PspCidTale的理解和思考

最新推荐文章于 2023-12-01 15:24:44 发布
最新推荐文章于 2023-12-01 15:24:44 发布
阅读量394 收藏
点赞数
分类专栏: Windows驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42021840/article/details/105874278
版权


(一)介绍

   PspCidTable是一个句柄表,但是这个句柄表不同于普通的句柄表,它不是私有的存放的是系统中所有进程和线程的对象信息的句柄表,其索引是PID和CID。其格式和普通的句柄表完全一样,但也有不同之处:

  1. PspCidTable中存的是对象体(EProcess、EThread),而每个进程中私有的句柄表存放的是对象头(Objece_Header)
  2. PspCidTable是一个独立的句柄表,而进程中私有的句柄表是通过双向链表链接起来的。

   ZwQuerySystemInformation枚举系统句柄表时,就是通过每个进程的双向链表来枚举的。

下面时Reactos源码

    PspCidTable结构

      

0: kd> dd PspCidTable
84960bc4  8e4010a8 00000000 80000020 00000101
84960bd4  800002cc 80000024 00000000 00000113
84960be4  00000000 00000000 849121f0 00000000
84960bf4  00000000 00000000 00000000 00000008
84960c04  00000000 84960c08 84960c08 00000000
84960c14  00000000 00000000 00000000 00000000
84960c24  00000000 807cdc38 807d1c38 00000000
84960c34  00000000 00000000 00000000 00000001



0: kd>  dt _HANDLE_TABLE
nt!_HANDLE_TABLE
   +0x000 TableCode        : Uint4B
   +0x004 QuotaProcess     : Ptr32 _EPROCESS
   +0x008 UniqueProcessId  : Ptr32 Void
   +0x00c HandleLock       : _EX_PUSH_LOCK
   +0x010 HandleTableList  : _LIST_ENTRY
   +0x018 HandleContentionEvent : _EX_PUSH_LOCK
   +0x01c DebugInfo        : Ptr32 _HANDLE_TRACE_DEBUG_INFO
   +0x020 ExtraInfoPages   : Int4B
   +0x024 Flags            : Uint4B
   +0x024 StrictFIFO       : Pos 0, 1 Bit
   +0x028 FirstFreeHandle  : Uint4B
   +0x02c LastFreeHandleEntry : Ptr32 _HANDLE_TABLE_ENTRY
   +0x030 HandleCount      : Uint4B
   +0x034 NextHandleNeedingPool : Uint4B
   +0x038 HandleCountHighWatermark : Uint4B



0: kd>  dt _HANDLE_TABLE 84960bc4
nt!_HANDLE_TABLE
   +0x000 TableCode        : 0x8e4010a8
   +0x004 QuotaProcess     : (null) 
   +0x008 UniqueProcessId  : 0x80000020 Void
   +0x00c HandleLock       : _EX_PUSH_LOCK
   +0x010 HandleTableList  : _LIST_ENTRY [ 0x800002cc - 0x80000024 ]
   +0x018 HandleContentionEvent : _EX_PUSH_LOCK
   +0x01c DebugInfo        : 0x00000113 _HANDLE_TRACE_DEBUG_INFO
   +0x020 ExtraInfoPages   : 0n0
   +0x024 Flags            : 0
   +0x024 StrictFIFO       : 0y0
   +0x028 FirstFreeHandle  : 0x849121f0
   +0x02c LastFreeHandleEntry : (null) 
   +0x030 HandleCount      : 0
   +0x034 NextHandleNeedingPool : 0
   +0x038 HandleCountHighWatermark : 0

PspCidTable结构也是HANDLE_TABLE类型,其中最重要的就是第一字段TableCode,它是一个指针,它的高30位指向一个地址,存放句柄表结构,是一个4K大小的一个页面。低2位是代表当前句柄表的层数,00代表一层结构,01代表二层结构,10代表三层结构。

