全局句柄表

最新推荐文章于 2023-07-24 15:30:01 发布
最新推荐文章于 2023-07-24 15:30:01 发布
阅读量505 收藏 2
点赞数 1
分类专栏: # 句柄表 滴水中级上
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490873/article/details/91349721
版权

全局句柄表

在这里插入图片描述
在这里插入图片描述

查找时需要把最低位清0

在这里插入图片描述
PspCidTable存的是 _HANDLE_TABLE结构体的指针。
最后通过索引找到的是_EPROCESS _ETHREAD 这种结构体本身,不需要+18h。最后的两个bit位要清0.

HANDLE 和PID的区别

HANDLE 是一个进程私有的,PID是全局的。
在这里插入图片描述

PID TID

PID TID就是全局句柄表的*索引 4

实验查找计算器

第一步 :通过全局变量找到全局句柄表的位置:
kd> dd pspcidtable
805649c0 e1003b00 00000002 00000004 00000000
805649d0 00000000 00000000 00000000 00000000
805649e0 e13bd587 e10376ff e163422f e17ade87
805649f0 00000000 00000000 00000000 00000000
80564a00 e1396737 e189d7cf 00000000 00000000
80564a10 00000000 00000000 00000000 00000000
80564a20 00000002 00000000 00000000 00000000
80564a30 00000000 00000000 00000000 00000000
kd> dt _HANDLE_TABLE e1003b00
nt!_HANDLE_TABLE
+0x000 TableCode : 0xe1334001
+0x004 QuotaProcess : (null)
+0x008 UniqueProcessId : (null)
+0x00c HandleTableLock : [4] _EX_PUSH_LOCK
+0x01c HandleTableList : _LIST_ENTRY [ 0xe1003b1c - 0xe1003b1c ]
+0x024 HandleContentionEvent : _EX_PUSH_LOCK
+0x028 DebugInfo : (null)
+0x02c ExtraInfoPages : 0n0
+0x030 FirstFree : 0x15c
+0x034 LastFree : 0xe7c
+0x038 NextHandleNeedingPool : 0x1000 这里是一级表的句柄界限。
+0x03c HandleCount : 0n423
+0x040 Flags : 1
+0x040 StrictFIFO : 0y1

第三步:_TABLE_CODE 的最后两个bit位要清0,表示是几级表,这里是两级
kd> dd e1334000
e1334000 e1005000 e1338000 00000000 00000000
e1334010 00000000 00000000 00000000 00000000
e1334020 00000000 00000000 00000000 00000000
e1334030 00000000 00000000 00000000 00000000
e1334040 00000000 00000000 00000000 00000000
e1334050 00000000 00000000 00000000 00000000
e1334060 00000000 00000000 00000000 00000000
e1334070 00000000 00000000 00000000 00000000

第四步:计算器的PID=1504*2=3008 =bc0h

kd> dq e1005000+bc0
e1005bc0 0000000089eda5e9 0000079c00000000
e1005bd0 0000088000000000 0000000089e3b319
e1005be0 0000000089f22b59 000000008a0fba79
e1005bf0 000000008a1b5da1 0000000089f407b9
e1005c00 0000000089e21501 000000008a1d9b59
e1005c10 0000026400000000 0000000089f78709
e1005c20 000000008a020991 000006b800000000
e1005c30 0000000089e9f5d1 0000000089e9f351
kd> dd _HANDLE_TABLE e1003b00

这里找到的89eda5e9 就是计算器的内核对象地址。89eda5e8(最后三个bit位清0)

在这里插入图片描述

如何判断找到的句柄类型是进程还是线程

把找到的值减去18h,通过_OBJECT_HEADER结构体的TYPE 判断。

kd> dt _OBJECT_HEADER 89eda5e8-18 (_EPROCESS的位置-18h)
nt!_OBJECT_HEADER
+0x000 PointerCount : 0n17
+0x004 HandleCount : 0n2
+0x004 NextToFree : 0x00000002 Void
+0x008 Type : 0x8a34e270 _OBJECT_TYPE
+0x00c NameInfoOffset : 0 ‘’
+0x00d HandleInfoOffset : 0 ‘’
+0x00e QuotaInfoOffset : 0 ‘’
+0x00f Flags : 0x20 ’ ’
+0x010 ObjectCreateInfo : 0x8a0b52f0 _OBJECT_CREATE_INFORMATION
+0x010 QuotaBlockCharged : 0x8a0b52f0 Void
+0x014 SecurityDescriptor : 0xe2514df9 Void
+0x018 Body : _QUAD
kd> dt _OBJECT_TYPE 0x8a34e270
nt!_OBJECT_TYPE
+0x000 Mutex : _ERESOURCE
+0x038 TypeList : _LIST_ENTRY [ 0x8a34e2a8 - 0x8a34e2a8 ]
+0x040 Name : _UNICODE_STRING “Process” (类型为进程)
+0x048 DefaultObject : (null)
+0x04c Index : 5
+0x050 TotalNumberOfObjects : 0x1a
+0x054 TotalNumberOfHandles : 0x6b
+0x058 HighWaterNumberOfObjects : 0x1a
+0x05c HighWaterNumberOfHandles : 0x72
+0x060 TypeInfo : _OBJECT_TYPE_INITIALIZER
+0x0ac Key : 0x636f7250
+0x0b0 ObjectLocks : [4] _ERESOURCE

