smss源代码分析之smss!SmpLoadSubSystemsForMuSession函数分析加载csrss.exe

于 2025-05-02 17:40:28 发布
阅读量522 收藏 4
点赞数 8
分类专栏: nt4源代码分析 文章标签: ForMuSession SmpLoadSubSyste
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oldlinux/article/details/147670373
版权

第一部分:

    Next = SmpSubSystemsToLoad.Flink;
    while ( Next != &SmpSubSystemsToLoad ) {
        p = CONTAINING_RECORD( Next,
                               SMP_REGISTRY_VALUE,
                               Entry
                             );
#if SMP_SHOW_REGISTRY_DATA
        DbgPrint( "SMSS: Loaded SubSystem( %wZ = %wZ )\n", &p->Name, &p->Value );
#endif
        if (!_wcsicmp( p->Name.Buffer, L"debug" )) {
            Status = SmpExecuteCommand( &p->Value, *pMuSessionId, pWindowsSubSysProcessId, SMP_SUBSYSTEM_FLAG | SMP_DEBUG_FLAG );
        }
        else {
            Status = SmpExecuteCommand( &p->Value, *pMuSessionId, pWindowsSubSysProcessId, SMP_SUBSYSTEM_FLAG );
        }


第二部分:
0: kd> dt _SMP_REGISTRY_VALUE 00163fd0
smss!_SMP_REGISTRY_VALUE
   +0x000 Entry            : _LIST_ENTRY [ 0x164168 - 0x4858f618 ]
   +0x008 Name             : _UNICODE_STRING "Debug"
   +0x010 Value            : _UNICODE_STRING ""
   +0x018 AnsiValue        : 0x00164018  ""


0: kd> x smss!SmpSubSystemsToLoad
4858f618          smss!SmpSubSystemsToLoad = struct _LIST_ENTRY [ 0x163fd0 - 0x164168 ]
0: kd> dx -r1 (*((smss!_LIST_ENTRY *)0x4858f618))
(*((smss!_LIST_ENTRY *)0x4858f618))                 [Type: _LIST_ENTRY]
    [+0x000] Flink            : 0x163fd0 [Type: _LIST_ENTRY *]
    [+0x004] Blink            : 0x164168 [Type: _LIST_ENTRY *]
0: kd> dx -r1 ((smss!_LIST_ENTRY *)0x163fd0)
((smss!_LIST_ENTRY *)0x163fd0)                 : 0x163fd0 [Type: _LIST_ENTRY *]
    [+0x000] Flink            : 0x164168 [Type: _LIST_ENTRY *]
    [+0x004] Blink            : 0x4858f618 [Type: _LIST_ENTRY *]

0: kd> dt _SMP_REGISTRY_VALUE 0x164168
smss!_SMP_REGISTRY_VALUE
   +0x000 Entry            : _LIST_ENTRY [ 0x4858f618 - 0x163fd0 ]
   +0x008 Name             : _UNICODE_STRING "Windows"
   +0x010 Value            : _UNICODE_STRING "C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16"
   +0x018 AnsiValue        : 0x001641a0  "C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16"


0: kd> x smss!SmpSubSystemsToLoad
4858f618          smss!SmpSubSystemsToLoad = struct _LIST_ENTRY [ 0x163fd0 - 0x164168 ]

        if (!_wcsicmp( p->Name.Buffer, L"debug" )) {
            Status = SmpExecuteCommand( &p->Value, *pMuSessionId, pWindowsSubSysProcessId, SMP_SUBSYSTEM_FLAG | SMP_DEBUG_FLAG );
        }

第三部分:

0: kd> t
Breakpoint 3 hit
smss!SmpExecuteCommand:
001b:4858a860 55              push    ebp
0: kd> kc
 #
00 smss!SmpExecuteCommand
01 smss!SmpLoadSubSystemsForMuSession
02 smss!SmpLoadDataFromRegistry
03 smss!SmpInit
04 smss!main
05 smss!NtProcessStartup
0: kd> dv
            CommandLine = 0x00163fe0 ""
            MuSessionId = 0
pWindowsSubSysProcessId = 0x4858f614
                  Flags = 9
          ImageFileName = ""
       CurrentDirectory = 394 ''
              Arguments = 3266

    if (Flags & SMP_DEBUG_FLAG) {
        return( STATUS_SUCCESS );
    }

第四部分:


0: kd> t
Breakpoint 3 hit
smss!SmpExecuteCommand:
001b:4858a860 55              push    ebp
0: kd> kc
 #
00 smss!SmpExecuteCommand
01 smss!SmpLoadSubSystemsForMuSession
02 smss!SmpLoadDataFromRegistry
03 smss!SmpInit
04 smss!main
05 smss!NtProcessStartup
0: kd> dv
            CommandLine = 0x00164178 "C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16"
            MuSessionId = 0
pWindowsSubSysProcessId = 0x4858f614
                  Flags = 8
          ImageFileName = ""
       CurrentDirectory = 394 ''
              Arguments = 3266

Windows NT引导过程源代码分析
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-11 5815
Windows 引导过程 Windows 内核中的各个组件和各种机制在起作用以前,必须首先被初始化。此初始化工作是在系统引导时完成的。当用户打开计算机的电源开关时,计算机便开始运行,但操作系统并不立即获得控制权,而是BIOS 代码首先获得控制,它执行必要的硬件检测工作,并允许用户通过一些功能键来配置当前系统中的硬件设置,甚至诊断硬件问题,然后才将控制权交给操作系统。 1.1 内核加载 在In
Windows 内核情景分析--采用开源代码ReactOS (上册) part01
03-28
全书从“内存管理”、“进程”、“进程间通信”、“设备驱动”等多个方面进行分析介绍,所有的分析都有ReactOS的源代码(以及部分由微软公开的源代码)作为依据,使读者能深入理解Windows内核的方方面面,也可以使...
Win32子系统(csrss.exe,win32k.sys相关知识总结)
qq_42814021的博客
09-24 2198
Win32子系统 Win32子系统是Windows操作系统必须的一部分,伴随这Windows启动时运行,它包含: win32子系统进程 csrss.exe win32子系统驱动 win32k.sys win32子系统DLL kernel32.dll,user32.dll,advapi32.dll,gdi32.dll 设备相关的显示和打印驱动程序等。 Windows的启动过程 windows操作系统在启动时会进行一系列的初始化操作: 自检阶段 初始化启动阶段 Boot加载阶段 检测和配置硬件阶段 内核加
Windows NT引导过程源代码分析(三)
hnzwx888的专栏
06-20 1139
1.3建立用户登录会话 Windows内核在阶段1初始化的最后,启动了一个用户模式进程——会话管理器子系统(smss)。Smss进程是Windows操作系统的关键组成部分,它尽管是一个用户模式进程,但有其特殊性:首先,它是可信的,这意味着它可以做一些其他用户进程无法做的事情,比如创建安全令牌;其次,它直接建立在Windows内核的基础上,只使用Windows内核提供的系统服务,...
ShellCode 格式化代码注入工具
CSDN
10-29 1781
一款基于C/C++开发的应用层汇编代码注入工具,可实现向特定进程内注入动态链接库模块或注入ShellCode汇编指令集,还可以实现第三方进程的汇编级Call调用,通常被用于协助渗透人员完成内存注入,同时也可用于对特定ShellCode汇编代码进行测试,以便更好地了解ShellCode的稳定及可用性。本次分享工具源代码及使用方法,读者可根据自己的需要参考学习,并以此来更好的理解内存注入技术。
利用Volatility进行Windows内存取证分析(二):内核对象、内核池学习小记
Fly_鹏程万里
05-16 4835
简介windows下内存取证的内容概括起来讲就是检测系统中有没有恶意程序,有没有隐藏进程,有没有隐藏文件,有没有隐藏服务,有没有隐藏的驱动,有没有隐藏网络端口等等.而进程,文件,驱动等等部件在内存中是以内核对象的形式独立存在的。而通常形形色色的rootkit会尝试修改操作系统的内部数据结构来达到隐藏自身的目的.安全研究员要想在内存取证中做到游刃有余,就需要对windows各种内存对象相关概念进行深...
