在Win7 x64通过PspCidTable枚举进程

最新推荐文章于 2022-04-10 11:30:57 发布
最新推荐文章于 2022-04-10 11:30:57 发布
阅读量2k 收藏 8
点赞数 1
分类专栏: 内核编程 文章标签: PspCidTable 隐藏进程遍历 内核编程 Windows 驱动开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq269813279/article/details/80679789
版权
本文介绍了如何在Windows 7 64位系统中,通过PspCidTable枚举进程。文章详细解析了_HANDLE_TABLE结构,解释了TableCode和NextHandleNeedingPool字段的作用,并提供了使用WinDbg获取进程对象的步骤。通过遍历各级别表,结合ObGetObjectType获取对象类型,实现了进程的枚举,同时注意区分进程与线程对象。
摘要由CSDN通过智能技术生成

个人理解,记录一下,如有错误请轻喷。。。。


PspCidTable存放着一个结构为_HANDLE_TABLE的指针,_HANDLE_TABLE结构记录句柄表的相关信息,句柄表存放着所有进程和线程的对象,其索引就是PID和TID,在WinDbg看一下相关的结构。


我们遍历进程对象需要关注两个成员,第一个是TableCode,第二个是NextHandleNeedingPool。

TableCode:该成员记录表级和表地址,低2位记录着表的级数,掩掉低2位后为表地址,表级为0时为一级表,表地址直接指向_HANDLE_TABLE_ENTRY数组,表级为1时为二级表,表地址指向一级表数组,表级为2时为三级表,表地址指向二级表数组。

引用一位博主的图片https://blog.csdn.net/whatday/article/details/17189093


每个表的大小为1页=4K,二级表和三级表储存指针,所以分别可以储存4K/8=512个表,一级表储存_HANDLE_TABLE_ENTRY结构,在x64中该结构大小为16,所以一级表可以储存4K/16=256个表,计算PID的方式为:(三级表索引*二级表最大表数(512)*一级表最大表数(256)+二级表索引*一级表最大表数(256)+一级表索引)*4

