进程挂靠后使用PsGetCurrentProcessId获取的进程ID不准

最新推荐文章于 2023-06-23 21:55:30 发布
最新推荐文章于 2023-06-23 21:55:30 发布
阅读量1.7k 收藏 5
点赞数 1
分类专栏: 内核开发 文章标签: 获取进程PID
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cssxn/article/details/106481718
版权

如题,在使用KeStackAttachProcess挂靠到目标进程后,又调用了一系列子函数,此时并没有把EPROCESS传进去。

PEPROCESS    pProcess = NULL;
KAPC_STATE    apc;
NTSTATUS status = PsLookupProcessByProcessId((HANDLE)pid, &pProcess);
if (NT_SUCCESS(status))
{
	KeStackAttachProcess(pProcess, &apc);
		SubRoutine(); // didn't pass target eprocess into sub routine.
	KeUnstackDetachProcess(&apc);
	ObDereferenceObject(pProcess);
}

但是在SubRoutine函数中又调用了PsGetCurrentProcessId() 来获取目标进程的PID,得到的结果是4

明显这是错误的,通过该查看当前环境信息确认已经附加到IE进程了!
在这里插入图片描述

通过查看反汇编PsGetCurrentProcessId得知,它获取PID是从ethread结构中读取偏移0x3B0的数据

1: kd> uf PsGetCurrentProcessId
nt!PsGetCurrentProcessId:
fffff800`03eaccb0 65488b042588010000 mov   rax,qword ptr gs:[188h]
fffff800`03eaccb9 488b80b0030000  mov     rax,qword ptr [rax+3B0h]
fffff800`03eaccc0 c3              ret


1: kd> dt _ETHREAD
nt!_ETHREAD
   +0x000 Tcb              : _KTHREAD
   +0x360 CreateTime       : _LARGE_INTEGER
   +0x368 ExitTime         : _LARGE_INTEGER
   +0x368 KeyedWaitChain   : _LIST_ENTRY
   +0x378 ExitStatus       : Int4B
   +0x380 PostBlockList    : _LIST_ENTRY
   +0x380 ForwardLinkShadow : Ptr64 Void
   +0x388 StartAddress     : Ptr64 Void
   +0x390 TerminationPort  : Ptr64 _TERMINATION_PORT
   +0x390 ReaperLink       : Ptr64 _ETHREAD
   +0x390 KeyedWaitValue   : Ptr64 Void
   +0x398 ActiveTimerListLock : Uint8B
   +0x3a0 ActiveTimerListHead : _LIST_ENTRY
   +0x3b0 Cid              : _CLIENT_ID  《============= 这里读取的PID,进程挂靠后保存的还是原进程的PID

通过查看KeStackAttachProcess函数的源码,得知被附加进程的EPROCESS结构,保存在ethread->ApcState->Process

在这里插入图片描述

1: kd> dx -id 0,0,fffffa801b803b30 -r1 (*((ntkrnlmp!_KTHREAD *)0xfffffa801ca40040))
(*((ntkrnlmp!_KTHREAD *)0xfffffa801ca40040))                 [Type: _KTHREAD]
    [+0x000] Header           [Type: _DISPATCHER_HEADER]
    [+0x018] CycleTime        : 0x6d92c1272 [Type: unsigned __int64]
    [+0x020] QuantumTarget    : 0x6dd003af2 [Type: unsigned __int64]
    [+0x028] InitialStack     : 0xfffff8800386cc70 [Type: void *]
    [+0x030] StackLimit       : 0xfffff88003867000 [Type: void *]
    [+0x038] KernelStack      : 0xfffff8800386b480 [Type: void *]
    [+0x040] ThreadLock       : 0x0 [Type: unsigned __int64]
    [+0x048] WaitRegister     [Type: _KWAIT_STATUS_REGISTER]
    [+0x049] Running          : 0x1 [Type: unsigned char]
    [+0x04a] Alerted          [Type: unsigned char [2]]
    [+0x04c ( 0: 0)] KernelStackResident : 0x1 [Type: unsigned long]
    [+0x04c ( 1: 1)] ReadyTransition  : 0x0 [Type: unsigned long]
    [+0x04c ( 2: 2)] ProcessReadyQueue : 0x0 [Type: unsigned long]
    [+0x04c ( 3: 3)] WaitNext         : 0x0 [Type: unsigned long]
    [+0x04c ( 4: 4)] SystemAffinityActive : 0x0 [Type: unsigned long]
    [+0x04c ( 5: 5)] Alertable        : 0x0 [Type: unsigned long]
    [+0x04c ( 6: 6)] GdiFlushActive   : 0x0 [Type: unsigned long]
    [+0x04c ( 7: 7)] UserStackWalkActive : 0x0 [Type: unsigned long]
    [+0x04c ( 8: 8)] ApcInterruptRequest : 0x0 [Type: unsigned long]
    [+0x04c ( 9: 9)] ForceDeferSchedule : 0x0 [Type: unsigned long]
    [+0x04c (10:10)] QuantumEndMigrate : 0x0 [Type: unsigned long]
    [+0x04c (11:11)] UmsDirectedSwitchEnable : 0x0 [Type: unsigned long]
    [+0x04c (12:12)] TimerActive      : 0x0 [Type: unsigned long]
    [+0x04c (13:13)] SystemThread     : 0x1 [Type: unsigned long]
    [+0x04c (31:14)] Reserved         : 0x0 [Type: unsigned long]
    [+0x04c] MiscFlags        : 8193 [Type: long]
    [+0x050] ApcState         [Type: _KAPC_STATE]  <=========  0x50


