用户句柄表的遍历

已于 2023-01-28 01:15:54 修改
阅读量627 收藏
点赞数
分类专栏: 驱动 Windows 逆向 文章标签: 操作系统 内核
于 2021-10-20 13:42:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mikasys/article/details/116950408
版权
驱动 同时被 3 个专栏收录
30 篇文章 5 订阅
订阅专栏
逆向
30 篇文章 4 订阅
订阅专栏
Windows
7 篇文章 2 订阅
订阅专栏

私有句柄表
_HANDLE_TABLE_ENTRY的Object直接指向_OBJECT_HEADER不用减

#include <ntifs.h>

//一个页最大容纳的_HANDLE_TABLE_ENTRY
#define MAX_ENTRY_COUNT (0x1000/sizeof(HANDLE_TABLE_ENTRY))  

//未公开未文档化
typedef PVOID(NTAPI *OBGETOBJECTTYPE)(IN PVOID pObject);
EXTERN_C NTKERNELAPI UCHAR* PsGetProcessImageFileName(IN PEPROCESS Process);

OBGETOBJECTTYPE ObGetObjectType = 0;
//OBGETOBJECTTYPE ObGetObjectType = 0x840ac7bd;
//OBGETOBJECTTYPE ObGetObjectType = 0xfffff80004170eb4;

ULONG g_FlagLevel = 0;
//x64
typedef struct _HANDLE_TABLE
{
	ULONGLONG TableCode;                                                    //0x0
	PVOID QuotaProcess;														//0x8
	VOID* UniqueProcessId;                                                  //0x10
	ULONG64 HandleLock;														//0x18
	struct _LIST_ENTRY HandleTableList;                                     //0x20
	ULONG64 HandleContentionEvent;											//0x30
	PVOID DebugInfo;														//0x38
	LONG ExtraInfoPages;                                                    //0x40
	union
	{
		ULONG Flags;                                                        //0x44
		UCHAR StrictFIFO : 1;                                               //0x44
	};
	ULONG FirstFreeHandle;                                                  //0x48
	struct _HANDLE_TABLE_ENTRY* LastFreeHandleEntry;                        //0x50
	ULONG HandleCount;                                                      //0x58
	ULONG NextHandleNeedingPool;                                            //0x5c
	ULONG HandleCountHighWatermark;                                         //0x60
}HANDLE_TABLE, *PHANDLE_TABLE;

typedef struct _HANDLE_TABLE_ENTRY
{
	union
	{
		//86 64..
		ULONG_PTR Object;                                                   //0x0
		ULONG ObAttributes;                                                 //0x0
																			//86 64
		struct _HANDLE_TABLE_ENTRY_INFO* InfoTable;                         //0x0
		ULONG_PTR Value;                                                    //0x0
	};
	union
	{
		ULONG GrantedAccess;                                                //0x8
		struct
		{
			USHORT GrantedAccessIndex;                                      //0x8
			USHORT CreatorBackTraceIndex;                                   //0xa
		};
		ULONG NextFreeTableEntry;                                           //0x8
	};
}HANDLE_TABLE_ENTRY, *PHANDLE_TABLE_ENTRY;

typedef struct _OBJECT_TYPE_INITIALIZER {
	USHORT				wLength;
	UCHAR				ObjectTypeFlags;
	ULONG				ObjcetTypeCode;
	ULONG				InvalidAttributes;
	GENERIC_MAPPING		GenericMapping;
	ULONG				ValidAccessMask;
	ULONG				RetainAccess;
	ULONG				PoolType;
	ULONG				DefaultPagedPoolCharge;
	ULONG				DefaultNonPagedPoolCharge;
	ULONG_PTR			DumpProcedure;
	ULONG_PTR			OpenProcedure;
	ULONG_PTR			CloseProcedure;
	ULONG_PTR			DeleteProcedure;
	ULONG_PTR			ParseProcedure;
	ULONG_PTR			SecurityProcedure;
	ULONG_PTR			QueryNameProcedure;
	ULONG_PTR			OkayToCloseProcedure;
}OBJECT_TYPE_INITIALIZER, *POBJECT_TYPE_INITIALIZER;

