详谈操作系统的进程与端口的映射(转)

最新推荐文章于 2022-03-26 21:07:30 发布
最新推荐文章于 2022-03-26 21:07:30 发布
阅读量173 收藏
点赞数
文章标签: 操作系统 网络
关于进程与端口映射的文章已经有很多了,我把我对fport的分析也写出来,让大家知道fport是如何工作的.fport.exe是由foundstone team出品的免费软件,可以列出系统中所有开放的端口都是由那些进程打开的.而下面所描述的方法是基于fport v1.33的,如果和你机器上的fport有出入,请检查fport版本.
  
  首先,它检测当前用户是否拥有管理员权限(通过读取当前进程的令牌可知当前用户是否具有管理权限,请参考相关历程),如果没有,打印一句提示后退出,然后设置当前进程的令牌,接着,用ZwOpenSection函数打开内核对象DevicePhysicalMemory,这个对象用于对系统物理内存的访问.ZwOpenSection函数的原型如下:
  
  NTSYSAPI
  NTSTSTUS
  NTAPI
  ZwOpenSection(
   Out PHANDLE sectionHandle;
   IN ACCESS_MASK DesiredAccess;
   IN POBJECT_ATTRIBUTES ObjectAttributes
   };
  (见ntddk.h)
  
  第一个参数得到函数执行成功后的句柄
  第二个参数DesiredAccess为一个常数,可以是下列值:
   #define SECTION_QUERY 0x0001
   #define SECTION_MAP_WRITE0x0002
   #define SECTION_MAP_READ 0x0004
   #define SECTION_MAP_EXECUTE 0x0008
   #define SECTION_EXTEND_SIZE 0x0010
  
   #define SECTION_ALL_ACCESS (STANDARD_RIGHTS_REQUIRED|SECTION_QUERY| SECTION_MAP_WRITE | SECTION_MAP_READ | SECTION_MAP_EXECUTE | SECTION_EXTEND_SIZE)
   (见ntddk.h)
  第三个参数是一个结构,包含要打开的对象类型等信息,结构定义如下:
   typedef struct _OBJECT_ATTRIBUTES {
   ULONG Length;
   HANDLE RootDirectory;
   PUNICODE_STRING ObjectName;
   ULONG Attributes;
   PVOID SecurityDescriptor; // Points to type SECURITY_DESCRIPTOR
   PVOID SecurityQualityOfService; // Points to type SECURITY_QUALITY_OF_SERVICE
   } OBJECT_ATTRIBUTES;
   typedef OBJECT_ATTRIBUTES *POBJECT_ATTRIBUTES;
   (见ntdef.h)
  对于这个结构的初始化用一个宏完成:
   #define InitializeObjectAttributes( p, n, a, r, s ) {  (p)->Length = sizeof( OBJECT_ATTRIBUTES );  (p)->RootDirectory = r;  (p)->Attributes = a;  (p)->ObjectName = n;  (p)->SecurityDescriptor = s; (p)->SecurityQualityOfService = NULL; }
   (见ntdef.h)
  那么,打开内核对象DevicePhysicalMemory的语句如下:
  WCHAR PhysmemName[] = L"\Device\PhysicalMemory";
  void * pMapPhysicalMemory;
  HANDLE pHandle;
  
  bool OpenPhysicalMemory()
  {
   NTSTATUS status;
   UNICODE_STRING physmemString;
   OBJECT_ATTRIBUTES attributes;
   RtlInitUnicodeString( &physmemString, PhysmemName ); //初始化Unicode字符串,函数原型见ntddk.h
   InitializeObjectAttributes( &attributes, &physmemString,
  OBJ_CASE_INSENSITIVE, NULL, NULL ); //初始化OBJECT_ATTRIBUTES结构
   status = ZwOpenSection(pHandle, SECTION_MAP_READ, &attributes ); //打开内核对象DevicePhysicalMemory,获得句柄
   if( !NT_SUCCESS( status ))
   return false;
   pMapPhysicalMemory=MapViewOfFile(pHandle,FILE_MAP_READ,
  0,0x30000,0x1000);
   //从内存地址0x30000开始映射0x1000个字节
   if( GetLastError()!=0)
   return false;
   return true;
  }
  
   为什么要从0x30000开始映射呢,是这样,我们知道,在Windows NT/2000下,系统分为内核模式和用户模式,也就是我们所说的Ring0和Ring3,在Windows NT/2000下,我们所能够看到的进程都运行在Ring3下,一般情况下,系统进程(也就是System进程)的页目录(PDE)所在物理地址地址为0x30000,或者说,系统中最小的页目录所在的物理地址为0x30000.而页目录(PDE)由1024项组成,每项均指向一页表(PTE),每一页表也由1024个页组成,而每页的大小为4K,1024*4=4096(0x1000),所以,上面从物理地址0x30000开始映射了0x1000个字节.(具体描述见WebCrazy的文章<>)
  