向其他进程注入代码的三种方法
benny5609的专栏
09-14 914
作者:Robert Kuster翻译:袁晓辉 (www.farproc.com hyzs@sina.com)摘要:如何向其他线程的地址空间中注入代码并在这个线程的上下文中执行之。目录:●导言●Windows 钩子(Hooks)●CreateRemoteThread 和LoadLibrary 技术○进程间通讯●CreateRemoteThread 和 WriteProcessmemory 技术○如何
《Windows内核原理与实现笔记》(三)Windows引导过程
kernweak的博客
12-26 1087
内核加载 在Intel x86系统上,Windows操作系统获得控制首先从硬盘的主引导记录(MBR,MasterBoot Record)开始,Windows Setup程序在安装Windows时填充MBR(其他的磁盘管理程序也可能填充MBR)。MBR包含代码和数据,其代码称为引导代码,在系统引导时首先获得控制;MBR中的数据是一张分区表,指定了每个分区在磁盘上的位置和大小,以及分区的类型。当...
关于9行代码导致系统崩溃的分析整理
Open9i的专栏
05-05 1237
//http://zhidao.baidu.com/question/1945660.html目前很多地方都转载着利用9行代码史windows崩溃的文章,不过我发现没有关于为什么会使windows崩溃的分析。我先把原文给大家看看。然后把具体的细节说一下。 微软一直声称Windows XP多么多么稳定可靠,但日前一位名为Masaru Tsuchiyama的外国编程爱好者刊出了一小段C语言代码。这一只有9行的小程序如果在Windows XP/2000下运行,则可导致系统完全崩溃,并重新启动。但此程序对其他
Windows内核情景分析 上 pdf
weixin_30765475的博客
02-28 574
下载地址:网盘下载[图书简介]本书通过分析reactos的源代码介绍了windows内核各个方面的结构、功能、算法与具体实现。全书从“内存管理”、“进程”、“进程间通信”、“设备驱动”等多个方面进行分析介绍,所有的分析都有reactos的源代码(以及部分由微软公开的源代码)作为依据,使读者能深入理解windows内核的方方面面,也可以使读者的软件开发能力和水...
无敌进程技术揭秘:模拟系统关键进程smss.exe
smss.exe在系统启动时会启动,负责创建系统环境变量、初始化NT子系统环境、创建Win32子系统进程Wininit.exe和Windows子系统进程csrss.exe等。它是系统中非常重要的进程之一,当smss.exe崩溃或者被强制结束时,系统会...
windows系统启动过程.docx
06-17
这部分代码接着加载Ntoskrnl.exe和HAL(Hardware Abstraction Layer,硬件抽象层),这是Windows内核的核心部分。 接下来,系统启动服务程序。服务程序按照特定的顺序启动,这通常是由服务的依赖关系和服务类型决定的...
雷达驱动 rplidar-ros 与建图算法 hector-slam 资源包
05-03
雷达驱动 rplidar-ros 与建图算法 hector-slam 资源包
威纶通触摸屏与汇川SV660P伺服通讯程序:实现正反转控制、速度与电压监测功能,实时在线模拟并修改COM口监控模块温度
最新发布
05-03
内容概要:本文详细介绍了威纶通触摸屏与汇川SV660P伺服之间的Modbus RTU通讯实现方法,涵盖硬件接线、通讯参数配置、控制逻辑脚本编写以及状态监控等方面的内容。具体来说,文章首先讲解了硬件接线注意事项,如终端电阻设置和双绞线连接方式;接着深入探讨了通讯参数配置,包括波特率、数据位、停止位和校验方式等;然后展示了如何通过宏指令和Lua脚本实现正反转控制、速度设定等功能;最后讨论了状态监控部分,如母线电压和温度监测,并提供了相应的代码示例。此外,还分享了一些调试经验和常见问题解决方案。 适合人群:从事工业自动化领域的工程师和技术人员,尤其是对Modbus RTU通讯有一定了解的人群。 使用场景及目标:适用于需要通过触摸屏控制多台伺服电机并进行实时数据监控的场合,旨在帮助技术人员快速掌握具体的实现步骤和技巧,提高工作效率。 其他说明:文中提供的代码片段可以直接应用于实际项目中,但需要注意根据实际情况调整相关参数。同时,在调试过程中可能会遇到一些问题,如通讯不稳定或数据异常等,此时可以根据文中提到的经验进行排查和解决。
铜陵区县边界,矢量边界,shp格式
05-03
矢量边界,行政区域边界,精确到区县,可直接导入arcgis使用
基于机器学习的锂离子电池容量估计与寿命预测:多通道充电配置与神经网络应用
05-03
