pcb结构链表_知乎

最新推荐文章于 2023-05-09 09:45:38 发布
最新推荐文章于 2023-05-09 09:45:38 发布
阅读量442 收藏
点赞数
文章标签: pcb结构链表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39790102/article/details/111538115
版权
本文详细介绍了Windows系统中进程隐藏的原理,通过解析EPROCESS结构的ActiveProcessLinks字段实现进程在系统链表中的断链,达到隐藏进程的效果。文章通过kd.exe工具演示了如何在Local kernel debugging模式下,对notepad.exe进程进行隐藏操作,并讨论了防御思路和利用前提条件。
摘要由CSDN通过智能技术生成

01 前言

Pierre-Alexandre Braeken在SecTor2016上做了一个很棒的演讲——HACK MICROSOFT BY USING MICROSOFT SIGNED BINARIES。

他对自己开源的工具PowerMemory做了介绍,将powershell同使用微软签名的程序相结合,可以绕过Device Guard和杀毒软件的拦截。

02 简介

PowerMemory内包含的脚本很多,其中一个比较有趣的脚本是Hide-Me.ps1,通过借助kb.exe来实现对进程的隐藏

本文将对该脚本进行测试,介绍进程隐藏的原理,修改原脚本,分析利用和防御方法。

03 相关概念

PCB(process control block):

进程控制块,是系统为了管理进程专门设置的一个数据结构

PCB的组织方式:

线性表方式:不论进程的状态如何,将所有的PCB连续地存放在内存的系统区。这种方式适用于系统中进程数目不多的情况

索引表方式:该方式是线性表方式的改进,系统按照进程的状态分别建立就绪索引表、阻塞索引表等

链接表方式:系统按照进程的状态将进程的PCB组成队列,从而形成就绪队列、阻塞队列、运行队列等

不同操作系统的PCB结构不同

Windows下的PCB是EPROCESS结构

进程链表是一个双向环链表

EPROCESS结构:

每个进程都有一个EPROCESS结构,里面保存着进程的各种信息和相关结构的指针

注:Windows各版本的EPROCESS结构存在差异

EPROCESS结构位于系统地址空间,所以访问这个结构需要有ring0的权限

注:Windows开启Local kernel debugging模式后,可进入ring0,使用内核态调试器

基本的内核态调试器有以下两种:

1. kd.exe(KD)

命令行模式

常用于调试内核态的应用程序和驱动程序,调试用户态的应用程序,或者监视操作系统自身的行为等

2. windbg.exe(WinDbg)

界面模式

可以为Windows内核、内核态驱动程序以及用户态应用程序提供完整的源代码级调试

通过kd.exe可以查看EPROCESS结构,命令行参数如下:

kd -kl -y "srv*c:symbols*Symbol information" -c "dt nt!_eprocess"

回显如下:

lkd> kd: Reading initial command 'dt nt!_eprocess;Q'