   程序打开打开内核对象DevicePhysicalMemory后,继续用函数ZwOpenFile打开内核对象DeviceTcp和DeviceUdp,ZwOpenFile
  函数的原型如下:
  NTSYSAPI
  NTSTATUS
  NTAPI
  ZwOpenFile(
   OUT PHANDLE FileHandle,
   IN ACCESS_MASK DesiredAccess,
   IN POBJECT_ATTRIBUTES ObjectAttributes,
   OUT PIO_STATUS_BLOCK IoStatusBlock,
   IN ULONG ShareAccess,
   IN ULONG OpenOptions
   );
  (见ntddk.h)
  
  第一个参数返回打开对象的句柄
  第二个参数DesiredAccess为一个常数,可以是下列值:
   #define FILE_READ_DATA( 0x0001 ) // file & pipe
   #define FILE_LIST_DIRECTORY ( 0x0001 ) // directory
   #define FILE_WRITE_DATA ( 0x0002 ) // file & pipe
   #define FILE_ADD_FILE ( 0x0002 ) // directory
   #define FILE_APPEND_DATA ( 0x0004 ) // file
   #define FILE_ADD_SUBDIRECTORY ( 0x0004 ) // directory
   #define FILE_CREATE_PIPE_INSTANCE ( 0x0004 ) // named pipe
   #define FILE_READ_EA ( 0x0008 ) // file & directory
   #define FILE_WRITE_EA ( 0x0010 ) // file & directory
   #define FILE_EXECUTE ( 0x0020 ) // file
   #define FILE_TRAVERSE ( 0x0020 ) // directory
   #define FILE_DELETE_CHILD( 0x0040 ) // directory
   #define FILE_READ_ATTRIBUTES( 0x0080 ) // all
   #define FILE_WRITE_ATTRIBUTES ( 0x0100 ) // all
   #define FILE_ALL_ACCESS (STANDARD_RIGHTS_REQUIRED | SYNCHRONIZE | 0x1FF)
   #define FILE_GENERIC_READ(STANDARD_RIGHTS_READ |FILE_READ_DATA |FILE_READ_ATTRIBUTES |FILE_READ_EA |SYNCHRONIZE)
   #define FILE_GENERIC_WRITE (STANDARD_RIGHTS_WRITE |FILE_WRITE_DATA |FILE_WRITE_ATTRIBUTES |FILE_WRITE_EA|FILE_APPEND_DATA|SYNCHRONIZE)
   #define FILE_GENERIC_EXECUTE(STANDARD_RIGHTS_EXECUTE |FILE_READ_ATTRIBUTES |FILE_EXECUTE |SYNCHRONIZE)
   (见ntdef.h)
  第三个参数是一个结构,包含要打开的对象类型等信息,结构定义见上面所述
  第四个参数返回打开对象的属性,是一个结构,定义如下:
   typedef struct _IO_STATUS_BLOCK {
   union {
  NTSTATUS Status;
  PVOID Pointer;
   };
  
   ULONG_PTR Information;
   } IO_STATUS_BLOCK, *PIO_STATUS_BLOCK;
  
   #if defined(_WIN64)
   typedef struct _IO_STATUS_BLOCK32 {
   NTSTATUS Status;
   ULONG Information;
   } IO_STATUS_BLOCK32, *PIO_STATUS_BLOCK32;
   #endif
   (见ntddk.h)
  第五个参数ShareAccess是一个常数,可以是下列值:
   #define FILE_SHARE_READ 0x00000001 // winnt
   #define FILE_SHARE_WRITE 0x00000002 // winnt
   #define FILE_SHARE_DELETE0x00000004 // winnt
   (见ntddk.h)
  第六个参数OpenOptions也是一个常数,可以是下列的值:
   #define FILE_DIRECTORY_FILE0x00000001
   #define FILE_WRITE_THROUGH 0x00000002
   #define FILE_SEQUENTIAL_ONLY 0x00000004
   #define FILE_NO_INTERMEDIATE_BUFFERING 0x00000008
   #define FILE_SYNCHRONOUS_IO_ALERT0x00000010
   #define FILE_SYNCHRONOUS_IO_NONALERT0x00000020
   #define FILE_NON_DIRECTORY_FILE 0x00000040
   #define FILE_CREATE_TREE_CONNECTION 0x00000080
   #define FILE_COMPLETE_IF_OPLOCKED0x00000100
   #define FILE_NO_EA_KNOWLEDGE 0x00000200
   #define FILE_OPEN_FOR_RECOVERY0x00000400
   #define FILE_RANDOM_ACCESS 0x00000800
   #define FILE_DELETE_ON_CLOSE 0x00001000
   #define FILE_OPEN_BY_FILE_ID 0x00002000
   #define FILE_OPEN_FOR_BACKUP_INTENT 0x00004000
   #define FILE_NO_COMPRESSION0x00008000
   #define FILE_RESERVE_OPFILTER 0x00100000
   #define FILE_OPEN_REPARSE_POINT 0x00200000
   #define FILE_OPEN_NO_RECALL0x00400000
   #define FILE_OPEN_FOR_FREE_SPACE_QUERY 0x00800000
   #define FILE_COPY_STRUCTURED_STORAGE0x00000041
   #define FILE_STRUCTURED_STORAGE 0x00000441
   #define FILE_VALID_OPTION_FLAGS 0x00ffffff
   #define FILE_VALID_PIPE_OPTION_FLAGS0x00000032
   #define FILE_VALID_MAILSLOT_OPTION_FLAGS 0x00000032
   #define FILE_VALID_SET_FLAGS 0x00000036
   (见ntddk.h)
   
