进程与线程(九)PspCidTable怎么这样啊?

最新推荐文章于 2023-12-01 15:24:44 发布
最新推荐文章于 2023-12-01 15:24:44 发布
阅读量586 收藏
点赞数
分类专栏: 内核研究 文章标签: integer c session 虚拟机 table list
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shevacoming/article/details/7556085
版权
PS:很老的东西,想看原理的话 ,我是看着两个明白原理的
1.基于pspCidTable的进程检测技术
2.pspcidtable完全解读

xp sp3 当pid到4088时开始填充空缺,尽量不开第三层表(2层表4096),但当我开了300多个进程以后,终于开了

kd> dd pspcidtable
805649c0  e1000c80 00000002 00000002 00000000
805649d0  00000000 00000000 00000000 00000000
805649e0  e16e4267 e153f737 00000000 00000000
805649f0  00000000 00000000 00000000 00000000
80564a00  00000000 00000000 00000000 00000000
80564a10  00000000 00000000 00000000 00000000
80564a20  00000000 00000000 00000000 00000000
80564a30  00000000 00000000 00000000 00000000
得到 handle table,TableCode 最后两位显示为用了二层表
kd> dd e1000c80
e1000c80  e1d54001 00000000 00000000 00000000
e1000c90  00000000 00000000 00000000 e1000c9c
e1000ca0  e1000c9c 00000000 00000000 00000000
e1000cb0  00001670 0000166c 00001800 0000039e
e1000cc0  00000001 00000000 0c0b040a 64546553
e1000cd0  00000101 05000000 00000012 00440002
e1000ce0  00000002 00140000 10000000 00000101
e1000cf0  05000000 00000012 00180000 a0020000
这里却有三个地址
kd> dd e1d54000
e1d54000  e1005000 e1d55000 e1d9e000 00000000
e1d54010  00000000 00000000 00000000 00000000
e1d54020  00000000 00000000 00000000 00000000
e1d54030  00000000 00000000 00000000 00000000
e1d54040  00000000 00000000 00000000 00000000
e1d54050  00000000 00000000 00000000 00000000
e1d54060  00000000 00000000 00000000 00000000
e1d54070  00000000 00000000 00000000 00000000
看了下第三个地址
kd> dd e1d9e000
e1d9e000  00000000 fffffffe 00000000 00000000
e1d9e010  00000000 00001004 00000000 00001008
e1d9e020  00000000 0000100c 8126c991 00000000
e1d9e030  8126c719 00000000 8126b931 00000000
e1d9e040  8126b6b9 00000000 8126a541 00000000
e1d9e050  8126a2c9 00000000 00000000 00001010
e1d9e060  00000000 0000102c 00000000 00001030
e1d9e070  00000000 00001034 81268021 00000000
随便取了一个数值
kd> dt _eprocess 8126c990
ntdll!_EPROCESS
+0x000 Pcb              : _KPROCESS
+0x06c ProcessLock      : _EX_PUSH_LOCK
+0x070 CreateTime       : _LARGE_INTEGER 0x1ca653b`039a2530
+0x078 ExitTime         : _LARGE_INTEGER 0x0
+0x080 RundownProtect   : _EX_RUNDOWN_REF
   +0x084 UniqueProcessId  : 0x00001014 
+0x088 ActiveProcessLinks : _LIST_ENTRY [ 0x8126b9b8 - 0x8126dde8 ]
+0x090 QuotaUsage       : [3] 0x730
+0x09c QuotaPeak        : [3] 0x838
。。。。。。。。。。。。。。。。。。。。
+0x168 Filler           : 0
+0x170 Session          : 0xf9ede000 
   +0x174 ImageFileName    : [16]  "INSTDRV (2).EXE"
没有问题,得到了大于pid 4096 的进程信息