  • 最低层句柄表存放的项数有 4096/8 = 512 个,其中第一项做审计用,所以最多有 511个有效项。
  • 中间层句柄表存放的页表指针数有 4096/4 = 1024 个。
  • WindowsXp 及以后限定了每个进程句柄表存储的句柄表项不得超过:2^24=16777216,所以最高层最多有 2^24/(1024*512) = 32 项。
  • 二级表最大可以存放 511*1024 = 523264 个对象引用,没有特殊情况一般来说已经够了,所以我们一般只能观察到一层,两层句柄表。

(二)枚举PspCidTable句柄表信息

如何去获取PspCidTable呢?可以通过从几个函数中搜索特征码来找到地址。

PsLookupProcessThreadByCid()
PsLookupProcessByProcessId()
PsLookupThreadByThreadId()

从PsLookupProcessByProcessId中获取  ,偏移为 0x1e+2,得到PspCidTable的值。

获取得到PspCidTable以后就可以开始枚举了。

 

NTSTATUS MaGetPspCidTable(PVOID InputBuffer, ULONG InputBufferLength, PVOID OutputBuffer, ULONG OutputBufferLength, ULONG * RertunLength)
{
	NTSTATUS Status = STATUS_UNSUCCESSFUL;
	PPSPCIDTABLE_INFO_CONTEXT PspCidTableContext = (PPSPCIDTABLE_INFO_CONTEXT)OutputBuffer;
	ULONG Count = (OutputBufferLength - sizeof(PSPCIDTABLE_INFO_CONTEXT)) / sizeof(PSPCIDTABLEINFO);

	//检查参数
	if (!InputBuffer ||
		!OutputBuffer ||
		InputBufferLength != sizeof(OPERATION_TYPE) ||
		OutputBufferLength < sizeof(PSPCIDTABLE_INFO_CONTEXT))
	{
		return STATUS_INVALID_PARAMETER;
	}
	ULONG PspCidTableAddress = GetPspCidTableAddress();

	/* PspCidTableAddress 0x84960bc4
	2: kd> dd 0x84960bc4
84960bc4  8e4010a8 00000000 80000020 00000101
84960bd4  800002cc 80000024 00000000 00000113
84960be4  00000000 00000000 849121f0 00000000
84960bf4  00000000 00000000 00000000 00000008
84960c04  00000000 84960c08 84960c08 00000000
84960c14  00000000 00000000 00000000 00000000
84960c24  00000000 807cdc38 807d1c38 00000000
84960c34  00000000 00000000 00000000 00000001

	*/

	if (PspCidTableAddress == 0)
	{
		return Status;
	}

	ULONG HandleTable = *(PULONG)PspCidTableAddress;
	ULONG TableCode = *(PULONG)HandleTable;
	ULONG Flag = TableCode & 3;   //获取TableCode的最后两位 来确定层数
     
	/*
	HandleTable 0x8e4010a8
	2: kd>  dd 8e4010a8
8e4010a8  95d2a001 00000000 00000000 00000000
8e4010b8  8e4010b8 8e4010b8 00000000 00000000
8e4010c8  00000000 00000001 00000914 95d2b830
8e4010d8  000002c6 00001000 000002fa 0020006f
8e4010e8  00010209 6e54624f 06030201 6944624f
8e4010f8  00000000 8784e570 06b87a1c 00200000
8e401108  06060203 6d4e624f 006f0049 006f0043
8e401118  0070006d 0065006c 00690074 006e006f


TableCode   0x95d2a001

Flag = TableCode & 3      = 1
	*/





	PspCidTableContext->Flag = Flag;

	TableCode &= 0xFFFFFFFC;      //如果系统采用了两层或者三层的时候,
	                              //TableCode就不是句柄表的地址了,把这个值后两位置为0之后,
								  //则是一个指向多层表的指针。
	// TableCode  0x95d2a000
	switch (Flag)
	{
	case 0:    //1层结构
		Operation1(TableCode, PspCidTableContext,Count);
		break;
	case 1:    //2层结构
		Operation2(TableCode, PspCidTableContext,Count);
		break;  
	case 2:    //3层结构
		Operation3(TableCode, PspCidTableContext,Count);
		break; 

	default:
		break;
	}
	if (Count >= PspCidTableContext->NumberOfInfo)
	{
		Status = STATUS_SUCCESS;
	}
	else
	{
		Status = STATUS_BUFFER_TOO_SMALL;
	}
	return Status;