练习2:根据PID 查找进程对象

ULONG  FindKernelObjectByHandle(ULONG Index)
{
	PULONG pFunc = NULL;
	UNICODE_STRING PsLookup;
	//句柄表有几层
	ULONG Tier=0;
	PVOID KeObject=NULL;
	PULONG pFirstTableBase=NULL;
	PULONG pSecondTableBase=NULL;
	//句柄表的全局变量是未导出的需要在已经到处的函数里面找
	ULONG PspCidTable = 0;
	ULONG TableCode=0;
	RtlInitUnicodeString(&PsLookup, L"PsLookupProcessByProcessId");
	pFunc = MmGetSystemRoutineAddress(&PsLookup);
	//PspCidTable在函数PsLookupProcessByProcessId+0x1a
	PspCidTable=*(PULONG)((ULONG)pFunc+0x1a);
	//得到PspCidTable的值
	PspCidTable=*(PULONG)PspCidTable;
	TableCode=*(PULONG)PspCidTable;
	//PspCidTable的低两位决定全局句柄表有几层
	
	Tier=TableCode&3;

	switch (Tier)
	{
	case 0:
		//句柄表只有一级,PspCidTable低两位清0 然后加上索引*4/8   低4字节的低2位清0 就是内核对象的头_OBJECT_HEADER  +0x18就是真正的内核对象_ETHREAD 或者_EPROCESS
		KeObject=(PVOID)(TableCode+Index*2);
		break;
	case 1:
		//找在第一级表的位置   一个表最大的HANDLE 是 512*4=2048  索引、2048 就找出第一级表中的偏移
		pFirstTableBase=(PULONG)(TableCode&0xFFFFFFFC)+Index/512/4;
		//在表中的偏移等于     e1003000 e1fc0000
		//低10位 是在一级表中的偏移
		KeObject=(PVOID)((*pFirstTableBase)+(Index%2048*2));
		break;
	}
	return (*(PULONG)KeObject)&0xfffffffe;
}

练习三:全局句柄表便利进程名

#include"ntddk.h"
ULONG FindTableCount()
{
	PULONG pFunc = NULL;
	UNICODE_STRING PsLookup;

	//总的句柄数

	//句柄表的全局变量是未导出的需要在已经到处的函数里面找
	ULONG PspCidTable = 0;
	ULONG TableCode = 0;

	RtlInitUnicodeString(&PsLookup, L"PsLookupProcessByProcessId");
	pFunc = MmGetSystemRoutineAddress(&PsLookup);
	//PspCidTable在函数PsLookupProcessByProcessId+0x1a
	PspCidTable = *(PULONG)((ULONG)pFunc + 0x1a);
	//得到PspCidTable的值

	PspCidTable = *(PULONG)PspCidTable;

	TableCode = *(PULONG)PspCidTable;


	return *((PULONG)PspCidTable + 0x3c/ 4);
	
}
ULONG  FindKernelObjectByHandle(ULONG Index)
{
	PULONG pFunc = NULL;
	UNICODE_STRING PsLookup;
	//句柄表有几层
	ULONG Tier = 0;
	PVOID KeObject = NULL;
	PULONG pFirstTableBase = NULL;
	PULONG pSecondTableBase = NULL;
	//句柄表的全局变量是未导出的需要在已经到处的函数里面找
	ULONG PspCidTable = 0;
	ULONG TableCode = 0;
	RtlInitUnicodeString(&PsLookup, L"PsLookupProcessByProcessId");
	pFunc = MmGetSystemRoutineAddress(&PsLookup);
	//PspCidTable在函数PsLookupProcessByProcessId+0x1a
	PspCidTable = *(PULONG)((ULONG)pFunc + 0x1a);
	//得到PspCidTable的值
	PspCidTable = *(PULONG)PspCidTable;
	TableCode = *(PULONG)PspCidTable;
	//PspCidTable的低两位决定全局句柄表有几层