于是我的代码写成了这样,很纠结


  1 VOID EnumProcess() 
  2 { 
  3     //详见http://bbs.pediy.com/showthread.php?t=90449&highlight=pspcidtable 
  4     ULONG HandleTable = *(ULONG *)PspCidTable; 
  5     ULONG TableCode = *(ULONG *)HandleTable; 
  6     //取最后两位 
  7     ULONG flag = TableCode & 3; 
  8     //后两位清零 
  9     TableCode &= 0xfffffffc; 
 10     //_asm int 3 
 11     switch(flag) 
 12     { 
 13     case 0: 
 14         { 
 15             EnumProcessFromLevel0(TableCode); 
 16             break; 
 17         } 
 18     case 1: 
 19         { 
 20             for (int i = 0;*(ULONG *)(TableCode+i) != 0;i+=4) 
 21             { 
 22                 EnumProcessFromLevel0(*(ULONG *)(TableCode+i)); 
 23             } 
 24             break; 
 25         } 
 26     case 2: 
 27         { 
 28 //             EnumProcessFromLevel0(*(ULONG *)TableCode); 
 29 //             EnumProcessFromLevel0(*(ULONG *)(TableCode+4)); 
 30 //             EnumProcessFromLevel0(*(ULONG *)(TableCode+8)); 
 31             //三层表的情况没有实现,因为很难用到,一直没在虚拟机中测试出这种情况 
 32             PsTerminateSystemThread(STATUS_SUCCESS); 
 33             break; 
 34         } 
 35     } 
 36 
 43 }
 38 VOID EnumProcessFromLevel0(ULONG uBase) 
 39 { 
 40     ULONG pepro; 
 41 
 42     for (int i=0;i<0x800;i+=4) 
 43     { 
 44         if (*(ULONG *)uBase == 0) 
 45         { 
 46             uBase+=8; 
 47             continue; 
 48         } 
 49         //-1 
 50         pepro = (*(ULONG *)uBase) & 0xfffffff8; 
 51         if ((*PsProcessType) == *(POBJECT_TYPE *)(pepro-0x10)) 
 52         { 
 53             DbgPrint("process: %s- PID:%d\n",(pepro+0x174),*(ULONG *)(pepro+0x84)); 
 54         } 
 55 
 56         uBase+=8; 
 57     } 
 58 } 
 59