NextHandleNeedingPool:该成员记录下一次句柄扩展时的起始值。

下面通过WinDbg来获取进程的对象,

首先访问PspCidTable获取指针地址,


通过该指针地址获取_HANDLE_TABLE相关信息,


根据TableCode低两位为0,说明是一个二级表,我们通过TableCode&(~3)得到二级表指针,


然后访问第一个一级表指针,


通过结构_HANDLE_TABLE_ENTRY访问第一项为,


由于是二级表,我们通过(二级表索引*一级表最大表数(256)+一级表索引)*

最低0.47元/天 解锁文章
做美梦的Silent
关注
专栏目录
x64通过PspCidTable遍历进程
zhuhuibeishadiao
06-05 2862
PspCidTable可以在PsLookupProcessByProcessId下寻找 我这硬编码了 只适用于win7 x64 其它版本需要自己改下特征码 #include extern "C" NTKERNELAPI PVOID NTAPI ObGetObjectType( IN PVOID pObject ); extern "C" N
驱动保护进程 句柄降权 杀软自保 游戏破图标技术原理和实现
最新发布
鬼手的博客
11-26 7444
驱动保护进程 句柄降权 杀软自保 游戏破图标技术原理和实现
(Win7) PspCidTable遍历进程句柄表,枚举进程
h2995527的博客
04-10 542
搞了一阵子的PHP,今天又来继续自己的C++了,翻阅了一下自己之前写的代码和说明,自己也有点儿稀里糊涂了,于是又仔细的从头研究了一下,遂写此文以记之,文中有不当的地方欢迎大家拍砖. 先说一下句柄表是什么 在windows内核中定义了很多内核对象,像文件对象,线程对象,信号量对象啊等等;而Windows中并没有让我们直接去使用这些对象资源,而是通过句柄让我们去引用这些资源,句柄表就相当于资源的数组,而句柄就是对应资源的索引,每个进程内部都有一个自己的私有句柄表,这也就是说句柄是不能跨进程使用的。 PspCi
PSPCidTable枚举进程
weixin_30552811的博客
03-16 56
  目前网上流传的一些通过PSPCidTable的代码似乎有些问题,以下是我真实使用的一些代码,需要具体的可以向我索要:) 针对XP动态的三层句柄表实现,2000就是固定的三层了,不多说了。   说明一下,PspCidTable仍然不能突破FUTO的限制,不过本人写的一个简单的测试代码是通过EPROCESS 的这个偏移就可以试实现:int OFFSET_MMSUPPORT_WORKINGS...
通过PspCidTable枚举进程
liuhaidon1992的博客
01-08 311
如果当前进程为System进程,就意味着此次打开的内核对象访问权限属于内核,那么就使用内核句柄表, 内 核句柄与用户句柄不同的地方就在于内核句柄需要或上一个0x80000000即最高位置为1作为标识, 但是实际在使用句柄的时候还是不需要这个最高位值的。进程的句柄表由EPROCESS中的 ObjectTable成员进行管理, 句柄表有3种内存结构分别为一级表,二级表以及三级表。表的结构 由进程中的句...
枚举进程——PspCidTable zz
摸爬滚打
05-05 1017
http://blog.csdn.net/strongxu/article/details/4959757 看Windows内核情景分析的时候看到讲PspCidTable中会保存每个进程和线程的CID,就在想可以通过这个表来获取到每个进程的PID及相关信息,然后网上一搜,已经有N多人通过这种方法来获取进程列表了,Iceword也是有这种方法来枚举进程的。Anyway,还是自己实现一遍吧。
x64驱动 遍历 PspCidTable 枚举进程和线程
墨鱼菜鸡
06-05 338
介绍 PspCidTable 是一个内核句柄表,存放进程和线程的内核对象(EPROCESS 和 ETHREAD),并通过 PID 和 TID 进行索引(所以进程ID和线程ID不可能相同),ID 号以 4 递增。 获取 ...
准确在64位系统下枚举进程模块
04-08
然而,枚举进程模块的部分没有在代码中直接实现,这部分需要通过查询Win32_Module类来完成,但这涉及到更复杂的WMI查询和对象实例的操作,这超出了当前示例的范围。 为了枚举进程模块,你需要进一步查询Win32_...
在NT / Win9x上枚举进程
04-11
标题中的“在NT / Win9x上枚举进程”指的是在Windows NT和Windows 9x操作系统上获取系统中运行的所有进程的技术。这是系统管理和调试的重要部分,尤其在开发和优化软件时,了解系统资源的使用情况是至关重要的。 在...
pspCidTAble完全解读
06-17
完全分析了句柄,句柄表和pspCidTAble,并有windbg实验验证
32位进程枚举64位进程模块信息
06-02
' WOW64的32位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等....' 因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程,只是自己以为是32...
PspCidTable综合概述
weixin_34390996的博客
06-24 220
PspCidTable概述 2009-03-28 11:27 PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每 个进程私有的句柄表有以下不同: 1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID 2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有...
PspCidTable概述
yaneng的专栏
06-18 1352
PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每个进程私有的句柄表有以下不同:1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HEADER)3.PspCidTable是一个独立的句柄表,而每
pspCidTable
Mr.Out的专栏
10-14 1157
<br /><br />一.                        pspCidTable概念及内核调试<br />-----------------------------------------------------<br /><br />pspCidTable内核未导出的HANDLE_TALBE结构,它保存着所有进程和线程对象的指针。<br />只要能遍历这个PspCidTable句柄表,就可以遍历到系统的所有进程,包括所有隐藏进程,除非你抹掉pspCidTable...<br /><br
pspcidtable
yaneng的专栏
06-18 1236
第8个男人" 的code里面就做的很好,找到PspCidTable后自己搜索所有的进程对象就行了://----------------------------------------------------------------------VOID IsValidProcess ()/*++Author : 第8个男人Leaner : sudami [xiao_rui_119@163.com]T
(转)获取 pspCidTable 地址
weixin_30235225的博客
01-25 165
http://hi.baidu.com/zapline/item/512059e3bd963ea9ce2d4f36 kd> dg @fs P Si Gr Pr Lo Sel Base Limit Type l ze an es ng Flags ---- -------- -...
【原创】remove some info from pspcidtable WIN7X64
落笔飞花笑百生的博客
08-27 1297
不废话 直接防码  补充代码有网了:【分享】x64 antidebug 不触发PG http://bbs.pediy.com/showthread.php?p=1385028#post1385028 有个BUG  如果 移出的目标有线程退出  那么 我的 系统线程就挂了   目测是枚举函数的 问题  这个   我就 不解决了   退出不蓝屏 因为 有 了新的 解决办法  这个 就扔掉了
【旧文章搬运】PspCidTable概述
weixin_30824277的博客
12-26 141
原文发表于百度空间,2009-03-28========================================================================== PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每个进程私有的句柄表有以下不同:1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID2.Psp...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值