侦测隐藏进程的强文[下]

最新推荐文章于 2023-05-24 15:49:28 发布
最新推荐文章于 2023-05-24 15:49:28 发布
阅读量962 收藏 1
点赞数
分类专栏: windows底层核心編程 文章标签: table xp windows struct 汇编 object

利用以上信息还原该结构:

Code:

typedef struct _XP_HANDLE_TABLE
{
ULONG TableCode;
PEPROCESS QuotaProcess;
PVOID UniqueProcessId;
EX_PUSH_LOCK HandleTableLock[4];
LIST_ENTRY HandleTableList;
EX_PUSH_LOCK HandleContentionEvent;
PHANDLE_TRACE_DEBUG_INFO DebugInfo;
LONG ExtraInfoPages;
ULONG FirstFree;
ULONG LastFree;
ULONG NextHandleNeedingPool;
LONG HandleCount;
LONG Flags;
UCHAR StrictFIFO;
} XP_HANDLE_TABLE, *PXP_HANDLE_TABLE;

从上面的表中可以很明显看出ExpLookupHandleTableEntry函数从HANDLE_TABLE结构中得到TableCode的值,并基于其低2位的内容计算出表的层

次数。其余的位指向第1层表。因此Windows XP下的HANDLE_TABLE可以拥有1到3个层次,每一个层次的表的大小为1FFh。当表中记录的数量增加

时,系统会自动增加层数。很明显,当表中记录的数量超过0x200的时候表就会拥有两层,当大于0x40000时增加到第3层。不知道当销毁对象时

系统会不会减少表的层数,我没有注意到这件事。

Windows XP下没有ExLockHandleTableEntry函数,因此表中相应的模块被定位在ExMapHandleToPointer函数中。反汇编这个函数看看它做了什

么?

Code:

PAGE:0048F61E ExMapHandleToPointer proc near
PAGE:0048F61E
PAGE:0048F61E
PAGE:0048F61E var_8 = dword ptr -8
PAGE:0048F61E var_4 = dword ptr -4
PAGE:0048F61E HandleTable = dword ptr 8
PAGE:0048F61E Handle = dword ptr 0Ch
PAGE:0048F61E
PAGE:0048F61E mov edi, edi
PAGE:0048F620 push ebp
PAGE:0048F621 mov ebp, esp
PAGE:0048F623 push ecx
PAGE:0048F624 push ecx
PAGE:0048F625 push edi
PAGE:0048F626 mov edi, [ebp+Handle]
PAGE:0048F629 test di, 7FCh
PAGE:0048F62E jz loc_4A2A36
PAGE:0048F634 push ebx
PAGE:0048F635 push esi
PAGE:0048F636 push edi
PAGE:0048F637 push [ebp+HandleTable]
PAGE:0048F63A call ExpLookupHandleTableEntry
PAGE:0048F63F mov esi, eax
PAGE:0048F641 test esi, esi
PAGE:0048F643 jz loc_4A2711
PAGE:0048F649 mov [ebp+var_4], esi
PAGE:0048F64C loc_48F64C:
PAGE:0048F64C mov ebx, [esi]
PAGE:0048F64E test bl, 1
PAGE:0048F651 mov [ebp+var_8], ebx
PAGE:0048F654 jz loc_508844
PAGE:0048F65A lea eax, [ebx-1]
PAGE:0048F65D mov [ebp+Handle], eax
PAGE:0048F660 mov eax, [ebp+var_8]
PAGE:0048F663 mov ecx, [ebp+var_4]
PAGE:0048F666 mov edx, [ebp+Handle]
PAGE:0048F669 cmpxchg [ecx], edx
PAGE:0048F66C cmp eax, ebx
PAGE:0048F66E jnz loc_50884C
PAGE:0048F674 mov eax, esi
PAGE:0048F676 loc_48F676:
PAGE:0048F676 pop esi
PAGE:0048F677 pop ebx
PAGE:0048F678 loc_48F678:
PAGE:0048F678 pop edi
PAGE:0048F679 leave
PAGE:0048F67A retn 8
PAGE:0048F67A ExMapHandleToPointer endp

ExpLookuphandleTableEntry函数返回指向HANDLE_TABLE_ENTRY的指针后,我们要检查Object域的低字节,如果是被设置了的,说明是被清除了

的(俄文翻译者kao注:希望我翻译的对...),如果该位没有被设置,我们要等到它被设置了为止。因此当得到对象地址的时候我们不应该设

置高位(Windows 2000平台),而是要清除低位。综上所述,扫描表的代码如下:

Code:

void ScanXpHandleTable(PXP_HANDLE_TABLE HandleTable)
{
int i, j, k;
PHANDLE_TABLE_ENTRY Entry;
ULONG TableCode = HandleTable->TableCode & ~TABLE_LEVEL_MASK;

switch (HandleTable->TableCode & TABLE_LEVEL_MASK)
{
case 0 :
for (i = 0; i < 0x200; i++)
{
Entry = &((PHANDLE_TABLE_ENTRY)TableCode);

if (Entry->Object) ProcessObject((PVOID)((ULONG)Entry->Object & ~XP_TABLE_ENTRY_LOCK_BIT));
}
break;

case 1 :
for (i = 0; i < 0x200; i++)
{
if (((PVOID *)TableCode))
{
for (j = 0; j < 0x200; j++)
{
Entry = &((PHANDLE_TABLE_ENTRY *)TableCode)[j];

if (Entry->Object) ProcessObject((PVOID)((ULONG)Entry->Object & ~XP_TABLE_ENTRY_LOCK_BIT));
}
}
}
break;

case 2 :
for (i = 0; i < 0x200; i++)
{
if (((PVOID *)TableCode))
{
for (j = 0; j < 0x200; j++)
{
if (((PVOID **)TableCode)[j])
{
for (k = 0; k < 0x200; k++)
{
Entry = &((PHANDLE_TABLE_ENTRY **)TableCode)[j][k];

if (Entry->Object)
ProcessObject((PVOID)((ULONG)Entry->Object & ~XP_TABLE_ENTRY_LOCK_BIT));
}
}
}
}
}
break;
}
}

我们已经明白对象表格式了。现在想要枚举进程我们还需要得到PspCidTable的地址。也许你已经猜到了,我们要在

PsLookupProcessByProcessId函数中搜索,这个函数中的第1个函数调用包含着PspCidTable的地址。代码如下:

Code:

void GetPspCidTable()
{
PUCHAR cPtr, pOpcode;
ULONG Length;

for (cPtr = (PUCHAR)PsLookupProcessByProcessId;
cPtr < (PUCHAR)PsLookupProcessByProcessId + PAGE_SIZE;
cPtr += Length)
{
Length = SizeOfCode(cPtr, &pOpcode);

if (!Length) break;

if (*(PUSHORT)cPtr == 0x35FF && *(pOpcode + 6) == 0xE8)
{
PspCidTable = **(PVOID **)(pOpcode + 2);
break;
}
}
}

现在我们知道怎样处理PspCidTable了,可以非常容易地查看到所有进程的表中的所有元素,分析那些属于隐藏进程的对象,就像我们在用户态

做的一样,如果你已经理解了前面所讲的东西,你一定可以做得到。

中文参考:《JIURL玩玩Win2k进程线程篇 HANDLE_TABLE》(http://jiurl.nease.net/document/JiurlPlayWin2k/PsHandleTable.htm)

感谢:firstrose, JIURL, linhanshi.

 