	Tier = TableCode & 3;

	switch (Tier)
	{
	case 0:
		//句柄表只有一级,PspCidTable低两位清0 然后加上索引*4/8   低4字节的低2位清0 就是内核对象的头_OBJECT_HEADER  +0x18就是真正的内核对象_ETHREAD 或者_EPROCESS
		KeObject = (PVOID)(TableCode + Index * 2);
		break;
	case 1:
		//找在第一级表的位置   一个表最大的HANDLE 是 512*4=2048  索引、2048 就找出第一级表中的偏移
		pFirstTableBase = (PULONG)(TableCode & 0xFFFFFFFC) + Index / 512 / 4;
		//在表中的偏移等于     e1003000 e1fc0000
		//低10位 是在一级表中的偏移
		KeObject = (PVOID)((*pFirstTableBase) + (Index % 2048 * 2));
		break;
	}
	return (*(PULONG)KeObject) & 0xfffffffe;
}


VOID Kill360()
{	
	ULONG TableCount = 0;
	ULONG i = 0;
	ULONG KernelObject = 0;
	PUNICODE_STRING TypeName = NULL;
	UNICODE_STRING ImageFileName;
	TableCount=FindTableCount();
	RtlInitUnicodeString(&ImageFileName, L"Process");
	while (i<TableCount)
	{
		KernelObject=FindKernelObjectByHandle(i*4);
		//判断是不是进程,如果是进程就输出进程名
		//_OBJECT_HEADER
		//_OBJECT_TYPE
		if (KernelObject!=0)
		{
			TypeName = (PUNICODE_STRING)((*(PULONG)(KernelObject - 0x10)) + 0x40);
			
			//如果是进程,就输出进程名
			if (!RtlCompareUnicodeString(TypeName,&ImageFileName,TRUE))
			{
				DbgPrint("%s\n", (PUNICODE_STRING)(KernelObject+0x174));
			}
		}
		i++;
	}
}