  那么,打开内核对象DeviceTcp和DeviceUdp的语句如下:
  WCHAR physmemNameTcp[]=L"\Device\TCP";
  WCHAR physmemNameUdp[]=L"\Device\UDP";
  HANDLE pTcpHandle;
  HANDLE pUdpHandle;

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10294527/viewspace-123487/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/10294527/viewspace-123487/

cuankuangzhong6373
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详谈java线程与线程、进程进程间通信
08-30
在Java中,线程是程序执行的最小单位,而进程则是系统分配资源的基本单位。线程是进程的一部分,一个进程中可以有多个线程,这些线程共享进程的资源,如内存空间。线程间的通信主要是为了协调各自的工作,确保数据的...
通信与网络中的详谈关于决策支持系统发展
10-22
决策支持系统DSS(Decision Support System)的概念于20世纪70年代初由美国Michael S.Scott Morton在《管理决策系统》一文首次提出,20世纪80年代中期引入我国。  1 DSS的定义  决策支持系统(decision support ...
进程端口映射
weixin_34248258的博客
02-20 154
文章目录:                   1. Demo 效果展示: 2. 进程端口乱扯淡: 3. 查询进程端口的 API 的介绍: 4. 根据进程 ID 获得该进程所打开的 TCP 和 UDP 端口: 5. 根据端口号来获得打开该端口号的进程: 6. 小结:                           1. Demo 效果展示:             ...
系统中端口进程之间的关联
etjnety的专栏
07-27 2828
一、根据进程端口号    首先在开始菜单的“运行”框中输入“cmd.exe”进入命令提示符窗口,先键入“tasklist”命令将列出系统正在运行的进程列表,把你要查的进程所对应的“PID”号记下或复制。如下图:    需要注意的是,相同的进程 图像名 每次运行的“PID”号一般都不会相同,所以一旦该进程重启后,该“PID”号就会改变,这就需要重新查看。    把进程
网间进程的标识和端口分配机制
骑着蜗牛'深一'族
03-20 3381
网间进程的标识 每台主机都有一个唯一的IP地址,利用IP地址可以唯一的确定internet中的一台计算机,实现计算机的通信。但是最终进行网络通信的不是整个计算机,而是计算机的某个应用程序。一台主机中也可能有很多的进程,仅有IP地址是无法区别一台主机中的多个应用进程。还比粗暴汉可以描述应用进程的眸中标示符。 TCP/IP提出了传输层协议端口的概念可
端口进程的关系(详解)
qq_48508278的博客
03-26 8316
一:端口 (1):端口的定义 端口号的主要作用是表示一台计算机中的特定进程所提供的服务。网络中的计算机是通过IP地址来代表其身份的,它只能表示某台特定的计算机,但是一台计算机上可以同时提供很多个服务,如数据库服务、FTP服务(文件传输)、Web服务等,我们就通过端口号来区别相同计算机所提供的这些不同的服务,如常见的端口号21表示的是FTP服务,端口号23表示的是Telnet服务端口号25指的是SMTP服务(邮件传输)等。端口号一般习惯为4位整数,在同一台计算机上端口号不能重复,否则,就会产生端口号冲突这样的
Linux进程学习(fork,exec族,popen函数)
weixin_48839038的博客
09-05 812
关于Linux线程的学习就是去理解线程是什么,并且知道在Linux下一些关于线程的一些概念和常见用发,本人以下是通过fork函数和exec族函数来理解学习线程的提示:以下是本篇文章正文内容,下面案例可供参考fork函数调用后fork`后面代码会调用两次,一次为父进程调用一次为子进程调用。且fork会有三个参数0和非负整数还有-1,其中非负整数为父进程,0为子进程,-1为返回错误。并且子进程会copy一份父进程的代码共享代码,子进程中对变量进行改变时不会影响到父进程以下是代码验证。
详谈Node.js之操作文件系统
01-02
,在fs模块中,所有对文件及目录的操作都可以使用同步与异步这两种方法。这两者区别是:同步方法立即返回操作结果,在使用同步方法执行的操作结束之前,不能执行后续代码,代码类似如下: Var fs = require('fs') ...
操作系统端口
风雨落
09-02 3842