1: kd> dx -r1 (*((ntkrnlmp!_KAPC_STATE *)0xfffffa801ca40090))
(*((ntkrnlmp!_KAPC_STATE *)0xfffffa801ca40090))                 [Type: _KAPC_STATE]
    [+0x000] ApcListHead      [Type: _LIST_ENTRY [2]]
    [+0x020] Process          : 0xfffffa801b803b30 [Type: _KPROCESS *]  <<======= 0x20

通过分析PsGetCurrentProcess反汇编,正式利用了上面的偏移来获取的被附加进程的eprocess

1: kd> uf PsGetCurrentProcess
nt!PsGetCurrentProcess:
fffff800`03e9bbb0 65488b042588010000 mov   rax,qword ptr gs:[188h]  =======》ETHREAD
fffff800`03e9bbb9 488b4070        mov     rax,qword ptr [rax+70h]   =======》ETHREAD->ApcState->Process
fffff800`03e9bbbd c3              ret

因此,在附加进程后,想要通过某个函数获取被附加进程pid,不能直接使用PsGetCurrentProcessId

应该先通过PsGetCurrentProcess 获取目标进程的EPROCESS结构,再使用PsGetProcessId 来获取指定Eprocess的PID。

PsGetProcessId 的反汇编,可以看出是直接从传入参数Eprocess中读取的PID,因此不会错。

在这里插入图片描述


// 例如 A 附加到B进程
    PEPROCESS pProcess =  PsGetCurrentProcess();
    HANDLE AttachedPID = PsGetProcessId(pProcess);  // 得到的是B进程的PID
	HANDLE pid = PsGetCurrentProcessId();  // 得到的是A进程的PID
FFE4
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内核修改进程启动参数源码,可用于学习浏览器劫持
08-11
自己小改一下即可支持x64系统,zip里源码是支持x86的,实际测试很多浏览器都OK,
C++-Win32-获取主窗口句柄-GetCurrentProcessId-EnumWindows
插件开发
06-08 3406
  原型:BOOL EnumWindows。   该函数枚举所有屏幕上的顶层窗口,并将窗口句柄传送给应用程序定义的回调函数。回调函数返回FALSE将停止枚举,否则EnumWindows函数继续到所有顶层窗口枚举完为止。  功能:获取当前进程一个唯一的标识符。...
PsGetCurrentProcess
我爱密码学
08-27 3084
PsGetCurrentProcess的定义如下:PsGetCurrentProcessThe PsGetCurrentProcess routine returns a pointer to the process of the current thread.PEPROCESS   PsGetCurrentProcess(    VOID    );ParametersNone Return ValuePsGetCurrentProcess returns a pointer to an opaque p
win32api之进程的创建与使用(二)
xf555er的博客
03-19 1574
在计算机操作系统中,进程是正在运行中的程序的实例。进程是操作系统进行资源分配和管理的基本单位,包括内存、文件句柄、系统状态等。每个进程都有自己的独立内存空间和运行状态,因此它们不会互相干扰,也不会互相影响。多个进程可以在操作系统上同时运行,每个进程都在自己的空间里执行自己的代码。
GetCurrentProcessID、OpenProcessToken
buptzwp的专栏
12-22 1785
GetCurrentProcessID        得到当前进程ID    OpenProcessToken           得到进程的令牌句柄 LookupPrivilegeValue       查询进程的权限 AdjustTokenPrivileges      判断令牌权限   要对一个任意进程(包括系统安全进程和服务进程)进行指定了写相关的访问权
Windows内核驱动EPROCESS遍历进程模块
12-14
1. **获取进程列表**:首先,你需要获取系统中的所有进程。这可以通过遍历全局的进程链表(PsActiveProcessHead)来实现。每个进程都有一个EPROCESS结构,它们通过链表链接在一起。 2. **访问EPROCESS结构**:遍历...
挂靠车辆跟踪记录复习进程.pdf
04-27
挂靠车辆跟踪记录复习进程.pdf
监理单位挂靠合作协议.docx
12-20
监理单位挂靠合作协议
营改增后挂靠行为.pdf
10-31
营改增后挂靠行为.pdf
营改增后挂靠账务问题.doc
11-29
营改增后挂靠账务问题.doc
32位/64位WINDOWS驱动之保护特定名字进程
a756598009的博客
06-23 268
驱动中进程间的切换保护特定进程时 条件选择 名字 PIDPsGetProcessImageFileName //11个有效的字符PsGetCurrentProcessId() //获取当前进程PID
驱动级别 进程隐藏pid
h1028962069的专栏
08-03 3899
