(转载)再谈进程与端口的映射

最新推荐文章于 2022-12-24 14:24:08 发布
最新推荐文章于 2022-12-24 14:24:08 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: Windows下的程序设计 深入探索Windows系统 文章标签: attributes file struct windows object microsoft
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kendiv/article/details/257377
版权

再谈进程与端口的映射


创建时间:2002-02-05
文章属性:原创
文章来源: www.whitecell.org
文章提交: ILSY (masteruser_at_263.net)

Author  : ilsy
Email   : ilsy@whitecell.org
HomePage: http://www.whitecell.org

日  期:2002-02-06
类  别:安全
关键字:进程 PDE PTE 分页 内核对象 线性地址 物理地址


    关于进程与端口映射的文章已经有很多了,我把我对fport的分析也写出来,让大家知道fport是如何工作的.
fport.exe是由foundstone team出品的免费软件,可以列出系统中所有开放的端口都是由那些进程打开的.而下
面所描述的方法是基于fport v1.33的,如果和你机器上的fport有出入,请检查fport版本.

    首先,它检测当前用户是否拥有管理员权限(通过读取当前进程的令牌可知当前用户是否具有管理权限,请参考
相关历程),如果没有,打印一句提示后退出,然后设置当前进程的令牌,接着,用ZwOpenSection函数打开内核对象
/Device/PhysicalMemory,这个对象用于对系统物理内存的访问.ZwOpenSection函数的原型如下:

NTSYSAPI
NTSTSTUS
NTAPI
ZwOpenSection(
    Out PHANDLE sectionHandle;
    IN ACCESS_MASK DesiredAccess;
    IN POBJECT_ATTRIBUTES ObjectAttributes
    };
(见ntddk.h)

第一个参数得到函数执行成功后的句柄
第二个参数DesiredAccess为一个常数,可以是下列值:
    #define SECTION_QUERY       0x0001
    #define SECTION_MAP_WRITE   0x0002
    #define SECTION_MAP_READ    0x0004
    #define SECTION_MAP_EXECUTE 0x0008
    #define SECTION_EXTEND_SIZE 0x0010

    #define SECTION_ALL_ACCESS (STANDARD_RIGHTS_REQUIRED|SECTION_QUERY|/
                            SECTION_MAP_WRITE |      /
                            SECTION_MAP_READ |       /
                            SECTION_MAP_EXECUTE |    /
                            SECTION_EXTEND_SIZE)
    (见ntddk.h)
第三个参数是一个结构,包含要打开的对象类型等信息,结构定义如下:
    typedef struct _OBJECT_ATTRIBUTES {
        ULONG Length;
        HANDLE RootDirectory;
        PUNICODE_STRING ObjectName;
        ULONG Attributes;
        PVOID SecurityDescriptor;        // Points to type SECURITY_DESCRIPTOR
        PVOID SecurityQualityOfService;  // Points to type SECURITY_QUALITY_OF_SERVICE
    } OBJECT_ATTRIBUTES;
    typedef OBJECT_ATTRIBUTES *POBJECT_ATTRIBUTES;
    (见ntdef.h)
对于这个结构的初始化用一个宏完成:
    #define InitializeObjectAttributes( p, n, a, r, s ) { /
        (p)->Length = sizeof( OBJECT_ATTRIBUTES );          /
        (p)->RootDirectory = r;                             /
        (p)->Attributes = a;                                /
        (p)->ObjectName = n;                                /
        (p)->SecurityDescriptor = s;                        /
        (p)->SecurityQualityOfService = NULL;               /
        }
    (见ntdef.h)
那么,打开内核对象/Device/PhysicalMemory的语句如下:
WCHAR    PhysmemName[] =        L"//Device//PhysicalMemory";
void *  pMapPhysicalMemory;
HANDLE  pHandle;

bool    OpenPhysicalMemory()
{
    NTSTATUS    status;
    UNICODE_STRING    physmemString;
    OBJECT_ATTRIBUTES attributes;
    RtlInitUnicodeString( &physmemString, PhysmemName ); //初始化Unicode字符串,函数原型见ntddk.h    
    InitializeObjectAttributes( &attributes, &physmemString,
                     OBJ_CASE_INSENSITIVE, NULL, NULL ); //初始化OBJECT_ATTRIBUTES结构
    status = ZwOpenSection(pHandle, SECTION_MAP_READ, &attributes ); //打开内核对象/Device/PhysicalMemory,获得句柄
    if( !NT_SUCCESS( status ))
        return false;
    pMapPhysicalMemory=MapViewOfFile(pHandle,FILE_MAP_READ,
                           0,0x30000,0x1000);
    //从内存地址0x30000开始映射0x1000个字节
    if( GetLastError()!=0)
        return false;                     
    return true;
}

