进程挂靠后使用PsGetCurrentProcessId获取的进程ID不准

最新推荐文章于 2024-10-07 17:29:12 发布
最新推荐文章于 2024-10-07 17:29:12 发布
阅读量1.9k 收藏 5
点赞数 1
分类专栏: 内核开发 文章标签: 获取进程PID
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cssxn/article/details/106481718
版权

如题,在使用KeStackAttachProcess挂靠到目标进程后,又调用了一系列子函数,此时并没有把EPROCESS传进去。

PEPROCESS    pProcess = NULL;
KAPC_STATE    apc;
NTSTATUS status = PsLookupProcessByProcessId((HANDLE)pid, &pProcess);
if (NT_SUCCESS(status))
{
	KeStackAttachProcess(pProcess, &apc);
		SubRoutine(); // didn't pass target eprocess into sub routine.
	KeUnstackDetachProcess(&apc);
	ObDereferenceObject(pProcess);
}

但是在SubRoutine函数中又调用了PsGetCurrentProcessId() 来获取目标进程的PID,得到的结果是4

明显这是错误的,通过该查看当前环境信息确认已经附加到IE进程了!
在这里插入图片描述

通过查看反汇编PsGetCurrentProcessId得知,它获取PID是从ethread结构中读取偏移0x3B0的数据

1: kd> uf PsGetCurrentProcessId
nt!PsGetCurrentProcessId:
fffff800`03eaccb0 65488b042588010000 mov   rax,qword ptr gs:[188h]
fffff800`03eaccb9 488b80b0030000  mov     rax,qword ptr [rax+3B0h]
fffff800`03eaccc0 c3              ret


1: kd> dt _ETHREAD
nt!_ETHREAD
   +0x000 Tcb              : _KTHREAD
   +0x360 CreateTime       : _LARGE_INTEGER
   +0x368 ExitTime         : _LARGE_INTEGER
   +0x368 KeyedWaitChain   : _LIST_ENTRY
   +0x378 ExitStatus       : Int4B
   +0x380 PostBlockList    : _LIST_ENTRY
   +0x380 ForwardLinkShadow : Ptr64 Void
   +0x388 StartAddress     : Ptr64 Void
   +0x390 TerminationPort  : Ptr64 _TERMINATION_PORT
   +0x390 ReaperLink       : Ptr64 _ETHREAD
   +0x390 KeyedWaitValue   : Ptr64 Void
   +0x398 ActiveTimerListLock : Uint8B
   +0x3a0 ActiveTimerListHead : _LIST_ENTRY
   +0x3b0 Cid              : _CLIENT_ID  《============= 这里读取的PID,进程挂靠后保存的还是原进程的PID

通过查看KeStackAttachProcess函数的源码,得知被附加进程的EPROCESS结构,保存在ethread->ApcState->Process

在这里插入图片描述

1: kd> dx -id 0,0,fffffa801b803b30 -r1 (*((ntkrnlmp!_KTHREAD *)0xfffffa801ca40040))
(*((ntkrnlmp!_KTHREAD *)0xfffffa801ca40040))                 [Type: _KTHREAD]
    [+0x000] Header           [Type: _DISPATCHER_HEADER]
    [+0x018] CycleTime        : 0x6d92c1272 [Type: unsigned __int64]
    [+0x020] QuantumTarget    : 0x6dd003af2 [Type: unsigned __int64]
    [+0x028] InitialStack     : 0xfffff8800386cc70 [Type: void *]
    [+0x030] StackLimit       : 0xfffff88003867000 [Type: void *]
    [+0x038] KernelStack      : 0xfffff8800386b480 [Type: void *]
    [+0x040] ThreadLock       : 0x0 [Type: unsigned __int64]
    [+0x048] WaitRegister     [Type: _KWAIT_STATUS_REGISTER]
    [+0x049] Running          : 0x1 [Type: unsigned char]
    [+0x04a] Alerted          [Type: unsigned char [2]]
    [+0x04c ( 0: 0)] KernelStackResident : 0x1 [Type: unsigned long]
    [+0x04c ( 1: 1)] ReadyTransition  : 0x0 [Type: unsigned long]
    [+0x04c ( 2: 2)] ProcessReadyQueue : 0x0 [Type: unsigned long]
    [+0x04c ( 3: 3)] WaitNext         : 0x0 [Type: unsigned long]
    [+0x04c ( 4: 4)] SystemAffinityActive : 0x0 [Type: unsigned long]
    [+0x04c ( 5: 5)] Alertable        : 0x0 [Type: unsigned long]
    [+0x04c ( 6: 6)] GdiFlushActive   : 0x0 [Type: unsigned long]
    [+0x04c ( 7: 7)] UserStackWalkActive : 0x0 [Type: unsigned long]
    [+0x04c ( 8: 8)] ApcInterruptRequest : 0x0 [Type: unsigned long]
    [+0x04c ( 9: 9)] ForceDeferSchedule : 0x0 [Type: unsigned long]
    [+0x04c (10:10)] QuantumEndMigrate : 0x0 [Type: unsigned long]
    [+0x04c (11:11)] UmsDirectedSwitchEnable : 0x0 [Type: unsigned long]
    [+0x04c (12:12)] TimerActive      : 0x0 [Type: unsigned long]
    [+0x04c (13:13)] SystemThread     : 0x1 [Type: unsigned long]
    [+0x04c (31:14)] Reserved         : 0x0 [Type: unsigned long]
    [+0x04c] MiscFlags        : 8193 [Type: long]
    [+0x050] ApcState         [Type: _KAPC_STATE]  <=========  0x50