}

ULONG Operation1(ULONG Address, PPSPCIDTABLE_INFO_CONTEXT PspCidTableContext, ULONG Count)
{
	LONG Object = 0;
	ULONG i = PspCidTableContext->NumberOfInfo;
	ULONG ItemCount = 511;
	ULONG ObjectID = 0;
	ULONG ObjectType = 0;
	ULONG HandleTableAddress = Address + 8;
	/*
	HandleTableAddress 0x8e404000 
	3: kd> dd 0x8e404000
8e404000  00000000 fffffffe 878dd799 00000000
8e404010  878dd4c1 00000000 8793c431 00000000
8e404020  8793c921 00000000 87938d49 00000000
8e404030  87938931 00000000 8792cd49 00000000
8e404040  8792ca71 00000000 87928d49 00000000
8e404050  87928a71 00000000 87914d49 00000000
8e404060  87914a71 00000000 87904d49 00000000
8e404070  87904a71 00000000 878ecd49 00000000

至于0,句柄值为0×0000代表是NULL 
刚好_HANDLE_TABLE_ENTRY的第0个表项为无效值
句柄值为0×0004有效

其实这个对象就是pid为4的system.exe进程。 EProcess 是 878dd798


记事本的PID为3708(十进制),应当位于第3708/4=927 个表项,
我们每一个1级索引表能容纳512个表项,毋庸置疑,
PID3708 应该在第2个二级索引指向的1级索引的第927-512=415=0x19F个表项(每个表项8Byte)
	*/
	do
	{
		if (Count > i)
		{
			Object = *(PULONG)HandleTableAddress;
			Object = Object & 0xFFFFFFF8;  //Object最后三位置0,Object即为EPROCESS的地址
			if (Object)
			{
				PspCidTableContext->PspCidTableInfo[i].Object = Object;
				ObjectType = MaGetObjectType(Object);
				if (ObjectType == *PsProcessType)
				{
					PspCidTableContext->PspCidTableInfo[i].ObjectType = 0;
					ObjectID = *(PULONG)(Object + GetGlobalVariable(E_UNIQUE_PROCESS_IDENTIFY_1));
				}

				if (ObjectType == *PsThreadType)
				{
					PspCidTableContext->PspCidTableInfo[i].ObjectType = 1;
					CLIENT_ID ID = { 0 };
					ID = *(PCLIENT_ID)(Object + GetGlobalVariable(E_CID_OFFSET));
					//   +0x22c Cid              : _CLIENT_ID
					ObjectID = ID.UniqueThread;
				}

				PspCidTableContext->PspCidTableInfo[i].ObjectID = ObjectID;
				i++;
			}
			
		}

		
		PspCidTableContext->NumberOfInfo++;
		HandleTableAddress += 8;
	} while ( --ItemCount>0);
	return 0;
}

ULONG Operation2(ULONG Address, PPSPCIDTABLE_INFO_CONTEXT PspCidTableContext, ULONG Count)
{
	do {
		Operation1(*(PULONG)Address, PspCidTableContext, Count);
		Address += 4;
	} while ((*(PULONG)Address) != 0);

	return 0;
}

ULONG Operation3(ULONG Address, PPSPCIDTABLE_INFO_CONTEXT PspCidTableContext, ULONG Count)
{
	do {
		Operation2(*(PULONG)Address, PspCidTableContext,Count);
		Address += 4;
	} while ((*(PULONG)Address) != 0);
	return 0;
}

ULONG GetPspCidTableAddress()
{
	ULONG PspCidTableAddress = 0;

	//搜索PsLookUpProcessByProcessId
	UNICODE_STRING v1;
	RtlInitUnicodeString(&v1, L"PsLookupProcessByProcessId");