+0x000 Pcb : _KPROCESS

+0x2d8 ProcessLock : _EX_PUSH_LOCK

+0x2e0 RundownProtect : _EX_RUNDOWN_REF

+0x2e8 UniqueProcessId : Ptr64 Void

+0x2f0 ActiveProcessLinks : _LIST_ENTRY

+0x300 Flags2 : Uint4B

+0x300 JobNotReallyActive : Pos 0, 1 Bit

+0x300 AccountingFolded : Pos 1, 1 Bit

+0x300 NewProcessReported : Pos 2, 1 Bit

+0x300 ExitProcessReported : Pos 3, 1 Bit

+0x300 ReportCommitChanges : Pos 4, 1 Bit

+0x300 LastReportMemory : Pos 5, 1 Bit

+0x300 ForceWakeCharge : Pos 6, 1 Bit

+0x300 CrossSessionCreate : Pos 7, 1 Bit

+0x300 NeedsHandleRundown : Pos 8, 1 Bit

+0x300 RefTraceEnabled : Pos 9, 1 Bit

+0x300 DisableDynamicCode : Pos 10, 1 Bit

+0x300 EmptyJobEvaluated : Pos 11, 1 Bit

+0x300 DefaultPagePriority : Pos 12, 3 Bits

+0x300 PrimaryTokenFrozen : Pos 15, 1 Bit

+0x300 ProcessVerifierTarget : Pos 16, 1 Bit

+0x300 StackRandomizationDisabled : Pos 17, 1 Bit

+0x300 AffinityPermanent : Pos 18, 1 Bit

+0x300 AffinityUpdateEnable : Pos 19, 1 Bit

+0x300 PropagateNode : Pos 20, 1 Bit

+0x300 ExplicitAffinity : Pos 21, 1 Bit

+0x300 ProcessExecutionState : Pos 22, 2 Bits

+0x300 DisallowStrippedImages : Pos 24, 1 Bit

+0x300 HighEntropyASLREnabled : Pos 25, 1 Bit

+0x300 ExtensionPointDisable : Pos 26, 1 Bit

+0x300 ForceRelocateImages : Pos 27, 1 Bit

+0x300 ProcessStateChangeRequest : Pos 28, 2 Bits

+0x300 ProcessStateChangeInProgress : Pos 30, 1 Bit

+0x300 DisallowWin32kSystemCalls : Pos 31, 1 Bit

+0x304 Flags : Uint4B

+0x304 CreateReported : Pos 0, 1 Bit

+0x304 NoDebugInherit : Pos 1, 1 Bit

+0x304 ProcessExiting : Pos 2, 1 Bit

+0x304 ProcessDelet

最低0.47元/天 解锁文章
weixin_39790102
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Redis——Redis I/O多路复用原理
庄小焱
08-08 4417
Redis的相关网络模型的原理。在Redis中涉及到网络数据的传输。接下来将详细的介绍redis中的多路复用IO网络模型原理。
考研408 完整知识点篇2.0版
knight7765的博客
12-28 9178
408笔记完整考点篇 数据结构 时间复杂度 线性表: 具有随机存储特性,查找时间复杂度为O(1) 单链表-尾插法⭐️ 栈及其应用 根据限定条件判断合法性;最小容量;表达式求值*;中缀表达式转化为后缀表达式过程* 应用:数制转换、括号匹配、表达式求值(中缀表达式、后缀表达式)、递归调用等 循环队列(两种情况 输入/输出受限的双端队列⭐️ 特殊矩阵的压缩存储* 树 树的高度:log2(n)+1 节点数等于所有节点度加一 >> 节点为n,度数和为n-1; 度为m的树中,第i层之多有m^(i-1)个节
32、python多进程编程代码演示
zhaopeng01zp的博客
10-27 375
print("Test Process") # 导入进程模块 from multiprocessing import Process import time, os # 创建进程 进程入口函数 进程参数(是个元组类型) def proc_func(name): print("proc_func") for j in range(10): # 打印进程号 print(j, "child func", name, os.getpid()) tim
electron实现窗口之间的通信
Luo_LA的博客
04-04 1536
在使用electron-vue开发桌面端应用时,新建了一个窗口,希望主窗口的值能够在新窗口中进行使用,即涉及到了窗口之间的值的传递。
electron两个渲染窗口(进程)中通信:
jun999
11-30 1133
electron 渲染进程(窗口)之间通信
electron 两个窗口如何通信_Electron 进程间通讯
weixin_39598308的博客
01-26 678
Electron 进程间通讯运行机制:主进程处理原生应用逻辑main脚本的进程被称为主进程,一个Electron应用总是有且只有一个主进程职责创建渲染进程(可多个)控制应用生命周期 (启动、退出app以及对app的一些事件监听)调用系统底层功能、调用原生资源可调用接口NodeJS apiElectron提供的主进程api(包括一些系统功能和Electron附加功能)渲染进程负责页面渲染由于Elec...
pcb结构链表_PCB task_struct 数据结构 (转:http://blog.csdn.net/jurrah/article/details/3965437)...
weixin_39788969的博客
12-19 344