typedef struct _OBJECT_TYPE {
	LIST_ENTRY					TypeList;
	UNICODE_STRING				Name;
	ULONG_PTR					DefaultObject;
	UCHAR						Index;
	ULONG						TotalNumberOfObjects;
	ULONG						TotalNumberOfHandles;
	ULONG						HighWaterNumberOfObjects;
	ULONG						HighWaterNumberOfHandles;
	OBJECT_TYPE_INITIALIZER		TypeInfo;
	ULONGLONG					TypeLock;
	ULONG						Key;
	LIST_ENTRY					CallbackList;
}OBJECT_TYPE, *POBJECT_TYPE;

typedef struct _LDR_DATA_TABLE_ENTRY
{
	LIST_ENTRY InLoadOrderLinks;
	LIST_ENTRY InMemoryOrderLinks;
	LIST_ENTRY InInitializationOrderLinks;
	PVOID DllBase;
	PVOID EntryPoint;
	ULONG SizeOfImage;
	UNICODE_STRING FullDllName;
	UNICODE_STRING BaseDllName;
	ULONG Flags;
	USHORT LoadCount;
	USHORT TlsIndex;
} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;
//判断多少个Object

ULONG_PTR  ObjectCount = 0;

UCHAR x64CodeFlag[] = { 0x0F,0xB6,0x41,0xE8,0x48,0x8D,0x0D,0xC1,0x1C,0xF0,0xFF,0x48,0x8B,0x04,0xC1,0xC3 };
UCHAR x86CodeFlag[] = { 0x8b,0xff,0x55,0x8b,0xec,0x8b,0x45,0x08,0x0f,0xb6,0x40,0xf4,0x8b,0x04,0x85,0x00,0x79,0xf9,0x83,0x5d,0xc2,0x04,0x00,0x90,0x90,0x90,0x90,0x90,0x8b,0xff,0x55,0x8b };


NTSTATUS FindObGetObjectType(PULONG_PTR retFunAddr, PDRIVER_OBJECT pDriver)
{
	ULONG_PTR PEBase = 0;
	ULONG PESize = 0;
	PLIST_ENTRY DriverList = NULL;
	PLIST_ENTRY NextList = NULL;
	UNICODE_STRING usDriverName;
	PUNICODE_STRING pusDriverName = NULL;
	RtlInitUnicodeString(&usDriverName, L"ntoskrnl.exe");
	DriverList = (PLIST_ENTRY)pDriver->DriverSection;
	NextList = DriverList;
	do
	{
		//0x58 BaseDllName
		PLDR_DATA_TABLE_ENTRY pEntry = (PLDR_DATA_TABLE_ENTRY)((ULONG_PTR)NextList);
#ifdef _WIN64
		pusDriverName = (PUNICODE_STRING)((ULONG_PTR)NextList + 0x058);
#else
		pusDriverName = (PUNICODE_STRING)((ULONG_PTR)NextList + 0x2C);
#endif // _WIN64
		if (!RtlCompareUnicodeString(&usDriverName, pusDriverName, TRUE))
		{
			PEBase = pEntry->DllBase;
			PESize = (pEntry->SizeOfImage);
			break;
		}
		NextList = NextList->Flink;
	} while (NextList != DriverList);
	
	for (size_t i = 0; i <= PESize; i++)
	{
		PULONG_PTR pCode = (PULONG_PTR)(PEBase + i);
		//必须判断  不然直接蓝
		if (!MmIsAddressValid((PVOID)pCode))
		{
			//KdPrint(("无效页:%I64x\n", i));
			i = i + 0xfff;
			continue;
		}
#ifdef _WIN64
		if (memcmp((void*)pCode, x64CodeFlag, 16) == 0)
#else
		if (memcmp((void*)pCode, x86CodeFlag, 32) == 0)
#endif // _WIN64
		{
			*retFunAddr = pCode;
			return STATUS_SUCCESS;
		}
	}
	return -1;
}