	PVOID lpPsLookupProcessByProcessId = MmGetSystemRoutineAddress(&v1);
	if (lpPsLookupProcessByProcessId == NULL)
	{
		return PspCidTableAddress;
	}
	//Win7 x86的偏移位置
	const ULONG PSPCIDTABLE_OFFSEET = 0x1E + 0x02;
	PspCidTableAddress = *(ULONG*)((ULONG)lpPsLookupProcessByProcessId + PSPCIDTABLE_OFFSEET);
	/*
	2: kd> uf PsLookupProcessByProcessId
    nt!PsLookupProcessByProcessId:
    84a7a950 8bff            mov     edi,edi
	.......
	84a7a96e 8b3dc40b9684    mov     edi,dword ptr [nt!PspCidTable (84960bc4)]
    84a7a974 e83757feff      call    nt!ExMapHandleToPointer (84a600b0)


	PspCidTableAddress = 0x84960bc4
	*/


	return PspCidTableAddress;
}

 

(三)结果

 

 

 

 

`Nobody
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
EnumProcessByPsCidTable.rar
01-31
用系统内核变量PsCidTable来枚举进程,前提是PsCidTable没有被XX过
pspcidtable
yaneng的专栏
06-18 1223
第8个男人" 的code里面就做的很好,找到PspCidTable后自己搜索所有的进程对象就行了://----------------------------------------------------------------------VOID IsValidProcess ()/*++Author : 第8个男人Leaner : sudami [[email protected]]T
PspCidTable攻与防
wowbell的专栏
03-17 1209
转自:http://hi.baidu.com/_achillis/blog/item/2bb59619d8019cbc4bedbc56.htmlPspCidTable的攻与防,其实就是进程隐藏与检测所涉及到的一部分工作~~ 不管基于PspCidTable的进线程检测,还是抹PspCidTable进行进程对象的隐藏,都涉及到对PspCidTable的遍历. 所以如何安全正确地遍历PspCidTable才是该技术的关键 一、获取PspCidTable的地址 常用的方法是从前面提到的三个查询PspCidT
PspCidTable 完全解读
weixin_34216036的博客
12-07 207
PspCidTable 完全解读 by sysdog 2009.5.1 Whu ------------------------------------------------------------------------------- 一、句柄 句柄:HADNLE 在winnt.h 定义如下: typedef void *HANDLE; 是一个 3...
[转载]基于pspCidTable的进程检测技术
yaneng的专栏
06-18 4271
基于pspCidTable的进程检测技术文章作者:gz1x信息来源:邪恶八进制信息安全团队(www.eviloctal.com)一.     pspCidTable概念及内核调试二.     获取pspCidTable的方法三.     几种进程检测方法的对比四.     anti-pspCidTable技术及其他一.     pspCidTable概念及内核调试-----------------
6.5 Windows驱动开发:内核枚举PspCidTable句柄表
最新发布
CSDN
12-01 4207
在 Windows 操作系统内核中,PspCidTable 通常是与进程(Process)管理相关的数据结构之一。它与进程的标识和管理有关,每个进程都有一个唯一的标识符,称为进程 ID(PID)。与之相关的是客户端 ID,它是一个结构,其中包含唯一标识进程的信息。这样的标识符在进程管理、线程管理和内核对象的创建等方面都起到关键作用。
PspCidTable概述
yaneng的专栏
06-18 1327
PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每个进程私有的句柄表有以下不同:1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HEADER)3.PspCidTable是一个独立的句柄表,而每
【Windows内核编程】Win10/Win11通过PspCidTable取得EProcess
懵逼树上懵逼果
08-04 841
在内核RING0层运用PspCidTable枚举可能被隐藏、断链的进程,得到EPROCESS对象
x64驱动 遍历 PspCidTable 枚举隐进程和线程
LYSM
06-05 2709
介绍 PspCidTable 是一个内核句柄表,存放进程和线程的内核对象(EPROCESS 和 ETHREAD),并通过 PID 和 TID 进行索引(所以进程ID和线程ID不可能相同),ID 号以 4 递增。 获取 PspCidTable 地址 win7: PsLookupProcessByProcessId(被导出) -> PspCidTable win10: PsLookupProcessByProcessId(被导出) -> PspReferenceCidTableEntry -&g