1: kd> dx -r1 (*((ntkrnlmp!_KAPC_STATE *)0xfffffa801ca40090))
(*((ntkrnlmp!_KAPC_STATE *)0xfffffa801ca40090))                 [Type: _KAPC_STATE]
    [+0x000] ApcListHead      [Type: _LIST_ENTRY [2]]
    [+0x020] Process          : 0xfffffa801b803b30 [Type: _KPROCESS *]  <<======= 0x20

通过分析PsGetCurrentProcess反汇编,正式利用了上面的偏移来获取的被附加进程的eprocess

1: kd> uf PsGetCurrentProcess
nt!PsGetCurrentProcess:
fffff800`03e9bbb0 65488b042588010000 mov   rax,qword ptr gs:[188h]  =======》ETHREAD
fffff800`03e9bbb9 488b4070        mov     rax,qword ptr [rax+70h]   =======》ETHREAD->ApcState->Process
fffff800`03e9bbbd c3              ret

因此,在附加进程后,想要通过某个函数获取被附加进程pid,不能直接使用PsGetCurrentProcessId

应该先通过PsGetCurrentProcess 获取目标进程的EPROCESS结构,再使用PsGetProcessId 来获取指定Eprocess的PID。

PsGetProcessId 的反汇编,可以看出是直接从传入参数Eprocess中读取的PID,因此不会错。

在这里插入图片描述


// 例如 A 附加到B进程
    PEPROCESS pProcess =  PsGetCurrentProcess();
    HANDLE AttachedPID = PsGetProcessId(pProcess);  // 得到的是B进程的PID
	HANDLE pid = PsGetCurrentProcessId();  // 得到的是A进程的PID
FFE4
关注
专栏目录
进程相关的函数
KOOKNUT的博客
04-14 605
得到当前进程进程的EPROCESS、当进程ID、当前进程的句柄 FORCEINLINE PKTHREAD KeGetCurrentThread(VOID) { return (struct _KTHREAD *)__readgsqword(0x188); } FORCEINLINE PEPROCESS _PsGetCurrentProcess(VOID) { /* Get the...
进程监控与管理详解
zdd56789的博客
09-17 701
进程的监控和管理详解
GetCurrentProcessID、OpenProcessToken、LookupPrivilegeValue、AdjustTokenPrivileges
元昌图像
04-04 932
GetCurrentProcessID、OpenProcessToken、LookupPrivilegeValue、AdjustTokenPrivileges2007-08-24 17:34GetCurrentProcessID            得到当前进程ID   OpenProcessToken          得到进程的令牌句柄LookupPrivilege
【JS】在 Node.js 和 Electron 中获取设备 UUID 的最佳实践
最新发布
10-07 1316
UUID(Universally Unique Identifier)是一个标准的识别符,用于唯一标识一台设备。对于 Windows 系统,UUID 通常由主板制造商在出厂时设定,可以通过一些命令行工具来获取
Process.GetCurrentProcess().Id
weixin_34090643的博客
09-24 1192
Process.GetCurrentProcess().Id
PsGetCurrentProcess
我爱密码学
08-27 3126
PsGetCurrentProcess的定义如下:PsGetCurrentProcessThe PsGetCurrentProcess routine returns a pointer to the process of the current thread.PEPROCESS   PsGetCurrentProcess(    VOID    );ParametersNone Return ValuePsGetCurrentProcess returns a pointer to an opaque p
php 获取当前进程id,GetThreadProcessId() 是 获取目标进程ID 可是PsGetThreadProcessId() 也相同功能吗?...
weixin_42356844的博客
03-17 472
{2020年12月05日}论证2021上半年全球大崩盘的见底点位{2020卝年12月05曰}论证2021上半年全球大崩卝盘的见底点位作者: 崽糟躬赫时间 : 2020卝年12月05曰 星期六 农历十月廿一上证综指 3444.58点 道指 30218.26点创历卝史新高恒指 26835.92点 囯际志愿人员曰1901年(辛丑年)——...
Windows内核驱动EPROCESS遍历进程模块
12-14
1. **获取进程列表**:首先,你需要获取系统中的所有进程。这可以通过遍历全局的进程链表(PsActiveProcessHead)来实现。每个进程都有一个EPROCESS结构,它们通过链表链接在一起。 2. **访问EPROCESS结构**:遍历...
挂靠车辆跟踪记录复习进程.pdf
