(转)获取 pspCidTable 地址

最新推荐文章于 2022-12-06 20:50:01 发布
最新推荐文章于 2022-12-06 20:50:01 发布
阅读量165 收藏
点赞数
原文链接:http://www.cnblogs.com/himessage/archive/2013/01/25/2876990.html
版权

http://hi.baidu.com/zapline/item/512059e3bd963ea9ce2d4f36

kd> dg @fs
                                  P Si Gr Pr Lo
Sel    Base     Limit     Type    l ze an es ng Flags
---- -------- -------- ---------- - -- -- -- -- --------
0030 ffdff000 00001fff Data RW    0 Bg Pg P Nl 00000c92

kd> dt ffdff000 _kpcr
nt!_KPCR
   +0x000 NtTib            : _NT_TIB
   +0x01c SelfPcr          : 0xffdff000 _KPCR
   +0x020 Prcb             : 0xffdff120 _KPRCB
   +0x024 Irql             : 0x1c ''
   +0x028 IRR              : 4
   +0x02c IrrActive        : 0
   +0x030 IDR              : 0xffff20f0
   +0x034 KdVersionBlock   : 0x80545cb8

kd> dd 0x80545cb8+80
80545d38 8055a360 00000000 8055c788 00000000
80545d48 8055b620 00000000 8054acac 00000000

kd> u 8055a360
nt!PspCidTable:
8055a360 d008            ror     byte ptr [eax],1
8055a362 00e1            add     cl,ah

 

 