26.全局句柄表PspCidTable
qq_35129925的博客
07-22 823
https://www.cnblogs.com/kuangke/p/5761615.html
驱动保护进程 句柄降权 杀软自保 游戏破图标技术原理和实现
鬼手的博客
11-26 6149
驱动保护进程 句柄降权 杀软自保 游戏破图标技术原理和实现
在Win7 x64通过PspCidTable枚举进程
qq269813279的博客
06-13 2044
PspCidTable存放着一个结构为_HANDLE_TABLE的指针,_HANDLE_TABLE结构记录句柄表的相关信息,句柄表存放着所有进程和线程的对象,其索引就是PID和TID,在WinDbg看一下相关的结构。我们遍历进程对象需要关注两个成员,第一个是TableCode,第二个是NextHandleNeedingPool。TableCode:该成员记录表级和表地址,低2位记录着表的级数,掩掉...
驱动开发:内核注册并监控对象回调
CSDN
10-24 9529
在笔者上一篇文章简单介绍了如何枚举系统中已经存在的进程与线程回调,本章LyShark将通过对象回调实现对进程线程的句柄监控,在内核中提供了回调,使用这个内核回调函数,可注册一个对象回调,不过目前该函数只能监控进程与线程句柄操作,通过监控进程或线程句柄,可实现保护指定进程线程不被终止的目的。由于目前对象回调只能监控进程与线程,而这个监控是通过ObjectType这么一个成员控制的,如果成员是则代表监控进程,反之则是监控线程,无论监控进程还是线程都调用这个函数来完成注册。函数。
(Win7) PspCidTable遍历进程句柄表,枚举进程
h2995527的博客
04-10 506
搞了一阵子的PHP,今天又来继续自己的C++了,翻阅了一下自己之前写的代码和说明,自己也有点儿稀里糊涂了,于是又仔细的从头研究了一下,遂写此文以记之,文中有不当的地方欢迎大家拍砖. 先说一下句柄表是什么 在windows内核中定义了很多内核对象,像文件对象,线程对象,信号量对象啊等等;而Windows中并没有让我们直接去使用这些对象资源,而是通过句柄让我们去引用这些资源,句柄表就相当于资源的数组,而句柄就是对应资源的索引,每个进程内部都有一个自己的私有句柄表,这也就是说句柄是不能跨进程使用的。 PspCi
内核PspCidTable句柄表遍历获取隐藏进程
CrazyWolf的专栏
09-23 2340
先从WinDBG中来看下PspCidTable. lkd> dd pspcidtable 84196eb4 8ae011c8 00000000 80000018 00000101 84196ec4 800005e0 80000020 00000000 00000000 84196ed4 00000000 00000000 00000000 00000113 84196ee4 0000
pspCidTable
Mr.Out的专栏
10-14 1145
<br /><br />一.                        pspCidTable概念及内核调试<br />-----------------------------------------------------<br /><br />pspCidTable是内核未导出的HANDLE_TALBE结构,它保存着所有进程和线程对象的指针。<br />只要能遍历这个PspCidTable句柄表,就可以遍历到系统的所有进程,包括所有隐藏进程,除非你抹掉pspCidTable...<br /><br
PspCidTable综合概述
weixin_34390996的博客
06-24 206
PspCidTable概述 2009-03-28 11:27 PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每 个进程私有的句柄表有以下不同: 1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID 2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有...
x64 PspCidTable 枚举进程/ 线程
liushujie1的博客
08-15 761
x64 PspCidTable 枚举进程/ 线程![win10 测试效果图](https://img-blog.csdnimg.cn/2020081521295066.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xpdXNodWppZTE=,size_16,color_FFFFFF,t_70#pic_cent...
【Windows源码分析】(一)初始化内核与执行体子系统
求索
06-12 2087
标 题: 【Windows源码分析】(一)初始化内核与执行体子系统作 者: 北极星2003时 间: 2008-03-22,23:59链 接: http://bbs.pediy.com/showthread.php?t=61749对于那么没有相关经验的朋友,在阅读本文时最好对照windows源码来看,否则光看着这么多数据结构就足以头大。对于这篇文章,严格来说,应该是属于学习笔记型
windows内核开发学习笔记四十一:内核对象管理机理
jyl_sh的专栏
07-03 431
对象管理器是执行体中的组件,主要管理执行体对象。执行体对象也可能封装了一个或多个内核对象。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值