 
iiprogram
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
对象管理---4
For Geek
05-28 365
几个常用的内核函数 在Windows的内核管理层(Executive),对象管理是个很重要的机制。Windows对象管理中,有些著作喜欢将其称为"子系统",其实也就是内核管理层。下面讲介绍几个常用的内核中对象管理的函数。 ObReferenceObjectByHandle 这个函数根据Handle,返回一个该Handle对应的对象。 // // Converts to and from a K...
编程技术_Windows 内核级进程隐藏侦测技术-综合文档
05-19
编程技术_Windows 内核级进程隐藏侦测技术
ExpLookupHandleTableEntry
求索
04-18 1653
ExpLookupHandleTableEntry
Windows 10 X64 内核对象句柄表解析
vs2008ASPNET的专栏
05-24 1179
fweWindows 很多API函数都会创建和使用句柄(传入参数),句柄代表一个内核对象的内存地址,每个进程都有一个句柄表,它保存着进程拥有的句柄,内核也有一个句柄表 PspCidTable,它保存着整个系统的句柄。0xffff8d85`570ff000 notepad.exe句柄表地址,低两位为0 表示是1级表。(句柄项>>0x10)&0xfffffffffffffff0 = 对象地址(低位)句柄表地址+(进程ID>>0xa*8)-1。从内核句柄项中解析出内核对象地址。由上内核函数逆向可知。
Win10遍历句柄表+修改权限过Callback保护
xlaomlng的博客
05-26 3043
本帖转载于http://www.m5home.com/bbs/thread-8847-1-1.html 本想发到看雪,但自己太菜,看雪“牛人”又太多,想想还是发到紫水晶吧。 感谢 TA 的 WIN64 教程带我走上驱动之路,想想除了个 VIP 账号就没教过学费,以后多在论坛发帖来回报一下吧。 正篇: XP 和 Win7 上关于句柄表的文章不少,一点不懂的朋友请自行百度谷歌搜索,方法没变,依旧使用 ...
windbg学习笔记 FOR 内核调试(三) --进程句柄表HANDLE_TABLE
tomorrowsprogress的专栏
08-24 1717
windbg学习笔记 FOR 内核调试(三) --进程句柄表HANDLE_TABLE                                       想当年 初学核编 , 阅读第三章的内核对象的时候跟看天书没什么感觉 死命在想到底内核对象 , 句柄是个什么东西 干嘛用的 于是我们工作室的老大就对我说 这篇看过就过了 学到后面你自然会明白的     我想也是 ,
利用进程与线程对计算机进行侦测程序.rar
11-29
利用进程与线程对计算机进行侦测程序,教学用的小程序。
28V高端点电流侦测芯片FP130中文应用说明.pdf
11-18
PC电源电流侦测芯片,通过侦测高端点电流,将其转成电压讯号给到其他线路使用或判断,同时可以通过外部电阻调整输出电压的倍率。
入侵侦测强化企业信息安全
03-04
对抗信息系统攻击的最佳防御是整合工具与安全政策,它可以提高有关攻击信息的精确度,并提供实时的信息以有效...本文我们将讨论企业会面临的一些问题,特别是在企业信息基础架构内部属入侵侦测系统会被讨论到的议题。
PsLookupProcessByProcessId的执行流程
yaneng的专栏
06-18 2750
本来偶在学习内核线程调度的东西,发现里面有关于HANDLE_TABLE的知识.于是参照WRK把附带的一些东西深入学习了一下子--关于PsLookupProcessByProcessId的执行流程[写点心得存档,供以后学习的同学参考.老鸟飘过~]本来偶在学习内核线程调度的东西,发现里面有关于HANDLE_TABLE的知识.于是参照WRK把附带的一些东西深入学习了一下子--
pid的后2位是无效的 在查询pspcidtable的时候 ExpLookupHandleTableEntry 函数会自动把pid的后两位置成0(Handle.TagBits = 0;就是这句!!)
Sunny_wwc的专栏
02-07 1663
<br />PHANDLE_TABLE_ENTRY<br />ExpLookupHandleTableEntry (<br />    IN PHANDLE_TABLE HandleTable,<br />    IN EXHANDLE tHandle<br />    )<br />/*++<br />Routine Description:<br />    This routine looks up and returns the table entry for the<br />    specif
Windows内核编程】Win10/Win11通过PspCidTable取得EProcess
懵逼树上懵逼果
08-04 848
在内核RING0层运用PspCidTable枚举可能被隐藏、断链的进程,得到EPROCESS对象
windbg 学习笔记 FOR 内核调试(三) --进程句柄表HANDLE_TABLE
rongwenbin的专栏
02-25 2285
想当年 初学核编 , 阅读第三章的内核对象的时候跟看天书没什么感觉 死命在想到底内核对象 , 句柄是个什么东西 干嘛用的 于是我们工作室的老大就对我说 这篇看过就过了 学到后面你自然会明白的     我想也是 , 很多时候感觉学东西的确是这样 暂时看不懂的先放着 过段时间再看回来就恍然大悟了 . 我前段时间又看了下核编的第三章 唯一的收获就是能够大概了解到 hanle 这个所谓的索引的作
关于句柄表的一些文章
ProgrammingRing的专栏
08-09 1565
wrk1.2中 ExpLookupHandleTableEntry的内部流程 1) 取 Handle(EXHANDLE类型) 值为tHandle,并将TagBit(低两位)置0 2) 取 HandleTable->NextHandleNeedingPool为MaxHandle ,    如果 tHandle大于等于MaxHandle,则返回NULL,查询失败    (由此可见, Next
遍历_EPROCESS->ObjectTable->HandleTableList链表枚举进程
125096
06-19 1408
#include #include UCHAR * PsGetProcessImageFileName(__in PEPROCESS Process); HANDLE PsGetProcessInheritedFromUniqueProcessId(__in PEPROCESS Process); VOID HelloDDKUnload(IN PDRIVER_OBJECT pDrive
通过GetProcessNameByProcessId得到进程路径
kernweak的博客
07-19 3865
写主防时,为了拿到进程路径,所以查询发现一种发现一种方式是通过PID,调用PsLookupProcessByProcessId(ProcessId, &ProcessObj)拿到进程的EPROCESS,然后PsGetProcessImageFileName(ProcessObj)拿到进程进程路径。 现在看下PsLookupProcessByProcessId资料 kd> u P...
Windows 进程的句柄表
qiaoli的知识备忘录
03-12 2332
本文源自《Windows内核原理与实现》第3章Windows 进程和线程 3.4.1 Windows 进程的句柄表(1) 上一章介绍了Windows 内核中的对象管理器,Windows 执行体实现了一套对象机制来管理各种资源或实体。每种对象都有一个类型对象,类型对象定义了该类对象的一些特性和方法。对象管理器也定义了一个全局名字空间,提供了根据名称来解析对象的统一机制(参考O
打开被独占的文件方法(二) -- 修改句柄访问权限
anhkgg的专栏
04-27 4178
打开被独占的文件方法(二) -- 修改句柄访问权限 2010年06月08日 星期二 11:40 来自:http://hi.baidu.com/wsh_chb/blog/item/1dfafadd4da473d48d1029a8.html 修改句柄访问权限 所有被占用的文件通常都可以用读属性(FILE_READ_ATTRIBUTES)打开,这样就可以读取文件的属性,取得
linux下查看隐藏进程
最新发布
08-16
- *2* [聊一聊Linux下进程隐藏的常见手法及侦测手段](https://blog.csdn.net/nzjdsds/article/details/82919100)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值