    为什么要从0x30000开始映射呢,是这样,我们知道,在Windows N
最低0.47元/天 解锁文章
Kendiv
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于端口进程映射
天使的薄荷
07-26 2706
    网上的那些所谓的谈端口进程映射的例子都不能使用,后来买了这本书,找到了好用的例子。真不明白那些人为什么要把没有用的了例子放到网上去恶心人,自己连试也不试就放到了网上,真的很让人恶心。    这个例子是《visusl c++网络程序设计实例详解》(人民邮电)第七章里面的最后一个例子,很好用,所以放到网上来和大家分享一下。    使用下面的代码的前提是要安装windows2003的Platf
(转载)《再谈进程端口映射》之狗尾续貂篇
Kendiv's Box
01-18 2143
再谈进程端口映射》之狗尾续貂篇发布日期:2004-05-08文摘内容: 文摘出处:http://www.xfocus.net/articles/200405/695.html创建时间:2004-05-01文章属性:原创文章提交:hhhkkk (hac01_at_163.com)《再谈进程端口映射》之狗尾续貂篇日  期:2004-5-1作  者:hhhkkk  [hhkkk@126
再谈进程端口映射
Matrix_Designer的专栏
09-27 566
关于进程端口映射的文章已经有很多了,我把我对fport的分析也写出来,让大家知道fport是如何工作的.<br /> fport.exe是由foundstone team出品的免费软件,可以列出系统中所有开放的端口都是由那些进程打开的.而下<br /> 面所描述的方法是基于fport v1.33的,如果和你机器上的fport有出入,请检查fport版本.<br /><br />     首先,它检测当前用户是否拥有管理员权限(通过读取当前进程的令牌可知当前用户是否具有管理权限,请参考<br
.NET Remoting中的事件处理
高海东的专栏
04-12 3160
.NET Remoting中的事件处理 好多人都对Remoting中的事件处理很疑惑,现将完整实现Remoting中事件处理的过程写出来,并对容易犯错误的地方进行总结,希望能给大家一些帮助。现假设有一个留言板程序:以下代码中,MsgBoard为以Singleton模式存活于服务器端的共享留言板实例,AddMessage是客户端添加留言的接口,MsgBoard定义如下:    public clas
windows vc++通过tcp、udp端口号获取对应进程的id和名称
qq_37243144的博客
03-17 931
1、process_net_info.h头文件 #pragma once #include <Windows.h> #include <iostream> #include <vector> enum TcpOrUdp { TcpType, UdpType }; //=====================================================================================// //Nam
vc++进程端口映射 源代码
03-28
进程端口映射
思科ASA防火墙端口映射
01-07
需求将内网主机10.24.11.216的80端口映射到外网19909端口 ASA5506X> en Password: ******** ASA5506X# conf t ASA5506X(config)# object network serverMES216_port80_map ASA5506X(config-network-object)# host ...
Docker端口映射与容器关联
01-07
端口映射与容器关联 从外部访问容器应用 ubuntu@ubuntu18:/tmp/dockertmp$ docker pull training/webapp Using default tag: latest latest: Pulling from training/webapp e190868d63f8: Pull complete 909cd34c6fd...
路由器端口映射怎么添加和删除?
10-01
路由器端口映射怎么添加和删除?路由器想要添加端口映射,该怎么添加呢?下面我们就来看看路由器端口映射的添加和删除方法,需要的朋友可以参考下
9.12-NAT Server(端口映射)ensp工程文件
04-25
9.12-NAT Server(端口映射)ensp工程文件 详细教程见 https://www.orcy.net.cn/2313.html
易语言-易语言API调用TCP/UDP查看IP地址IP端口进程ID的例子
06-26