NTSTATUS LookupProcessByName(PCHAR szTarName,PEPROCESS* pEPROCESS)
{
	ULONG_PTR pEprocess = NULL;
	pEprocess = (PEPROCESS)PsGetCurrentProcess();
#ifdef _WIN64
	PLIST_ENTRY pHeadNode = (PLIST_ENTRY)(pEprocess + 0x188);
#else
	PLIST_ENTRY pHeadNode = (PLIST_ENTRY)(pEprocess + 0xb8);
#endif // _WIN64
	PLIST_ENTRY pNextNode = pHeadNode;
	do
	{
#ifdef _WIN64
		pEprocess = (ULONG_PTR)pNextNode - 0x188;
		PCHAR ProcessName = (ULONG_PTR)(pEprocess + 0x2e0);
#else
		pEprocess = (ULONG_PTR)pNextNode - 0xb8;
		PCHAR ProcessName = (ULONG_PTR)(pEprocess + 0x16C);
#endif // _WIN64
		
		if (strcmp(ProcessName, szTarName) == 0)
		{
			*pEPROCESS = pEprocess;
			return STATUS_SUCCESS;
		}
		pNextNode = pNextNode->Blink;
	} while (pNextNode != pHeadNode);
	return -1;
}

SIZE_T FindCidTablePrivate(PCHAR szName)
{
	PEPROCESS pEprocess;
	ULONG_PTR CidTableAddr = 0;
	DbgBreakPoint();
	if (LookupProcessByName(szName, &pEprocess) == -1)
	{
		DbgPrint("未找到私有句柄表");
		return -1;
	}
#ifdef _WIN64
	CidTableAddr = (ULONG_PTR)pEprocess + 0x200;
#else
	CidTableAddr = (ULONG_PTR)pEprocess + 0x0f4;
#endif // __WIN64
	return CidTableAddr;
}

NTSTATUS Operation0(ULONG_PTR TableCode)
{
	PHANDLE_TABLE_ENTRY HandleTableEntry = NULL;
	ULONG Index = 0;
	HandleTableEntry = (PHANDLE_TABLE_ENTRY)((ULONG_PTR*)(TableCode));


	for (Index = 0; Index < (PAGE_SIZE / sizeof(HANDLE_TABLE_ENTRY)); Index++)
	{
		if (MmIsAddressValid((PVOID)HandleTableEntry))
		{
			PVOID ObjectHeader = (PVOID)(*(ULONG_PTR*)HandleTableEntry & ~3);
			if (MmIsAddressValid(ObjectHeader))
			{
#ifdef _WIN64
				POBJECT_TYPE pObjectType = ObGetObjectType((ULONG_PTR)ObjectHeader + 0x30);
#elif  _WIN32
				
				POBJECT_TYPE pObjectType = ObGetObjectType((ULONG_PTR)ObjectHeader + 0x18);
#endif // _WIN64

				if (MmIsAddressValid(ObjectHeader))   //这里应当判断对象是否合法
				{
					//打印数量以及ObjectBody的地址
					ObjectCount++;
#ifdef _WIN64
					DbgPrint("句柄类型:%-16wZ   句柄:0x%-08X  句柄对象(BODY):0x%-llX  句柄类型代号:%-2d  引用计数:%-6d\r ", &(pObjectType->Name), (g_FlagLevel*MAX_ENTRY_COUNT + Index) * 4, (ULONG_PTR)ObjectHeader + 0x30, pObjectType->Index, *((PULONG_PTR)ObjectHeader));
#else 
					DbgPrint("句柄类型:%-16wZ   句柄:0x%-08X  句柄对象:0x%-08X  句柄类型代号:%-2d  引用计数:%-6d\r ",&(pObjectType->Name), (g_FlagLevel*MAX_ENTRY_COUNT +Index)*4, (ULONG_PTR)ObjectHeader + 0x18,pObjectType->Index,*((PULONG_PTR)ObjectHeader));
#endif // _WIN64
				}
			}
		}
		HandleTableEntry++;     //结构体指针++ 越过当前这个结构体
	}
	g_FlagLevel++;				//用于计算句柄编号
	return STATUS_SUCCESS;
}

NTSTATUS EnumProcessByHandle(PDRIVER_OBJECT pDriver)
{
	FindObGetObjectType(&ObGetObjectType, pDriver);
	PHANDLE_TABLE_ENTRY *TableLevel1, **TableLevel3;
	ULONG_PTR CidTableAddr = FindCidTablePrivate("explorer.exe");
	if (CidTableAddr == -1)
	{
		DbgPrint("获取Table失败!");
		return -1;
	}
	ULONG_PTR TableCode = *(ULONG_PTR*)(*(ULONG_PTR*)(CidTableAddr));

