枚举PspCidTable利用API

最新推荐文章于 2022-04-10 11:30:57 发布
最新推荐文章于 2022-04-10 11:30:57 发布
阅读量1.7k 收藏
点赞数
分类专栏: 转载 笔记 文章标签: null windows object string table

看Windows内核情景分析的时候看到讲PspCidTable中会保存每个进程和线程的CID,就在想可以通过这个表来获取到每个进程的PID及相关信息,然后网上一搜,已经有N多人通过这种方法来获取进程列表了,Iceword也是有这种方法来枚举进程的。Anyway,还是自己实现一遍吧。当然也借鉴了别人的代码。

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)
{
    HANDLE h;
   
    DbgPrint("DriverEntry/n");
    DriverObject->DriverUnload = DrvUnload;
   
   
    ExEnumHandleTable = (EXENUMHANDLETABLE)GetFunctionAddr(L"ExEnumHandleTable");
    if(ExEnumHandleTable == NULL )
    {
        DbgPrint("Get ExEnumHandleTable Address Error/n");
        return STATUS_SUCCESS;
    }
    DbgPrint("Address of ExEnumHandleTable:%x/n", ExEnumHandleTable);
   
    GetPspCidTable();
    DbgPrint("CidTable:%x/n", pPspCidTable);
   
    ExEnumHandleTable(pPspCidTable, ExEnumHandleCallBack, NULL, &h);
   
    return STATUS_SUCCESS;
}void GetPspCidTable( )
{
    PUCHAR cPtr;
    DWORD PsAddr = GetFunctionAddr(L"PsLookupProcessByProcessId");
   
    for(cPtr = (PUCHAR)PsAddr;
        cPtr < (PUCHAR)PsAddr + PAGE_SIZE; cPtr++)
    {
        if(*(PUSHORT)cPtr == 0x35FF)
        {
            pPspCidTable = **(PVOID**)(cPtr+2);
            break;
        }
    }
}BOOLEAN ExEnumHandleCallBack(PHANDLE_TABLE_ENTRY HandleTableEntry, HANDLE Handle, PVOID EnumParameter)
{
    NTSTATUS ntStatus;
    HANDLE Cid;
    PEPROCESS Process;
    ULONG uTableCount;
    ULONG uTablePage = 0;
   
    if(EnumParameter == HandleTableEntry)
    {
        return TRUE;
    }
    else
    {
        for(uTableCount = 0; uTableCount < 0x1000; uTableCount++)
        {
            if(HandleTableEntry->Object)
            {
                Cid = (HANDLE)((1024*uTablePage)+(uTableCount<<2));
                if(Cid > (PVOID)4)
                {
                    ntStatus = PsLookupProcessByProcessId(Cid, &Process);
                    if(NT_SUCCESS(ntStatus))
                    {
                        DbgPrint("PID:%4d/tProcess Name:%-16s/n",
                            Cid, ((PUCHAR)Process+EPROC_NAME_OFFSET));
                        ObDereferenceObject(Process);
                    }
                }
                else
                {
                    if(Cid == 0)
                    {
                        DbgPrint("PID:%4d/tProcess Name:Idle/n", 0);
                    }
                    else
                    {
                        DbgPrint("PID:%4d/tProcess Name:System/n", 4);
                    }
                }
            }
        }
        uTablePage++;
        return TRUE;
    }
}

本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/strongxu/archive/2009/12/07/4959757.aspx