在linux 中每一个进程都由task_struct 数据结构来定义. task_struct就是我们通常所说的PCB.她是对进程控制的唯一手段也是最有效的手段. 当我们调用fork() 时, 系统会为我们产生一个task_struct结构。然后从父进程,那里继承一些数据, 并把新的进程插入到进程树中, 以待进行进程管理。因此了解task_struct的结构对于我们理解任务调度(在linux ...
一个2022本科生的秋招总结 (大疆、Arm、小米、荣耀、美团、联发科等)
热门推荐
junhua的博客
10-18 1万+
目录个人背景学习经历实习经历面试经历联发科面试 oc联发科提前批一面 30分钟 8.2联发科提前批二面 30分钟 8.9总结星宸科技 oc星宸科技技术面 一小时 8.12星宸科技HR 半小时 8.17总结大疆 待开奖大疆一面 一小时 8.19大疆二面 半小时 8.26大疆三面 半小时 9.3总结荣耀 oc荣耀一面 半小时 8.21荣耀二面 半小时 8.22荣耀综合面 9.7总结紫光 面试通过泡池子紫光一面 40分钟 8.24紫光二面 40分钟 8.29总结CVTE ocCVTE提前批技术面
进程与线程(持续更新)
qq_42679576的博客
05-25 146
进程最显著的特点就是拥有独立的地址空间。
如何在centOS下查看后台运行进程、结束进程
知行合一
09-11 5640
1、进程后台运行:nohup 代码& 代码是要运行的命令 nohup 代码& 例如:运行一个名字叫fullbook_2_4.jar的jar包,这样打就可以了 nohup java -jar fullbook_2_4.jar& 2、查看进程 ps -ef 可以查看所有进程 3、结束进程 kill -pid 通过查看进程发现上面运行的jar包的pid是21558,就可以这样结束它 kill 21550 ...
erlang:register and global:register_name
weixin_30273931的博客
05-13 172
1 %%本地注册进程 2 erlang:register(a,Pid_a). 3 erlang:whereis(a). 4 %%全局注册进程 5 global:register_name(a,Pid_a). %%成功与否返回yes与no; 6 global:whereis_name(a). %%在远程节点可以直接调用 7 %%经测试发现,用本地方法以名字a注册进程Pid_a后,可...
nginx学习:nginx底层机制
小松de博客
10-08 319
1. master 和 worker master进程 主要是管理worker进程,⽐如: 接收外界信号向各worker进程发送信号(./nginx -s reload) 监控worker进程的运⾏状态,当worker进程异常退出后Master进程会⾃动重新启动新的worker进程等 worker进程 worker进程具体处理⽹络请求。多个worker进程之间是对等的,他们同等竞争来⾃客户端的请求,各进程互相之间是独⽴的。⼀个请求,只可能在⼀个worker进程中处理,⼀个worker进程,不可能处理
electron 两个窗口如何通信_Electron中页面之间的通信
weixin_39637700的博客
12-20 2241
Electron的运行环境为Chromium + Node.js, 而Chromium采用的是多进程机制,也就是说每个页面都是一个独立的进程(渲染进程),因此页面之间是没有直接关系的,要想进行通信,需要借助主进程作为桥梁。所以我们首先先来学习主进程和渲染进程怎么通信:1. 渲染进程---->主进程发送端:ipcRenderer.send(channel, data)接收端:ipcMain.o...
electron 两个窗口如何通信_聊聊 electron 中实现多窗口之间的通信方式
weixin_39790877的博客
12-20 4492
前言由于自己在使用electron开发一个类似微信的桌面客户端App,开发这个App的目的纯粹是为了总结一下自己对于 electron 的积累总结吧,先贴出项目的源码地址:github.com/1111mp/elec…。目前整个项目的基础架构都实现差不多了,包括整个应用的数据持久化(使用的是 sqlite,因为我比较喜欢用 sequelize)、多语言、主题设置、多窗口之间的通信方式 和 带...
Python高级编程之协同程序
Y2701310012的专栏
12-27 1553
1. 协同程序 协同程序可以挂起、恢复,并且有多个接入点的函数。有些语言本省就提供了这种特性,如Io语言和Lua语言,它们可以实现协同的多任务和管道机制。例如,每个协同程序将消费或生成数据,然后暂停,知道其他数据被传递。 在Python中,协同程序的替代者是县城,它可以实现代码块之间的交互。但是因为它们表现出一种抢先式的风格,所以必须注意资源所,而协同程序不需要。这样的代码可能变得相当复杂,难
进程(线程)并发编程模型(进程模型和网络模型)
yigui3542的博客
08-20 852
一、进程模型 1、单进程单线程         适用于CPU密集型,CPU一直处于满负荷状态。无I/O操作,无需进程切入或者切出,无需进程切换。 2、多进程         适用于I/O密集型任务,是指磁盘I/O、网络I/O占主要的任务,计算量很小。比如请求网页、读写文件等。提高CPU使用率。 3、进程池         适用于I/O密集型任务,首先I/O密集型操作产生等待,进程池可以...
模型的并行推理
最新发布
重剑无锋博客
05-09 651
DataParallel可以在单个机器上的多个GPU上并行运行模型。它会自动将模型划分为多个块,每个块分别在不同的GPU上进行计算。使用DataParallel可以很容易地实现GPU多卡推理,只需要在模型前面加上DataParallel即可。另外,还可以通过使用ONNX Runtime等高性能推理引擎来实现GPU多卡推理。DistributedDataParallel则可以在多台机器上的多个GPU上并行运行模型。ONNX模型可以通过使用深度学习框架的多卡并行化功能来实现GPU多卡推理。
electron 窗口直接交互 使用ipc 协议,进程之间的通讯
两个人的幸福online
12-06 1754
electron 窗口直接交互 使用ipc 协议,进程之间的通讯 ipcMain 用于主进程 ipcRenderer 用于子进程 下面例子是主进程和子进程通讯 说明里面是,点击创建一个新窗口,带参数,然后新窗口接受到,并展示,然后点击新窗口按钮,向主窗口发送数据,主窗口,收到展示,并给子窗口返回信息,的过程 下面是主窗口代码 <!DOCTYPE html> <html> ...
数据结构链表详解与操作
链表是一种重要的数据结构,它在计算机科学中被广泛应用,特别是当需要动态管理内存或对插入和删除操作有高效要求时。链表的核心概念是将数据元素链接在一起,而不是像数组那样通过连续的内存地址来存储。这使得链表...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值