Shevacoming
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
x64驱动 遍历 PspCidTable 枚举隐进程线程
墨鱼菜鸡
06-05 333
介绍 PspCidTable 是一个内核句柄表,存放进程线程的内核对象(EPROCESS 和 ETHREAD),并通过 PID 和 TID 进行索引(所以进程ID线程ID不可能相同),ID 号以 4 递增。 获取 ...
进程线程创建过程
hambaga的博客
03-10 1848
一、进程创建过程 所有进程都通过 PspCreateProcess 函数创建,包括 System 进程。它被三个函数调用,分别是NtCreateProcessEx、PsCreateSystemProcess 和 PspInitPhase0 。 NtCreateProcessEx 是 CreateProcess 的内核服务; PspInitPhase0 函数是系统初始化早期调用的,它创建了 System 进程,System 进程的句柄保存在全局变量 PspInitialSystemProcessHandle
PspCidTable 完全解读
weixin_34216036的博客
12-07 219
PspCidTable 完全解读 by sysdog 2009.5.1 Whu ------------------------------------------------------------------------------- 一、句柄 句柄:HADNLE 在winnt.h 定义如下: typedef void *HANDLE; 是一个 3...
Windows内核编程】Win10/Win11通过PspCidTable取得EProcess
懵逼树上懵逼果
08-04 1020
在内核RING0层运用PspCidTable枚举可能被隐藏、断链的进程,得到EPROCESS对象
6.5 Windows驱动开发:内核枚举PspCidTable句柄表
CSDN
12-01 4277
Windows 操作系统内核中,PspCidTable 通常是与进程(Process)管理相关的数据结构之一。它与进程的标识和管理有关,每个进程都有一个唯一的标识符,称为进程 ID(PID)。与之相关的是客户端 ID,它是一个结构,其中包含唯一标识进程的信息。这样的标识符在进程管理、线程管理和内核对象的创建等方面都起到关键作用。
cid.zip_pspcidtable_进程_驱动
09-21
PspCidTableWindows操作系统内部用于存储进程控制信息的数据结构,而PspTerminateThreadByPointer则是一个用于终止指定线程的内核函数。 在Windows操作系统中,PspCidTable是系统维护进程信息的核心数据结构。它...
Win7 x64通过PspCidTable枚举进程
qq269813279的博客
06-13 2075
PspCidTable存放着一个结构为_HANDLE_TABLE的指针,_HANDLE_TABLE结构记录句柄表的相关信息,句柄表存放着所有进程线程的对象,其索引就是PID和TID,在WinDbg看一下相关的结构。我们遍历进程对象需要关注两个成员,第一个是TableCode,第二个是NextHandleNeedingPool。TableCode:该成员记录表级和表地址,低2位记录着表的级数,掩掉...
Windows进程线程---1
For Geek
07-02 1150
概述 相比于Linux中的进程管理,即创建一个线程的同时创建一个进程。而Windows中却不是这样,它是先创建一个进程作为容器,然后创建第一个线程,也就是对于CreateProcess而言,它先调用NtCreateProcess创建进程,然后调用NtCreateThread创建进程的第一个线程Windows进程的用户空间 一些重要的宏如下 #define MM_HIGHEST_USER_ADD...
Windows2003 内核级进程隐藏、侦测技术
weixin_34250709的博客
01-08 159
论文关键字: 内核 拦截 活动进程链表 系统服务派遣表 线程调度链 驱动程序简介     论文摘要:信息对抗是目前计算机发展的一个重要的方向,为了更好的防御,必须去深入的了解敌人进攻的招式。信息对抗促使信息技术飞速的发展。下面我选取了信息对抗技术的中一个很小一角关于windows内核级病毒隐藏技术和反病毒侦测技术作为议题详细讨论。    1.为什么选驱动程序    驱动程序是运行在系统信任的Rin...
pspCidTAble完全解读
06-17
完全分析了句柄,句柄表和pspCidTAble,并有windbg实验验证
x64位全系统禁止进程创建驱动
12-23
出一个驱动 x64位全系统禁止进程创建 虚拟机win7 本机win1064 (最新版本) 自己已经测试无蓝屏 驱动不hookssd什么的 全部用的回调函数 驱动文件带的有进程保护 安装成功后自动开启全局进程创建进程 卸载后就恢复正常了
vs附加到进程调试不了_如何调试xxProtect
weixin_39527879的博客
12-04 943
0x1:今天终于拿到了萌妹以求的xxprotect的demo,好久没搞反调试这一块了。心痒痒,开搞。0x2: 打开demo,长这样。是个64的程序,直接上x64dbg ,发现竟然找不到进程.尝试直接OpenProcess,报错 STATUS_INVALID_CID。根据msdn描述,很清楚了。做个实验测试一下。系统根据cid拿不到eprocess信息,看看PsLookupProcessByProc...
[转载]基于pspCidTable进程检测技术
yaneng的专栏
06-18 4321
基于pspCidTable进程检测技术文章作者:gz1x信息来源:邪恶八进制信息安全团队(www.eviloctal.com)一.     pspCidTable概念及内核调试二.     获取pspCidTable的方法三.     几种进程检测方法的对比四.     anti-pspCidTable技术及其他一.     pspCidTable概念及内核调试-----------------
PspCidTable进程枚举
rongwenbin的专栏
02-25 1463
-------------------------------------这是分割线--------------------------------------- Windows句柄表格式 句柄是Windows对象管理中引入的一个东西,它的实际意义是对象在句柄表中的索引。Windows2000使用的是固定的三层句柄表,而WindowsXP和Windows2003都是使用的动态可扩展的
PspCidTable综合概述
weixin_34390996的博客
06-24 220
PspCidTable概述 2009-03-28 11:27 PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每 个进程私有的句柄表有以下不同: 1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID 2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有...
PspCidTable攻与防
wowbell的专栏
03-17 1232
转自:http://hi.baidu.com/_achillis/blog/item/2bb59619d8019cbc4bedbc56.htmlPspCidTable的攻与防,其实就是进程隐藏与检测所涉及到的一部分工作~~ 不管基于PspCidTable的进线程检测,还是抹PspCidTable进行进程对象的隐藏,都涉及到对PspCidTable的遍历. 所以如何安全正确地遍历PspCidTable才是该技术的关键 一、获取PspCidTable的地址 常用的方法是从前面提到的三个查询PspCidT
3 Task中的一些枚举 创建时候的、continue时候的
12-30 125
创建时常用的枚举: None、PreferFairness、LongRunning、AttacthedToParent、DenyChildAttach、HideScheduler AttacthedToParent: 背景代码如下 using System; using System.Threading; using System.Threading.Tasks; ...
dump x64 seh
Returns' Station
08-03 6799
自己认识x64 seh结构时的小工具,可能有bug #define UNW_FLAG_NHANDLER 0x0 #define UNW_FLAG_EHANDLER 0x1 #define UNW_FLAG_UHANDLER 0x2 #define UNW_FLAG_CHAININFO 0x4 typedef enum _UNWIND_OP_CODES { UWOP_PUSH_NON
什么是进程?什么是线程进程线程有何区别?
最新发布
06-30
**进程线程的区别:** - **独立性不同**:进程间相对独立,而线程共享同一进程的资源。 - **资源占用**:每个进程有独立的资源分配,线程共享同一进程的资源。 - **调度和切换**:操作系统通常以进程为单位进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值