又看了下,山寨冰刃列进程的方法,也是通过pspcidtable

使用的是搜索函数的方法。

接下来,也将使用这个方法来实现。有机会的话,查看一下vista的FS的情况

转载于:https://www.cnblogs.com/himessage/archive/2013/01/25/2876990.html

weixin_30235225
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
在Win7 x64通过PspCidTable枚举进程
qq269813279的博客
06-13 2073
PspCidTable存放着一个结构为_HANDLE_TABLE的指针,_HANDLE_TABLE结构记录句柄表的相关信息,句柄表存放着所有进程和线程的对象,其索引就是PID和TID,在WinDbg看一下相关的结构。我们遍历进程对象需要关注两个成员,第一个是TableCode,第二个是NextHandleNeedingPool。TableCode:该成员记录表级和表地址,低2位记录着表的级数,掩掉...
PspCidTable句柄表辅助检测隐藏进程
chinghoi's blog
06-26 2052
一、获取PspCidTable地址 1.特征码搜索以下几个函数之一提取Call PspCidTable地址PsLookupProcessByProcessId() PsLookupProcessThreadByCid() PsLookupThreadByThreadId() 0: kd> u PsLookupProcessByProcessId l 20 nt!PsLoo
pspCidTable
Mr.Out的专栏
10-14 1156
<br /><br />一.                        pspCidTable概念及内核调试<br />-----------------------------------------------------<br /><br />pspCidTable是内核未导出的HANDLE_TALBE结构,它保存着所有进程和线程对象的指针。<br />只要能遍历这个PspCidTable句柄表,就可以遍历到系统的所有进程,包括所有隐藏进程,除非你抹掉pspCidTable...<br /><br
驱动开发:内核枚举PspCidTable句柄表
热门推荐
CSDN
10-16 1万+
在上一篇文章中我们通过枚举特征码的方式找到了DPC定时器基址并输出了内核中存在的定时器列表,本章将学习如何通过特征码定位的方式寻找Windows 10系统下面的内核句柄表地址。首先引入一段基础概念;windowsPspCidTable 就是这样的一种表(内核句柄表),表的内部存放的是进程EPROCESS和线程ETHREAD的内核对象,并通过进程PID和线程TID进行索引,ID号以4递增,内核句柄表不属于任何进程,也不连接在系统的句柄表上,通过它可以返回系统的任何对象。
原创】PspCidTable杂谈
cn_jevons的专栏
02-17 929
标 题: 【原创】PspCidTable杂谈作 者: sudami时 间: 2008-02-15,21:31链 接: http://bbs.pediy.com/showthread.php?t=59680今天再次看了gz1X牛的文章,回忆了许多知识. 哈哈. 玩了很长时间游戏,写点儿文字算是对自责的一种安慰 要
【旧文章搬运】PspCidTable攻与防
weixin_30455067的博客
12-26 257
原文发表于百度空间,2009-03-29========================================================================== PspCidTable的攻与防,其实就是进程隐藏与检测所涉及到的一部分工作~~不管基于PspCidTable的进线程检测,还是抹PspCidTable进行进程对象的隐藏,都涉及到对PspCidTable的遍历...
cid.zip_pspcidtable_进程_驱动
09-21
遍历PspCidTable可以获取系统中所有运行的进程信息,这对于系统监控、调试或者开发特定系统工具(例如任务管理器的替代品)非常有用。在描述中提到的“无硬编码”,意味着代码中没有直接使用固定的地址或值,而是...
pspCidTAble完全解读
06-17
为了获取真正的句柄表地址,需要将`TableCode`的最低两位清零。 **句柄表条目(`HANDLE_TABLE_ENTRY`):** - 如果是一级表,则`HANDLE_TABLE_ENTRY = TableCode`。 - 如果是二级表,则需要通过二级表中的指针找到...
x64驱动 遍历 PspCidTable 枚举隐进程和线程
墨鱼菜鸡
06-05 332
介绍 PspCidTable 是一个内核句柄表,存放进程和线程的内核对象(EPROCESS 和 ETHREAD),并通过 PID 和 TID 进行索引(所以进程ID和线程ID不可能相同),ID 号以 4 递增。 获取 ...
(Win7) PspCidTable遍历进程句柄表,枚举进程
xlaomlng的博客
06-14 1344
本文出自悠然品鉴小悠,载请注明出处http://www.youranshare.com/blog/sid/102.html 先说一下句柄表是什么 在windows内核中定义了很多内核对象,像文件对象,线程对象,信号量对象啊等等;而Windows中并没有让我们直接去使用这些对象资源,而是通过句柄让我们去引用这些资源,句柄表就相当于资源的数组,而句柄就是对应资源的索引,每个进程内部都有一个自己的私有...
【旧文章搬运】PspCidTable概述
weixin_30824277的博客
12-26 141
原文发表于百度空间,2009-03-28========================================================================== PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每个进程私有的句柄表有以下不同:1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID2.Psp...
win10 x64驱动实现遍历全局句柄表
最新发布
weixin_41725706的博客
12-06 655
win10 x64驱动遍历全局句柄表
【Windows内核编程】Win10/Win11通过PspCidTable取得EProcess
懵逼树上懵逼果
08-04 1019
在内核RING0层运用PspCidTable枚举可能被隐藏、断链的进程,得到EPROCESS对象
获取操作系统的内核基地址
weixin_33724046的博客
11-05 439
操作系统的内核模块根据处理器的个数和是否支持PAE(Physical Address Extension物理地址扩展)分为以下四种 ntoskrnl.exe ---Uniprocessor单处理器,不支持PAE ntkrnlpa.exe ---Uniprocessor单处理器,支持PAE ntkrnlmp.exe ---Multiprocess...
[载]基于pspCidTable的进程检测技术
yaneng的专栏
06-18 4321
基于pspCidTable的进程检测技术文章作者:gz1x信息来源:邪恶八进制信息安全团队(www.eviloctal.com)一.     pspCidTable概念及内核调试二.     获取pspCidTable的方法三.     几种进程检测方法的对比四.     anti-pspCidTable技术及其他一.     pspCidTable概念及内核调试-----------------
内核PspCidTable句柄表遍历获取隐藏进程
CrazyWolf的专栏
09-23 2391
先从WinDBG中来看下PspCidTable. lkd> dd pspcidtable 84196eb4 8ae011c8 00000000 80000018 00000101 84196ec4 800005e0 80000020 00000000 00000000 84196ed4 00000000 00000000 00000000 00000113 84196ee4 0000
X64下的解析句柄表
zfdyq
12-07 3500
一:X64下的句柄表的查找: 关于PspCidTable寻找,我是通过PsLookupProcessByProcessId查找特征码寻找pspCidTable和32位没什么区别。 疑问:我想在KPCR中的KdVersionBlock中寻找,但是64位系统不知道为什么总是NULL,各位牛牛知道的求科普~ 寻找PspCidTable: SIZE_T FindCidTable() { SI
win 10 64 14393遍历进程VAD
落笔飞花笑百生的博客
04-01 3221
typedef struct _SEGMENT{  /*(*((ntkrnlmp!_SEGMENT *)0xffffa405114286d0))[Type:_SEGMENT]   [+0x000] ControlArea      : 0xffffd18b3276d370[Type:_CONTROL_AREA *]   [+0x008] TotalNumberOfPtes : 0xa[Typ
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值