本例子讲解API调用GetExtendedTcpTable和GetExtendedUdpTable实现查看本地连接的TCP和UDP的IP地址IP端口和所占用的进程ID,用途广泛,懂的人自然懂,不多解释。 GetExtendedTcpTable与 GetTcpTable GetTcpTable2 AllocateAndGetTcpExTableFromStack 写法和读法基本一致。 而InternalGetUdpTableWithOwnerPid和AllocateAndGetUdpExTableFromStack不支持查询连接外网的IP 发现只有GetExtendedUdpTable能读外网IP地址但读法还和TCP的不一样,而用网截支持库又太麻烦还容易报毒。
如何找出哪个进程正在侦听 Windows 上的 TCP 或 UDP 端口? [关闭]
kalman2019的博客
12-24 1539
关闭。此问题不符合 Stack Overflow 准则。它目前不接受答案。我们不允许在 Stack Overflow 上提出有关通用计算硬件和软件的问题。您可以编辑问题,使其成为 Stack Overflow 的主题。 5个月前关闭。社区在 5 个月前审查了是否重新打开此问题并将其关闭:原始关闭原因未解决 改进此问题如何找出哪个进程正在侦听 Windows 上的 TCP 或 UDP 端口
PID和端口关系映射学习
spiderlily的专栏
12-09 1248
程序功能是获取系统进程ID和TCP/UDP端口映射关系,利用的是AllocateAndGetTcpExTableFromStack和AllocateAndGetUdpExTableFromStack函数,这两个函数在WIN7之后已经不适用了,虽然有些过时,但对我这种菜鸟学习基础来说还是很有帮助的。         PS:如果想获取进程名与端口映射关系要麻烦些,需要自己写个函数,通过进程枚举,
PFNAllocateAndGetTcpExTableFromStack函数
osdeep的专栏
12-15 961
ip助手中的未公开的函数typedef struct {  DWORD   dwState;         // 连接状态  DWORD   dwLocalAddr;     // 本地地址  DWORD   dwLocalPort;     // 本地端口  DWORD   dwRemoteAddr;    // 远程地址  DWORD   dwRemotePort;    // 远程端口
进程端口映射
weixin_34248258的博客
02-20 146
文章目录:                   1. Demo 效果展示: 2. 进程端口乱扯淡: 3. 查询进程端口的 API 的介绍: 4. 根据进程 ID 获得该进程所打开的 TCP 和 UDP 端口: 5. 根据端口号来获得打开该端口号的进程: 6. 小结:                           1. Demo 效果展示:             ...
几个重要windows驱动函数分析
瘦子
11-17 1383
1.  AFX_MANAGE_STATE(AfxGetStaticModuleState())    动态链接到MFC的规则DLL应用程序里头的输出函数可以被任意Win32程序使用,包括使用MFC的应用程序。 但是,所有从DLL输出的函数应该以如下语句开始:AFX_MANAGE_STATE(AfxGetStaticModuleState())   此语句用来正确地切换MFC模块状态。
国内外安全网站网址大集合
weixin_34278190的博客
04-15 3423
国内安全 http://security.zz.ha.cn/ 起点安全,有相当不错的原创内容 国内安全 http://www.shopsky.com/ flashsky的个人主页 国内安全 http://www.safechina.net 有较多原创内容的安全站 国内安...
windows网络连接表 根据连接远程的ip端口判断本地程序
xmas
06-29 508
#include #include #include #include #include #include #pragma comment(lib, "ws2_32.lib") #pragma comment(lib, "iphlpapi.lib") #ifdef NTDDI_VERSION #if(NTDDI_VERSION>=0x0600) typedef en
PID<->Port
CC's Blog
04-18 4099
前几天在网上找到了个通过端口获得进程ID,和通过进程ID获取端口的例子,先存下来,有空细研究。。。。 上传个VC下能编译运行的工程,所需头文件也放在了工程里,不用再找了。。。 http://download.csdn.net/detail/change518/4236155 //Netstat -anb #include #include "Psapi.h" #i
路由器映射端口进程端口有什么不同
最新发布
05-05
路由器映射端口进程端口是两个不同的概念。 路由器映射端口通常是指在 NAT 网络中,将路由器外部 IP 地址的某个端口映射到内部网络的某个主机和端口。这样,外部网络可以通过路由器的映射端口访问内部网络的服务...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值