VOID __stdcall UnLoad(PDRIVER_OBJECT pDriver)
{
	DbgPrint("Driver 卸载成功\n");
}
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pRegPath)
{
	Kill360();
	pDriver->DriverUnload = UnLoad;
	return STATUS_SUCCESS;
}
qq_857305819
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2.全局
My classmates
10-28 542
所有的进程和线程无论无论是否打开,都在这个中。 每个进程和线程都有一个唯一的编号: PID和CID 这两个值其实就是全局中的索引。 进程和线程的查询,主要是以下三个函数,按照给定的PID或CID从PspCidTable从查找相应的进线程对象: PsLookupProcessThreadByCid() PsLookupProcessByProcessld() PsLookupThread...
全局
Harlan的博客
09-01 3316
结构   1.这一块共计两个字节,低字节保留为0,高位字节是给SetHandleInformation这个函数用的,比如写成SetHandleInformation(Handle,HANDLE_FLAG_PROTECT_FROM_CLOSE,HANDLE_FLAG_PROTECT_FROM_CLOSE),那么这个位置将被写入0x02; HANDLE_FLAG_PROTECT_FRO...
26.全局PspCidTable
qq_35129925的博客
07-22 854
https://www.cnblogs.com/kuangke/p/5761615.html
全局 —— 遍历全局
walker的博客
03-16 1445
简介 进程句是私有的,每个进程都有自己的进程句。除此之外,系统还有一个全局全局变量 PspCidTable 指向该全局存储的是操作系统中所有创建的进程、线程的句(不会出现重复)。每个进程和线程都有一个唯一的编号:PID 和 CID , 这两个值其实就是全局中的索引。 也就是说,即使我们实现了对进程、线程的断链,但是只要操作系统中创建了进程、线程,全局中就会记录其对应的句(PID/CID),仍然可以通过全局实现对线程、进程的遍历。 EnumPspCidTab
02 全局
qq_50242229的博客
05-11 91
全局的TableCode 的元素指的就是EPROCESS 或者 ETHREAD 的头了,不再是 _OBJECT_HANDLE。2.每个进程和线程都有一个唯一的编码 : PID和CID 这两个值其实就是全局中的索引。1.所有的进程和线程无论是否打开,都在这个中。
通过全局(extern HWND)访问其他类
anhezhen6831的博客
03-05 214
一般我们是通过定义一个类的对象来访问类的成员变量及函数的。这比较简单,比如: CPage1 m_page1; 然后就可以通过m_page1访问CPage1类中的定义的函数 比如:m_page1.Add(2,3); 但是如果需要再CPage1类中访问主窗口类中的函数该怎么办? 我们可以通过句来访问。 1.首先在Test.h(主程序头文件) 或StdAfx.h中定义也行 ext...
滴水线程创建句课上代码
最新发布
07-26
"滴水线程创建句课上代码"这个标题暗示我们将会探讨如何在编程中管理和跟踪线程句,特别是在软件开发或插件实现中。下面我们将详细解释线程、句以及如何在代码中创建和管理这些元素。 线程是执行中的一个...
MySQL全局共享内存介绍
09-10
缓存保存了打开的文件句,避免频繁的文件操作,如打开和关闭。在MySQL 5.1.3之前,缓存大小由`table_cache`参数控制,之后改名为`table_open_cache`。每当查询涉及到一个时,MySQL会在缓存中查找已...
全局热键全局热键
06-01
这个函数需要指定一个窗口句、一个唯一标识符、以及要组合的按键。一旦注册成功,当用户按下指定的热键时,操作系统会发送一个特定的消息到注册该热键的窗口,然后应用程序处理这个消息并执行相应的功能。 全局...
labview获取子窗口句FindwindowsEX(API).vi
04-29
如果该参数为一个成员,则它必须为前次调用theGlobaIAddAtom函数产生的全局成员。该成员为16位,必须位于lpClassName的低16位,高位必须为0。 (4)lpszWindow:指向一个指定了窗口名(窗口标题)的空结束字符串。...
pspCidTAble完全解读
06-17
完全分析了句,句和pspCidTAble,并有windbg实验验证
设置全局热键
11-18
该函数需要传递四个参数:窗口句、热键ID、修饰键(如Ctrl、Alt、Shift)和实际的按键。注册成功后,当用户按下指定的热键组合时,系统会发送一个WM_HOTKEY消息给我们的程序。 2. **处理WM_HOTKEY消息**:在VB中...
Windows句学习笔记 —— 句&全局
qq_41988448的博客
03-19 3375
Windows句学习笔记 —— 句&全局前言句实验一:在WinDbg中查看句第一步:打开一个Win32窗口程序第二步:编译并运行以下代码第三步:查看运行结果第四步:在WinDbg中定位句结构实验二:在WinDbg中查看并分析句结构第一步:打开一个Win32窗口程序第二步:编译以下代码并运行第三步:查看运行结果第四步:在WinDbg中定位最后一个句第五步...
Windows 进程的句
qiaoli的知识备忘录
03-12 2350
本文源自《Windows内核原理与实现》第3章Windows 进程和线程 3.4.1 Windows 进程的句(1) 上一章介绍了Windows 内核中的对象管理器,Windows 执行体实现了一套对象机制来管理各种资源或实体。每种对象都有一个类型对象,类型对象定义了该类对象的一些特性和方法。对象管理器也定义了一个全局名字空间,提供了根据名称来解析对象的统一机制(参考O
驱动遍历句
落笔飞花笑百生的博客
04-27 2085
 驱动遍历句附加第二个方法的反汇编代码 其中还有对其拦截的方式的一些需要HOOK处比如伪造句 因为大量使用硬编码所以此份代码通用性不强一切均在虚拟机XP3下操作 #include "ntddk.h" typedef struct _EX_PUSH_LOCK {  //  // LOCK bit is set for both exclusive and shared acq
设置对话框窗口句全局变量
yo-yo的专栏
09-02 1324
1. 在对话框·Dlg.cpp文件顶部定义窗口句全局变量
隐藏句防止结束进程
qq_45844442的博客
07-24 274
三环传入一个指定的PID,驱动将保护通过删除目标进程的句和PID,这样在任务管理器中将无法结束进程(注意:虽然任务管理器无法结束,但是由于VMware注册了一个回调函数,导致只要自身关闭会发生蓝屏,所以需要把VM3DMP.sys去掉)我所使用的系统是Win7 sp1,不同的系统特征码等也会不一样,请自行提取。
UNICODE_STRING、全局、文件、注册、LIST_ENTRY、HASH、TREE、LookAside
05-16 1004
本公众号分享的所有技术仅用于学习交流,请勿用于其他非法活动,如有错漏,欢迎留言交流指正 内核基本操作,数据结构 内核的基本操作 UNICODE_STRING 为什么字符串很重要 大型工程中10%~20%的代码都与字符串操作有关 面试里面也有很多字符串相关问题 字符串涉及到指针操作 字符串是编程第二个重要关口 字符与字符串 字符 char/sigined char/unsigned char是不同的类型,但int/sigined int是一样的 std::out<<std::is_s..
全局 —— 抹除进程PID
walker的博客
03-16 718
简介 进程 PID 是进程的唯一标识,那么如果我们尝试抹除进程的 PID 会发生什么情况呢? 本次的测试代码以及关于全局,可参考 全局 —— 遍历全局 Code 驱动程序的关键代码如下: // 该句是进程句 if (!RtlCompareUnicodeString(&pWkPOBJECT_TYPE->Name, &unicode_Process, TRUE)) { DbgPrint("句类型: Process, 句号: %u.\n", uHand
MATLAB句绘图技术详解
它可以让你自定义图形的每一个方面,从小到改变单个数据点的样式,大到全局改变所有图形输出的风格。这在创建专业报告、用户界面或者需要精确控制视觉效果的应用中尤其有用。 此外,句图形也是实现动态图形的基础...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值