	ULONG_PTR TableLevel = TableCode & 3;
	TableCode = TableCode & (~3);
	switch (TableLevel)
	{
	case 0:
	{
		Operation0(TableCode);
		break;
	}
	case 1:
	{
		TableLevel1 = TableCode;
		SIZE_T i = 0;
		//计算句柄数,遍历一次 加_HANDLE_TABLE_ENTRY
		g_FlagLevel = 0;
		while (TableLevel1[i])
		{
			Operation0(TableLevel1[i]);
			i++;
		}
		break;
	}

	}

}
NTSTATUS DriverUnload(PDRIVER_OBJECT pDriver)
{
	DbgPrint("Driver Unload!\n");
	return STATUS_SUCCESS;
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pRegpath)
{
	EnumProcessByHandle(pDriver);
	pDriver->DriverUnload = DriverUnload;
	return STATUS_SUCCESS;

}
Mikasys
关注
专栏目录
遍历已知父窗里子窗所有句柄
11-23
遍历已知父窗里子窗所有句柄 的实例
R3下,遍历所有进程的伪句柄,关闭指定句柄
被遗弃的庸才博客
10-20 1604
之所以产生这个想法,是在删除文件的时候有时会提示文件被占用了,然后让我们先关闭之后在来删除,但是我怎么知道哪个进程打开了我的文件? 于是就去网上了找了一份代码然后改了改,接着来说说是怎么实现功能的。首先我们需要遍历所有的进程,所有要找到遍历进程的代码。 //遍历进程 WCHAR * szServerName = NULL; HANDLE WtsServerHandle = WTSOp...
驱动遍历句柄
落笔飞花笑百生的博客
04-27 2139
 驱动遍历句柄附加第二个方法的反汇编代码 其中还有对其拦截的方式的一些需要HOOK处比如伪造句柄 因为大量使用硬编码所以此份代码通用性不强一切均在虚拟机XP3下操作 #include "ntddk.h" typedef struct _EX_PUSH_LOCK {  //  // LOCK bit is set for both exclusive and shared acq
深入理解句柄
rongwenbin的专栏
02-26 3647
设计到句柄的有以下这些概念 HANDLE_TABLE HANDLE_TABLE结构体中的TableCode变量 实际上啊,TableCode是指向句柄项第一个句柄项的指针(NULL句柄项) TableCode就是HANDLE_TABLE_ENTRY的指针 但是,当有两级以上时,这个时候就不是了,先来搞定最简单的。 HANDLE_TABLE_ENTRY:句柄项 对象头_OB
HANDLE-->HANDLE_TABLE_ENTRY
SUNE__学无止境
12-16 804
0
windbg学习笔记 FOR 内核调试(三) --进程句柄HANDLE_TABLE
tomorrowsprogress的专栏
08-24 1761
windbg学习笔记 FOR 内核调试(三) --进程句柄HANDLE_TABLE                                       想当年 初学核编 , 阅读第三章的内核对象的时候跟看天书没什么感觉 死命在想到底内核对象 , 句柄是个什么东西 干嘛用的 于是我们工作室的老大就对我说 这篇看过就过了 学到后面你自然会明白的     我想也是 ,
《windows内核情景分析》句柄句柄
strongxu的专栏
10-10 880
    每个进程都有个句柄,在EPROCESS结构的0xc4偏移处的ObjectTable,类型为_HANDLE_TABLE,用来指向本进程的句柄   第一项TableCode是个指针数组,对应为HANDLE_TABLE_ENTRY数据结构,每个有效的句柄都对应着(某个)句柄中的一个项     项的第一项Object指向某个对象的头部,而该项在句柄中的位置则取
易语言遍历方法枚举窗口句柄
06-02
对于遍历窗口句柄,我们可以使用`EnumWindows` API函数,它会按顺序回调一个用户指定的函数,对系统中的每一个顶层窗口进行处理。易语言中,我们需要定义一个函数来接收`EnumWindows`的回调,这个函数将被传入窗口...
delphi遍历窗体句柄
11-05
在Delphi编程中,遍历窗体句柄是一项常见的任务,尤其在实现类似QQ截图这样的功能时,需要获取屏幕上所有活动窗口的信息以便进行选择。本文将深入探讨如何在Delphi中遍历窗体句柄,并结合相关知识点进行详细阐述。 ...
