pid的后2位是无效的 在查询pspcidtable的时候 ExpLookupHandleTableEntry 函数会自动把pid的后两位置成0(Handle.TagBits = 0;就是这句!!)

最新推荐文章于 2023-05-24 15:49:28 发布
最新推荐文章于 2023-05-24 15:49:28 发布
阅读量1.6k 收藏
点赞数
文章标签: table null thread input up
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sunny_wwc/article/details/6174038
版权

PHANDLE_TABLE_ENTRY
ExpLookupHandleTableEntry (
    IN PHANDLE_TABLE HandleTable,
    IN EXHANDLE tHandle
    )

/*++

Routine Description:

    This routine looks up and returns the table entry for the
    specified handle value.

Arguments:

    HandleTable - Supplies the handle table being queried

    tHandle - Supplies the handle value being queried

Return Value:

    Returns a pointer to the corresponding table entry for the input
        handle.  Or NULL if the handle value is invalid (i.e., too large
        for the tables current allocation.

--*/

{
    ULONG_PTR i,j,k;
    ULONG_PTR CapturedTable;
    ULONG TableLevel;
    PHANDLE_TABLE_ENTRY Entry = NULL;
    EXHANDLE Handle;

    PUCHAR TableLevel1;
    PUCHAR TableLevel2;
    PUCHAR TableLevel3;

    ULONG_PTR MaxHandle;

    PAGED_CODE();


    //
    // Extract the handle index
    //
    Handle = tHandle;

    Handle.TagBits = 0;

    MaxHandle = *(volatile ULONG *) &HandleTable->NextHandleNeedingPool;

    //
    // See if this can be a valid handle given the table levels.
    //
    if (Handle.Value >= MaxHandle) {
        return NULL;       
    }

    //
    // Now fetch the table address and level bits. We must preserve the
    // ordering here.
    //
    CapturedTable = *(volatile ULONG_PTR *) &HandleTable->TableCode;

    //
    //  we need to capture the current table. This routine is lock free
    //  so another thread may change the table at HandleTable->TableCode
    //

    TableLevel = (ULONG)(CapturedTable & LEVEL_CODE_MASK);
    CapturedTable = CapturedTable - TableLevel;

    //
    //  The lookup code depends on number of levels we have
    //

    switch (TableLevel) {
       
        case 0:
           
            //
            //  We have a simple index into the array, for a single level
            //  handle table
            //


            TableLevel1 = (PUCHAR) CapturedTable;

            //
            // The index for this level is already scaled by a factor of 4. Take advantage of this
            //

            Entry = (PHANDLE_TABLE_ENTRY) &TableLevel1[Handle.Value *
                                                       (sizeof (HANDLE_TABLE_ENTRY) / HANDLE_VALUE_INC)];

            break;
       
        case 1:
           
            //
            //  we have a 2 level handle table. We need to get the upper index
            //  and lower index into the array
            //


            TableLevel2 = (PUCHAR) CapturedTable;

            i = Handle.Value % (LOWLEVEL_COUNT * HANDLE_VALUE_INC);

            Handle.Value -= i;
            j = Handle.Value / ((LOWLEVEL_COUNT * HANDLE_VALUE_INC) / sizeof (PHANDLE_TABLE_ENTRY));

            TableLevel1 =  (PUCHAR) *(PHANDLE_TABLE_ENTRY *) &TableLevel2[j];
            Entry = (PHANDLE_TABLE_ENTRY) &TableLevel1[i * (sizeof (HANDLE_TABLE_ENTRY) / HANDLE_VALUE_INC)];

            break;
       
        case 2:
           
            //
            //  We have here a three level handle table.
            //


            TableLevel3 = (PUCHAR) CapturedTable;

            i = Handle.Value  % (LOWLEVEL_COUNT * HANDLE_VALUE_INC);

            Handle.Value -= i;

            k = Handle.Value / ((LOWLEVEL_COUNT * HANDLE_VALUE_INC) / sizeof (PHANDLE_TABLE_ENTRY));

            j = k % (MIDLEVEL_COUNT * sizeof (PHANDLE_TABLE_ENTRY));

            k -= j;

            k /= MIDLEVEL_COUNT;