Sunny_wwc
关注
专栏目录
Windows API枚举所有文件和文件夹
03-25 739
文章目录前言一、WIN32_FIND_DATA 是什么?二、使用步骤1.WIN32_FIND_DATA 和 HANDLE 声明2.FindFirstFile和FindNexxtFile以及FindClose的使用 前言 Windows API枚举所有文件和文件夹 涉及函数 findFirstFile findnextfile findclose WIN32_FIND_DATA 结构体 一、WIN32_FIND_DATA 是什么? WIN32_FIND_DATA 这个结构描述了FindFirst
易语言枚举系统所有ApiHook
07-16
易语言枚举系统所有ApiHook源码,枚举系统所有ApiHook,枚举程序内所有ApiHook,枚举ApiHook,计算偏差,取模块完整路径,进程ID取模块,取进程ID,RtlMoveMemory_IMAGE_DOS_HEADER,RtlMoveMemory_IMAGE_NT_HEADERS32,...
PspCidTable进程枚举
rongwenbin的专栏
02-25 1470
-------------------------------------这是分割线--------------------------------------- Windows句柄表格式 句柄是Windows对象管理中引入的一个东西,它的实际意义是对象在句柄表中的索引。Windows2000使用的是固定的三层句柄表,而WindowsXP和Windows2003都是使用的动态可扩展的
通过PspCidTable枚举进程
liuhaidon1992的博客
01-08 311
如果当前进程为System进程,就意味着此次打开的内核对象访问权限属于内核,那么就使用内核句柄表, 内 核句柄与用户句柄不同的地方就在于内核句柄需要或上一个0x80000000即最高位置为1作为标识, 但是实际在使用句柄的时候还是不需要这个最高位值的。进程的句柄表由EPROCESS中的 ObjectTable成员进行管理, 句柄表有3种内存结构分别为一级表,二级表以及三级表。表的结构 由进程中的句...
PspCidTable综合概述
weixin_34390996的博客
06-24 220
PspCidTable概述 2009-03-28 11:27 PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每 个进程私有的句柄表有以下不同: 1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID 2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有...
pspCidTable
Mr.Out的专栏
10-14 1157
<br /><br />一.                        pspCidTable概念及内核调试<br />-----------------------------------------------------<br /><br />pspCidTable是内核未导出的HANDLE_TALBE结构,它保存着所有进程和线程对象的指针。<br />只要能遍历这个PspCidTable句柄表,就可以遍历到系统的所有进程,包括所有隐藏进程,除非你抹掉pspCidTable...<br /><br
枚举打印机 VC++ API
11-26
总结来说,利用VC++ API进行Win32开发时,枚举打印机和其驱动程序是一项基础但关键的任务。它为创建打印机测试程序提供了必要的数据,有助于确保软件与各种打印机硬件的兼容性。通过理解并熟练运用`EnumPrinters`和`...
易语言枚举系统所有ApiHook源码
06-01
在本资源中,我们关注的是"枚举系统所有ApiHook"的源码,这涉及到Windows API钩子(ApiHook)技术以及易语言的相关应用。 API钩子是一种系统级的监控机制,允许开发者截取或改变其他应用程序对特定API函数的调用。...
API枚举进程例程.rar
04-04
在本案例中,“API枚举进程例程.rar”是一个压缩包,包含了一个使用易语言编写的源代码,用于演示如何通过调用API枚举并显示操作系统中的所有进程。 易语言是一种中国本土开发的编程语言,其设计目标是让编程变得...
PspCidTable概述
yaneng的专栏
06-18 1352
PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每个进程私有的句柄表有以下不同:1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HEADER)3.PspCidTable是一个独立的句柄表,而每
pspCidTAble完全解读
06-17
完全分析了句柄,句柄表和pspCidTAble,并有windbg实验验证
EnumProcessByPsCidTable.rar
01-31
用系统内核变量PsCidTable枚举进程,前提是PsCidTable没有被XX过
pspcidtable
yaneng的专栏
06-18 1238
第8个男人" 的code里面就做的很好,找到PspCidTable后自己搜索所有的进程对象就行了://----------------------------------------------------------------------VOID IsValidProcess ()/*++Author : 第8个男人Leaner : sudami [xiao_rui_119@163.com]T
【旧文章搬运】PspCidTable概述
weixin_30824277的博客
12-26 141
原文发表于百度空间,2009-03-28========================================================================== PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每个进程私有的句柄表有以下不同:1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID2.Psp...
关于PspCidTable
zfdyq
10-20 920
PspCidTable为一个全局变量,其格式与普通的句柄表是完全一样的. 但它与每个进程私有的句柄表有以下不同:  1.PspCidTable中存放的对象是系统中所有的进线程对象指针,其索引就是PID和CID  2.PspCidTable中存放是对象体(指向EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HEADER)  3.PspCidTable
枚举文件和目录[Win32API]
kgold的专栏
03-29 2586
(1)枚举当前目录下所有的文件WIN32_FIND_DATA fd;    HANDLE hFind = ::FindFirstFile("*.*", &fd);    if ( hFind != INVALID_HANDLE_VALUE )    {        do{            if ( !(fd.dwFileAttributes & FILE_ATTRIBUTE_DIRECTO
【旧文章搬运】PspCidTable攻与防
weixin_30455067的博客
12-26 259
原文发表于百度空间,2009-03-29========================================================================== PspCidTable的攻与防,其实就是进程隐藏与检测所涉及到的一部分工作~~不管基于PspCidTable的进线程检测,还是抹PspCidTable进行进程对象的隐藏,都涉及到对PspCidTable的遍历...
PspCidTable 完全解读
weixin_34216036的博客
12-07 221
PspCidTable 完全解读 by sysdog 2009.5.1 Whu ------------------------------------------------------------------------------- 一、句柄 句柄:HADNLE 在winnt.h 定义如下: typedef void *HANDLE; 是一个 3...
(Win7) PspCidTable遍历进程句柄表,枚举进程
h2995527的博客
04-10 545
搞了一阵子的PHP,今天又来继续自己的C++了,翻阅了一下自己之前写的代码和说明,自己也有点儿稀里糊涂了,于是又仔细的从头研究了一下,遂写此文以记之,文中有不当的地方欢迎大家拍砖. 先说一下句柄表是什么 在windows内核中定义了很多内核对象,像文件对象,线程对象,信号量对象啊等等;而Windows中并没有让我们直接去使用这些对象资源,而是通过句柄让我们去引用这些资源,句柄表就相当于资源的数组,而句柄就是对应资源的索引,每个进程内部都有一个自己的私有句柄表,这也就是说句柄是不能跨进程使用的。 PspCi
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值