易语言-易语言遍历方法枚举窗口句柄
06-25
本文将深入探讨易语言中的"遍历方法枚举窗口句柄"这一核心概念,以及与之相关的知识点。 窗口句柄在Windows操作系统中是一个重要的概念,它是一个标识窗口的唯一数值,由操作系统分配。在编程中,通过窗口句柄可以...
VB遍历桌面所有的窗口和句柄
04-18
回调函数接收两个参数,一个是窗口句柄(HWND),另一个是用户自定义的数据指针,通常用于传递额外的信息。 4. **类名(ClassName)**:除了窗口句柄,我们可能还需要获取窗口的类名,这可以帮助我们识别窗口属于...
关于句柄的一些文章
ProgrammingRing的专栏
08-09 1618
wrk1.2中 ExpLookupHandleTableEntry的内部流程 1) 取 Handle(EXHANDLE类型) 值为tHandle,并将TagBit(低两位)置0 2) 取 HandleTable->NextHandleNeedingPool为MaxHandle ,    如果 tHandle大于等于MaxHandle,则返回NULL,查询失败    (由此可见, Next
定位HandleTableEntry(Windows内核学习笔记)
KOOKNUT的博客
04-07 984
通过HandleTable定位HandleTableEntry的方法: typedef union _EXHANDLE { struct { ULONG_PTR TagBits:2;//这两位为0 ULONG_PTR Index:29;//句柄的索引 }; struct { ULONG_PTR...
ObReferenceObjectByHandle() 函数简略分析
93Storm
01-01 6291
原文链接 1. 逆向出来的 ObReferenceObjectByHandle() 函数实现 这个函数的实现请参考这个文章:ObReferenceObjectByHandle() 函数,这里不再重复贴出。 这个函数的原型是: NTSTATUS ObReferenceObjectByHandle( IN HANDLE Handle, IN ACCESS_MASK Desi
内核-句柄
weixin_45012273的博客
03-06 1085
私有句柄 属于一个程序独有的 每个程序都有属于自己程序的句柄 里面存储了所有本程序打开的内核对象 内核对象 进程创建 或打开内核对象的时候 将获得句柄,通过句柄访问内核对象 为什么需要句柄??? 句柄存在的目的是为了避免在应用层直接修改内核对象 应用层要是可以修改 如果修改成无效的地址在传送到0环 操作系统就会崩溃 所以操作系统并没有像用户层公开这个结构体 而是创建了一个句柄 每个进程都有自己的这样的私有 这个存储在0环 而你的进程里创建几个句柄 中就用几项 而句柄则.
测试
qq_18557657的博客
10-29 108
typedef struct _HANDLE_TABLE_ENTRY { union { PVOID Object;//内核对象指针。 ULONG ObAttributes;//内核对象属性。 PHANDLE_TABLE_ENTRY_INFO InfoTable;// ULONG_PTR Val...
6.5 Windows驱动开发:内核枚举PspCidTable句柄
最新发布
CSDN
12-01 4326
在 Windows 操作系统内核中,PspCidTable 通常是与进程(Process)管理相关的数据结构之一。它与进程的标识和管理有关,每个进程都有一个唯一的标识符,称为进程 ID(PID)。与之相关的是客户端 ID,它是一个结构,其中包含唯一标识进程的信息。这样的标识符在进程管理、线程管理和内核对象的创建等方面都起到关键作用。
私有句柄
qq_29176323的博客
04-11 702
私有句柄操作系统内部的一种数据结构,用于存储一个进程所拥有的句柄(或称为句柄对象)的信息。在操作系统中,句柄是一个标识符,用于唯一标识一个对象,例如文件、套接字、管道等等。GPT是这样说的,
句柄 ——遍历句柄实现反调试
walker的博客
03-17 840
简介 我们知道,当我们尝试在进程中创建、打开内核对象时,该内核对象的地址会作为句柄项存储在进程的句柄中。 因此,我们可以通过遍历全局句柄获取操作系统中的全部进程(如 OllyDbg 就实现了进程隐藏,在任务管理器中是无法看到该进程的),然后再遍历每个进程的私有句柄,检测其私有句柄中是否存储着被保护进程的内核对象地址 _EPROCESS,就可以得知被保护进程是否被其他进程附加,以达到反调试的目的。 当然通过不断将被保护进程的 _EPROCESS.DebugPort 清零,就可以强制实现进程无法被附加调
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值