            TableLevel2 = (PUCHAR) *(PHANDLE_TABLE_ENTRY *) &TableLevel3[k];
            TableLevel1 = (PUCHAR) *(PHANDLE_TABLE_ENTRY *) &TableLevel2[j];
            Entry = (PHANDLE_TABLE_ENTRY) &TableLevel1[i * (sizeof (HANDLE_TABLE_ENTRY) / HANDLE_VALUE_INC)];

            break;

        default :
            _assume (0);
    }

    return Entry;
}

Sunny_wwc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
定位HandleTableEntry(Windows内核学习笔记)
KOOKNUT的博客
04-07 947
通过HandleTable定位HandleTableEntry的方法: typedef union _EXHANDLE { struct { ULONG_PTR TagBits:2;//这位为0 ULONG_PTR Index:29;//句柄表的索引 }; struct { ULONG_PTR...
C# 串口获取更详细信息 设备描述、PID、VID demo
最新发布
10-31
在本文中,我们将深入探讨如何使用C#编程语言在.NET 3.5框架下通过串行端口(SerialPort)获取设备的详细信息,包括设备描述、产品IDPID)和供应商ID(VID)。首先,我们需要理解串口通信的基础知识,然后搭建VS...
ExpLookupHandleTableEntry
求索
04-18 1700
ExpLookupHandleTableEntry
pspCidTable
Mr.Out的专栏
10-14 1151
<br /><br />一.                        pspCidTable概念及内核调试<br />-----------------------------------------------------<br /><br />pspCidTable是内核未导出的HANDLE_TALBE结构,它保存着所有进程和线程对象的指针。<br />只要能遍历这个PspCidTable句柄表,就可以遍历到系统的所有进程,包括所有隐藏进程,除非你抹掉pspCidTable...<br /><br
pspcidtable
yaneng的专栏
06-18 1229
第8个男人" 的code里面就做的很好,找到PspCidTable后自己搜索所有的进程对象就行了://----------------------------------------------------------------------VOID IsValidProcess ()/*++Author : 第8个男人Leaner : sudami [xiao_rui_119@163.com]T
关于PspCidTable
zfdyq
10-20 915
PspCidTable为一个全局变量,其格式与普通的句柄表是完全一样的. 但它与每个进程私有的句柄表有以下不同:  1.PspCidTable中存放的对象是系统中所有的进线程对象指针,其索引就是PID和CID  2.PspCidTable中存放是对象体(指向EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HEADER)  3.PspCidTable
PID.rar_delphi pid_delphi 进程PID_pid
09-24
在Delphi编程环境中,"PID.rar_delphi pid_delphi 进程PID_pid"这个主题主要涉及的是如何管理和操作操作系统中的进程,特别是通过进程IDPID)来实现对进程的控制。这里的"PID"指的是Process ID,是操作系统为每个...
get-handle-and-PID.rar_钩子与API截获_Visual_Basic_
08-11
【标题】"get-handle-and-PID.rar_钩子与API截获_Visual_Basic_" 涉及的核心技术是Windows编程中的钩子(Hook)机制以及API截获,这者都是在Visual Basic环境中实现系统级监控的重要手段。 **钩子(Hook)机制** ...
Get-EXE-path-from-window-handle.rar_Get-Window-Handle
09-23
在Windows操作系统中,获取进程或窗口的执行文件(EXE)路径是一项常见的需求,尤其是在进行系统管理和自动化脚本编写时。标题"Get-EXE-path-from-window-handle.rar_Get-Window-Handle"暗示了我们讨论的核心内容是...
vb得到进程名和PID并对进程管理
07-18
在VB(Visual Basic)编程环境中,获取系统进程名和PID(Process ID,进程标识符)以及对进程进行管理是常见的任务。VB提供了丰富的API(应用程序接口)调用来实现这些功能,这通常涉及到Windows API的使用,如`...