04-27
挂靠车辆跟踪记录复习进程》是一份详细记录挂靠车辆运输过程的文档,主要用于物流管理和运输监控。在车辆跟踪管理中,此类记录是至关重要的,因为它提供了车辆行驶、货物装载以及交付等各个环节的详细信息,有助于...
12.进程挂靠
My classmates
10-22 905
进程与线程的关系: 一个逃程可以包含多个线程 一个进程至少要有一个线程 进程为线程提供资源,也就是提供Cr3的值, Cr3中存储的是页目录表基址, Cr3确定了,线程能访问的内存也就确定了。 进程与线程的关系 线程代码: mov eax, dword ptr ds:(0x12345678] CPU如何解析0x12345678这个地址呢? CPU解析线性地址时要通过页目录表来找对应的物理页,页目录...
工程项目责任承包合同适合挂靠使用.doc
10-01
- 增值税处理:挂靠人需提供预缴税款凭证及进项发票,缴纳税金后,被挂靠方才开具发票。 5. **工程人员与架构**: - 挂靠人需组建完整的工程管理团队,包括注册建造师、技术负责人等,所有人员需持证上岗并与被...
GetCurrentProcessID、OpenProcessToken
buptzwp的专栏
12-22 1819
GetCurrentProcessID        得到当前进程ID    OpenProcessToken           得到进程的令牌句柄 LookupPrivilegeValue       查询进程的权限 AdjustTokenPrivileges      判断令牌权限   要对一个任意进程(包括系统安全进程和服务进程)进行指定了写相关的访问权
GetCurrentProcess() and GetCurrentProcessId()
Oh~Why not!
12-22 5038
MSDN: GetCurrentProcess()  The return value is a pseudo handle to the current process. Remark Pseudo handles are not inherited by child processes. A process can create a "real" handle t
adjust_token_privilege-------2
cuishuai1990的博客
02-03 216
GetCurrentProcessID 得到当前进程ID OpenProcessToken 得到进程的令牌句柄LookupPrivilegeValue 查询进程的权限 AdjustTokenPrivil...
通过PsGetCurrentProcess函数获取函数名
weixin_30662011的博客
12-07 202
通过PsGetCurrentProcess函数来获取当前调用驱动的进程的EPROCESS结构的地址.EPROCESS结构的0x174偏移处存放着进程名.思路如下:驱动程序的加载函数DriverEntry是运行在System进程中的.(1) 通过PsGetCurrentProcess可以获取System进程的内核EPROCESS结构的地址,(2) 从该地址开始寻找"System"字符串.(3) 找到...
如何在驱动程序(SYS)中得到当前进程的完整路径和进程名?(转)
11-15 1058
  首先利用PsGetCurrentProcess或IoGetCurrentProcess函数得到当前进程的句柄,这个句柄是指向_EPROCESS结构的指针,_EPROCESS的结构如下: typedef struct _EPROCESS { KPROCESS Pcb; NTSTATUS ExitStatus; KEVENT LockEvent; DWORD LockCount; QWORD
如何修改进程的访问权限
郁闷阳光的专栏
11-21 1010
要对一个任意进程(包括系统安全进程和服务进程)进行指定了写相关的访问权的OpenProcess操作,只要当前进程具有SeDeDebug权限就可以 了。要是一个用户是Administrator或是被给予了相应的权限,就可以具有该权限。可是,就算我们用Administrator帐号对一个系统安全进程执行OpenProcess(PROCESS_ALL_ACCESS,FALSE, dwProcessI
API学习--函数篇(2)GetCurrentThreadId()和GetCurrentProcessId(),getpid()和gettid()
qq_43145360的博客
08-15 4017
目录 GetCurrentThreadId()和GetCurrentProcessId(); getpid()和gettid() GetCurrentThreadId()和GetCurrentProcessId(); DWORD WINAPI GetCurrentThreadId(void); //库文件kernel32.h 该函数获取当前线程一个唯一的线程标识符。 DWORD WINAPI GetCurrentProcessId(void); //库文件kernel32.h 获...
C++-Win32-获取主窗口句柄-GetCurrentProcessId-EnumWindows
插件开发
06-08 3673
  原型:BOOL EnumWindows。   该函数枚举所有屏幕上的顶层窗口,并将窗口句柄传送给应用程序定义的回调函数。回调函数返回FALSE将停止枚举,否则EnumWindows函数继续到所有顶层窗口枚举完为止。  功能:获取当前进程一个唯一的标识符。...
智能车辆挂靠管理软件系统解决方案
车辆挂靠管理软件(系统)是专门针对有车辆挂靠业务的运输车队、货运公司、运输集团、物流公司等使用的软件产品。该软件产品的主要功能包括挂靠管理、财务管理、保险理赔、异动管理、信息提醒、统计报表、基本设置等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值