网络中可以被命名和寻址的通信端口操作系统的一种可分配资源。由网络OSI(开放系统互联参考模型,Open System Interconnection Reference Model)七层协议可知,传输层与网络层最大的区别是传输层提供进程通信能力, 网络通信的最终地址不仅包括主机地址,还包括可描述进程的某种标识。所以TCP/IP协议提出的协议端口,可以认为是网络通信进程的一种标识符。 之...
关于Windows内核空间操作的一些说明
神经网络爱好者
04-26 2586
   首先对被我误导的人说声对不起了。我在论坛中发的那篇贴(用户态隐藏进程的通用版本)真是乱七八糟(-_-我也是受害者)。在XP和WINDOWS 2003中用那种方法都是行不通的,而且在20043中的偏移也是错的。这里我先把XPSP2和2003中的EPROCESS整理出来给大家看一下:typedef struct _EPROCESS_2K3{   /*+0x000*/ KPROCESS_2K3  
进程,服务,端口的关系
weixin_30613433的博客
07-30 844
进程:运行的程序,通过API从操作系统取得各种服务。 服务:通常,服务是一个向应用程序和其他服务(本地和远程)提供一系列功能的实体。服务依赖于隐式声明的本地服务列表。在电脑中,需要各种服务支持各种功能。网络服务需要打开至少一个端口端口:如果进程需要进行网络通信,就要取得网络服务,从而必须要打开某些端口载于:https://www.cnblogs.com/loanhi...
windows配置端口映射
yao_1996的博客
08-18 8789
当前场景:需要将本机端口号:8888,映射至其他主机的3389端口 1. 配置映射 在windows 打开命令控制行CMD,然后输入以下命令 netsh interface portproxy add v4tov4 listenaddress=本机ip listenport=本机端口 connectaddress=映射ip connectport=映射端口 2.查看映射 在windows 打开命令控制行CMD,然后输入以下命令 netsh interface portproxy show v4tov4
x64/vista/2003 sp1下使用ZwOpenSection直接读写物理内存
wowbell的专栏
03-02 1883
<br /> 习惯于在应用程序用ZwOpenSection打开"Device"PhysicalMemory访问物理内存的朋友可能要郁闷了,微软出于安全考 虑的原因,在x64/vista/2003 sp1系统中所有用户模式的程序将不能访问"Device"PhysicalMemory对象。 <br />   经过测试,原来应用程序在2k/xp中使用ZwOpenSection,ZwMapViewOfSection可以正常访问物理内存,而同样的代码在 x64上却在ZwOpenSection时返回
windows下端口映射端口发)
热门推荐
Thorpe Tao的专栏
04-18 4万+
本文是对网文的归纳整理,算不上原创,摸索过程亲手测试过 一.搞清楚概念 所谓的映射发是针对接收数据的端口而言的,一般用作服务端,要侦听的 应用场景如:原本有个服务程序在PC2上运行,侦听着PC2上的B端口,现在希望在不动PC2及服务程序的前提下,外界能通过PC1的A端口与PC2上服务程序通信,这时就需要用端口映射端口发)来解决。 将PC1的A端口映射到PC2的B
管理员组获取系统权限的完美解决方案
05-01 1076
创建时间:2005-04-28文章属性:原创文章提交:suei8423 (suei8423_at_163.com)管理员组获取系统权限的完美解决方案Author : ZwelLBlog   : http://www.donews.net/zwellDate   : 2005.4.28    关于管理员组(administrators)获取系统(SYSTEM)权限的方法其实已经有很多种了.小四哥就提
简单的端口映射教程
MyDriverC
02-12 1万+
https://zhuanlan.zhihu.com/p/43233032 0x00 本文目的 最近写了两篇文章,一篇是在Windows下搭建Z-blog博客,一篇是在树莓派上搭建Wordpress博客,其实还有一篇,不过和建站没关系,如果真的有人跟着教程做了,会发现用外网IP是连不上你的网站的,因为没有进行端口映射,访问外网IP是无法对应到你内网服务器的某台机器的某个端口的,本文篇幅比较短。 0x01 端口映射的概念 端口映射是把外网IP地址的某一个端口映射到内网的某台主机的某台端口,比如你的服务
详谈软件开发与软件测试 两千字
最新发布
11-09
件开发和软件测试是软件行业中两个非常重要的领域。软件开发是指将计算机程序设计的过程,包括编写代码、测试、调试和维护等。而软件测试则是指在软件开发过程中,对软件进行各种测试,以确保软件的质量和可靠性。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值