-02 9152
写上未更新的原因是我觉得 当初写这篇文章的时候理解的还是不够彻底,现在又了新的认识,待老夫有时间的时候在来重写一次 这里附上新的突破方法 我已经我写的时候已经写上了 今天发到博客的时候才发现没写,来补上 可以看我发到梦老大论坛的帖子,直接看第三种方法就行,前面两种我都服了,这样获取对象类型,太年轻啊 http://www.mengwuji.net/forum.php?mod=viewthr
Windows C语言驱动遍历进程获取进程参数
最新发布
05-30
要在Windows C语言驱动程序中遍历进程并获取进程参数,可以使用以下步骤: 1. 获取当前进程的EPROCESS结构体指针,可以使用PsGetCurrentProcess函数。 2. 使用PsLookupProcessByProcessId函数遍历系统中所有的进程...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值