实现程序在驱动层面的保护;一份用于隐藏进程及其线程的rootkit驱动程序源代码.
12-22
实现程序在驱动层面的保护;分享一份用于隐藏进程及其线程的rootkit驱动程序源代码.
PspCidTable 完全解读
weixin_34216036的博客
12-07 212
PspCidTable 完全解读 by sysdog 2009.5.1 Whu ------------------------------------------------------------------------------- 一、句柄 句柄:HADNLE 在winnt.h 定义如下: typedef void *HANDLE; 是一个 3...
HANDLE-->HANDLE_TABLE_ENTRY
SUNE__学无止境
12-16 772
0
驱动开发:内核枚举PspCidTable句柄表
热门推荐
CSDN
10-16 1万+
在上一篇文章中我们通过枚举特征码的方式找到了DPC定时器基址并输出了内核中存在的定时器列表,本章将学习如何通过特征码定位的方式寻找Windows 10系统下面的内核句柄表地址。首先引入一段基础概念;windowsPspCidTable 就是这样的一种表(内核句柄表),表的内部存放的是进程EPROCESS和线程ETHREAD的内核对象,并通过进程PID和线程TID进行索引,ID号以4递增,内核句柄表不属于任何进程,也不连接在系统的句柄表上,通过它可以返回系统的任何对象。
内核PspCidTable句柄表遍历获取隐藏进程
CrazyWolf的专栏
09-23 2367
先从WinDBG中来看下PspCidTable. lkd> dd pspcidtable 84196eb4 8ae011c8 00000000 80000018 00000101 84196ec4 800005e0 80000020 00000000 00000000 84196ed4 00000000 00000000 00000000 00000113 84196ee4 0000
PspCidTable攻与防
wowbell的专栏
03-17 1226
转自:http://hi.baidu.com/_achillis/blog/item/2bb59619d8019cbc4bedbc56.htmlPspCidTable的攻与防,其实就是进程隐藏与检测所涉及到的一部分工作~~ 不管基于PspCidTable的进线程检测,还是抹PspCidTable进行进程对象的隐藏,都涉及到对PspCidTable的遍历. 所以如何安全正确地遍历PspCidTable才是该技术的关键 一、获取PspCidTable的地址 常用的方法是从前面提到的三个查询PspCidT
(Win7) PspCidTable遍历进程句柄表,枚举进程
xlaomlng的博客
06-14 1271
本文出自悠然品鉴小悠,转载请注明出处http://www.youranshare.com/blog/sid/102.html 先说一下句柄表是什么 在windows内核中定义了很多内核对象,像文件对象,线程对象,信号量对象啊等等;而Windows中并没有让我们直接去使用这些对象资源,而是通过句柄让我们去引用这些资源,句柄表就相当于资源的数组,而句柄就是对应资源的索引,每个进程内部都有一个自己的私有...
Windows 10 X64 内核对象句柄表解析
vs2008ASPNET的专栏
05-24 1305
fweWindows 很多API函数创建和使用句柄(传入参数),句柄代表一个内核对象的内存地址,每个进程都有一个句柄表,它保存着进程拥有的句柄,内核也有一个句柄表 PspCidTable,它保存着整个系统的句柄。0xffff8d85`570ff000 notepad.exe句柄表地址,低位为0 表示是1级表。(句柄项>>0x10)&0xfffffffffffffff0 = 对象地址(低位)句柄表地址+(进程ID>>0xa*8)-1。从内核句柄项中解析出内核对象地址。由上内核函数逆向可知。
Win10遍历句柄表+修改权限过Callback保护
xlaomlng的博客
05-26 3223
本帖转载于http://www.m5home.com/bbs/thread-8847-1-1.html 本想发到看雪,但自己太菜,看雪“牛人”又太多,想想还是发到紫水晶吧。 感谢 TA 的 WIN64 教程带我走上驱动之路,想想除了个 VIP 账号就没教过学费,以后多在论坛发帖来回报一下吧。 正篇: XP 和 Win7 上关于句柄表的文章不少,一点不懂的朋友请自行百度谷歌搜索,方法没变,依旧使用 ...
请用python设计一个PID控制器,可以在b0 remote api中使用,控制关节的角度
06-02
好的,下面是一个基本的PID控制器的Python实现,用于控制仿真机器人的关节角度。请注意,这只是一个示例代码,需要根据具体情况进行修改和调整。 ```python import b0RemoteApi import time # PID参数设置 kp = ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值