内容概要:本文详细探讨了利用机器学习技术进行锂离子电池容量估计和健康状态预测的方法。首先介绍了充电数据的获取和预处理步骤,包括电压、电流、温度等多通道时序数据的采集和归一化处理。接着分别尝试了三种不同的神经网络模型:前馈神经网络(FNN)、卷积神经网络(CNN)和长短时记忆网络(LSTM),并分析了各自的优缺点。实验结果显示,FNN适用于结构化特征,CNN擅长捕捉局部模式,LSTM则在处理时序依赖方面表现出色。最终提出了一种融合模型,结合CNN和LSTM的优势,实现了更高的预测精度。此外,文中还讨论了数据预处理、模型优化以及实际应用中的注意事项。 适合人群:从事电池管理系统、机器学习、数据分析等相关领域的研究人员和技术人员。 使用场景及目标:①用于电池健康状态监测系统的设计与开发;②提高电池容量估计的准确性,延长设备使用寿命;③优化电池管理系统的性能,确保设备安全运行。 其他说明:文中提供了详细的代码示例,帮助读者更好地理解和复现实验结果。同时强调了数据预处理和特征工程的重要性,指出合理的数据处理方式能够显著提升模型的表现。
Python遥感 - 栅格数据Sen+MK长时间序列趋势分析+显著性检验代码(附示例数据)
05-03
本研究利用Sen+MK方法分析了特定区域内的ET(蒸散发)趋势,重点评估了使用遥感数据的ET空间变化。该方法结合了Sen斜率估算器和Mann-Kendall(MK)检验,为评估长期趋势提供了稳健的框架,同时考虑了时间变化和统计显著性。 主要过程与结果: 1.ET趋势可视化:研究利用ET数据,通过ET-MK和ET趋势图展示了蒸散发在不同区域的空间和时间变化。这些图通过颜色渐变表示不同的ET水平及其趋势。 2.Mann-Kendall检验:应用MK检验来评估ET趋势的统计显著性。检验结果以二元分类图呈现,标明ET变化的显著性,帮助识别出有显著变化的区域。 3.重分类结果:通过重分类处理,将区域根据ET变化的显著性进行分类,从而聚焦于具有显著变化的区域。这一过程确保分析集中在具有实际意义的发现上。 4.最终输出:最终结果以栅格图和png图的形式呈现,支持各种应用,包括政策规划、水资源管理和土地利用变化分析,这些都是基于详细的时空分析。 ------------------------------------------------------------------- 文件夹构造: data文件夹:原始数据,支持分析的基础数据(MOD16A2H ET数据 宁夏部分)。 results文件夹:分析结果与可视化,展示研究成果。 Sen+MK_optimized.py:主分析脚本,适合批量数据处理和自动化分析。 Sen+MK.ipynb:Jupyter Notebook,复现可视化地图。
WASM图像处理:Rust+WebGPU实现浏览器端AI推理.pdf
05-03
文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位,文档内容完整、条理清晰。文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿用作商业用途。 Rust 以内存安全、零成本抽象和并发高效的特性,重塑编程体验。无需垃圾回收,却能通过所有权与借用检查机制杜绝空指针、数据竞争等隐患。从底层系统开发到 Web 服务构建,从物联网设备到高性能区块链,它凭借出色的性能和可靠性,成为开发者的全能利器。拥抱 Rust,解锁高效、安全编程新境界!
C#三菱FX3U以太网MC协议客户端设计工程源码(带注释+开源dll文件+打包完的安装包)
05-03
内容概要:本文详细介绍了使用C#实现与三菱FX3U系列PLC基于以太网MC协议通信的客户端设计。首先,文中讲解了前期准备工作,如引入必要的网络通信库。接下来,深入探讨了关键代码,包括创建TCP连接、发送MC协议指令、构建命令帧、解析位元件状态等。此外,还提到了数据解析过程中的一些注意事项,如ASCII码转换和字节序处理。为了提高可靠性,实现了重试机制,采用指数退避算法应对网络波动。文中提供了开源的DLL文件,封装了所有协议细节,使调用方只需关注业务逻辑。同时,给出了打包好的安装包,便于快速部署。最后,强调了项目的实用性,展示了在工业自动化项目中的应用实例。 适合人群:从事工业自动化领域的研发人员,尤其是有一定C#编程基础并对PLC通信感兴趣的工程师。 使用场景及目标:适用于需要与三菱FX3U系列PLC进行以太网通信的工业自动化项目。主要目标是帮助开发者快速搭建稳定的通信客户端,减少重复开发的工作量,提升开发效率。 其他说明:项目已在GitHub上开源,包含详细的注释文档和应急调试手册,有助于开发者更好地理解和维护代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值