#ifndef CXX_DIRVERPROHIDE_H #include "dirverprohide.h" #endifVOID DriverUnload(__in struct _DRIVER_OBJECT *DriverObject) { KdPrint(("驱动卸载成功!")); KdPrint(("PID = %d", PsGetCurrentProcessId())
监视远程线程的创建[收藏]
Purpleendurer@CSDN
03-09 2174
监视远程线程的创建作者: 一块三毛钱邮件: zhongts@163.com日期: 2004.12.29    远程线程技术被大量的使用在木马、蠕虫等软件当中,通过在别的进程中插入线程的方式运行代码,具有相当高的隐蔽性。比如常见的 Explorer.exe 进程中有十几个线程同时运行,在其中插入一个线程后,谁也分辨不出来哪个就是插入的远程线程。本文提供了一种方法可以监视远程线程的创建活动,记录下来远
如何在驱动程序(SYS)中得到当前进程的完整路径和进程名?(转)
11-15 1035
  首先利用PsGetCurrentProcess或IoGetCurrentProcess函数得到当前进程的句柄,这个句柄是指向_EPROCESS结构的指针,_EPROCESS的结构如下: typedef struct _EPROCESS { KPROCESS Pcb; NTSTATUS ExitStatus; KEVENT LockEvent; DWORD LockCount; QWORD
adjust_token_privilege-------2
cuishuai1990的博客
02-03 199
GetCurrentProcessID 得到当前进程ID OpenProcessToken 得到进程的令牌句柄LookupPrivilegeValue 查询进程的权限 AdjustTokenPrivil...
windows环境下的自保护探究
hongduilanjun的博客
09-14 1202
我们要想在32位下实现进程保护很简单,通过SSDT hook重写函数即可实现,但是在64位系统下因为引入了PG和DSE的原因,导致SSDT hook实现起来处处受限。但微软同样为了系统安全,增加了一个对象回调函数的接口,利用该回调可以实现对对象请求的过滤保护自身的进程,目前大部分64位下的安全软件保护机制都是基于该方法,我们深入进行探究。
GetCurrentProcess() and GetCurrentProcessId()
Oh~Why not!
12-22 4957
MSDN: GetCurrentProcess()  The return value is a pseudo handle to the current process. Remark Pseudo handles are not inherited by child processes. A process can create a "real" handle t
511遇见易语言模块API教程进程结束和进程取自进程ID
511遇见
06-27 4065
当我们多线程多窗口启动游戏时,在退出时我们手动比较麻烦,可以使用进程结束一键退出。 511遇见易语言模块API教程 1、GetCurrentProcessId 获取当前进程一个唯一的标识符 说明: 获取当前进程的标示符(PID) 返回值: 返回一个标示符(PID) 库文件:kernel32.dll .版本 2 .DLL命令 GetCurrentProcessId, 整数型, "kernel32", "GetCurrentProcessId", , 获取当前进程一个唯一的标识符 当前的进程
API学习--函数篇(2)GetCurrentThreadId()和GetCurrentProcessId(),getpid()和gettid()
qq_43145360的博客
08-15 3801
目录 GetCurrentThreadId()和GetCurrentProcessId(); getpid()和gettid() GetCurrentThreadId()和GetCurrentProcessId(); DWORD WINAPI GetCurrentThreadId(void); //库文件kernel32.h 该函数获取当前线程一个唯一的线程标识符。 DWORD WINAPI GetCurrentProcessId(void); //库文件kernel32.h 获...
springboot挂靠
最新发布
06-17
Spring Boot 是一款流行的 Java 框架,它简化了 Java 应用的初始搭建过程,提供了快速、方便的开发体验。"挂靠"(也称为"扩展"或"插件化")在 Spring Boot 中通常是指使用第三方库或者自定义模块来增强或定制应用的功能。 1. **自动配置**:Spring Boot 自动扫描项目中的特定目录,如 `META-INF/spring.factories` 文件,寻找并加载实现了特定接口的配置类,这样就可以通过挂载自动配置来扩展功能。 2. **依赖注入**:通过在启动类上添加 `@SpringBootApplication` 注解,并导入所需的依赖,外部库或自定义模块中的组件可以直接注入到 Spring 容器中,实现挂载。 3. **第三方模块支持**:Spring Boot 支持大量的第三方库集成,只需在 `pom.xml` 或 `build.gradle` 中添加依赖,即可轻松引入功能,如 Spring Data JPA、Spring Security 等。 4. **Spring Cloud**:Spring Boot 还可以与 Spring Cloud 搭配,提供服务发现、配置中心、API Gateway 等微服务架构相关的扩展功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值