win10 x64进程句柄表

已于 2022-12-05 13:53:32 修改
阅读量543 收藏 4
点赞数
文章标签: c++
于 2022-12-04 17:11:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41725706/article/details/128174231
版权

x64进程句柄表

原理

EPROCESS ---->0x570指针指向ObjectTable结构体—>[+0x008] TableCode指针指向一个句柄表:存储着各个内核对象地址。

应用层代码—3环

#define _CRT_SECURE_NO_WARNINGS
#include <iostream>
#include <Windows.h>


int main()
{
	HANDLE tmp;
	for (int i = 0; i < 20; i++) 
	{
		 tmp  = OpenProcess(PROCESS_ALL_ACCESS, NULL, 6892);
		std::cout << tmp << std::endl;
	}
	tmp = OpenProcess(PROCESS_CREATE_THREAD, TRUE, 6892);
	SetHandleInformation(tmp,HANDLE_FLAG_PROTECT_FROM_CLOSE, HANDLE_FLAG_PROTECT_FROM_CLOSE);
	getchar();
	return 0;

}

算法和查看句柄表

在这里插入图片描述
打印出OpenProcess获取的HANDLE 句柄。根据这个句柄在EPROCESS可以找到对应的内核对象句柄。例如OpenProcess就可以获取到别的进程的EPROCESS。
在这里插入图片描述
获取的是123.exe 的EPROCESS,我们用dbg在上方leizifunc16.exe句柄表中查找。
第一个句柄是0x9c;
首先在leizifunc16.exe EPROCESS—>0x570指针指向ObjectTable结构体—>[+0x008] TableCode指针,取TableCode地址;
其次:用9c/4*0x10 = 270;
再次 :TableCode地址 + 0x270
在这里插入图片描述
对地址进行换算右移16位,在与上FFFFFFFFFFFFFFF0:bf0f634050500001>>0x10&FFFFFFFFFFFFFFF0
16字节。
可以获取到地址FFFFBF0F 63405050 这个地址为:exe头部:_OBJECT_HEADER

kd> dt _OBJECT_HEADER
nt!_OBJECT_HEADER
   +0x000 PointerCount     : Int8B
   +0x008 HandleCount      : Int8B
   +0x008 NextToFree       : Ptr64 Void
   +0x010 Lock             : _EX_PUSH_LOCK
   +0x018 TypeIndex        : UChar
   +0x019 TraceFlags       : UChar
   +0x019 DbgRefTrace      : Pos 0, 1 Bit
   +0x019 DbgTracePermanent : Pos 1, 1 Bit
   +0x01a InfoMask         : UChar
   +0x01b Flags            : UChar
   +0x01b NewObject        : Pos 0, 1 Bit
   +0x01b KernelObject     : Pos 1, 1 Bit
   +0x01b KernelOnlyAccess : Pos 2, 1 Bit
   +0x01b ExclusiveObject  : Pos 3, 1 Bit
   +0x01b PermanentObject  : Pos 4, 1 Bit
   +0x01b DefaultSecurityQuota : Pos 5, 1 Bit
   +0x01b SingleHandleEntry : Pos 6, 1 Bit
   +0x01b DeletedInline    : Pos 7, 1 Bit
   +0x01c Reserved         : Uint4B
   +0x020 ObjectCreateInfo : Ptr64 _OBJECT_CREATE_INFORMATION
   +0x020 QuotaBlockCharged : Ptr64 Void
   +0x028 SecurityDescriptor : Ptr64 Void
   +0x030 Body             : _QUAD

FFFFBF0F 63405050 + 0x30 就刚好是123.exe的EPROCESS

总结

对于16个字节,每几个字节的属性特征,之后在做测试!

weixin_41725706
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Win10下的_EPROCESS结构记录
WorryFree
11-30 2146
kd> dt _EPROCESS ntdll!_EPROCESS +0x000 Pcb : _KPROCESS 内嵌的内核层进程结构体 +0x2e0 ProcessLock : _EX_PUSH_LOCK 自旋锁 用于保护EPROCESS数据成员的同步 +0x2e8 UniqueProcessId : Ptr64 Void 进程的唯一PID +0x2f0 ActiveProcessLinks :
枚举进程句柄
qq_41490873的博客
09-19 460
#include <windows.h> #include <stdio.h> #define NT_SUCCESS(x) ((x) >= 0) #define STATUS_INFO_LENGTH_MISMATCH 0xc0000004 #define SystemHandleInformation 16 #define ObjectBasicInformation 0 #define ObjectNameInformation 1 #define ObjectTypeI
x64 Global HANDLE 全局句柄
Mikasys的博客
10-20 807
全局句柄 0: kd> dq PspCidTable fffff800`04070408 fffff8a0`00004880 00000000`00000000 fffff800`04070418 ffffffff`80000020 00000000`00000101 fffff800`04070428 ffffffff`80000298 ffffffff`80000024 fffff800`04070438 00000000`00000000 00000000`00000113 fffff
Win10遍历句柄+修改权限过Callback保护
xlaomlng的博客
05-26 3205
本帖转载于http://www.m5home.com/bbs/thread-8847-1-1.html 本想发到看雪,但自己太菜,看雪“牛人”又太多,想想还是发到紫水晶吧。 感谢 TA 的 WIN64 教程带我走上驱动之路,想想除了个 VIP 账号就没教过学费,以后多在论坛发帖来回报一下吧。 正篇: XP 和 Win7 上关于句柄的文章不少,一点不懂的朋友请自行百度谷歌搜索,方法没变,依旧使用 ...
X64dbg-插件开发-导出函数-导出功能-回调导出的函数和结构
插件开发
05-11 596
1.pluginit 导出函数   pluginit是 x64dbg 在加载动态链接库(.dp32或.dp64)后调用的第一个导出函数,如果pluginit不存在,则此时插件加载将失败。pluginit将指向PLUG_INITSTRUCT结构的指针作为函数中的唯一参数传递:initStruct。此结构用于向 x64dbg 注册插件并获取有效的插件句柄,以便在未来的 api 调用中使用。 PLUG_INITSTRUCT结构定义: typedef struct { //provided by the d
WIN32程序获取父进程ID的方法
09-04
这个方法在x86和x64架构的Windows Server 2003及2008等平台上已被证实有效。需要注意的是,由于`NtQueryInformationProcess()`是未公开的API,其稳定性可能受到系统版本和更新的影响,因此在实际应用中应谨慎考虑。 ...
WIN64驱动编程基础教程
12-06
|-学习WIN64驱动开发的硬件准备 |-配置驱动开发环境 ------------------------------ 1.驱动级HelloWorld |-配置驱动测试环境 |-编译和加载内核HelloWorld ------------------------------ 2.内核编程基础 |-WIN64...
商业编程-源码-遍历WIN9X或WINNT中的所有进程.zip
06-22
这个压缩包"商业编程-源码-遍历WIN9X或WINNT中的所有进程.zip"包含的源代码可能是用于在Windows 9x和Windows NT系列操作系统(包括Windows 2000、Windows XP等)上获取并显示所有正在运行的进程信息的程序。...
x64进程远程hook,x64_远程调用函数,源码更新V1.8.2:2021/4/12-易语言
06-11
x64进程远程hook,x64_远程调用函数,源码更新V1.8.2:2021/4/12 源码为下方连接帖子后续更新内容: 浅谈64位进程远程hook技术: https://bbs.125.la/forum.php?mod=viewthreadtid=14666356extra= 不管您是转载还是...
x64进程远程hook,x64_远程调用函数,源码更新V1.8.7:2021/4/16-易语言
06-11
一:修复win7 64位系统下枚举模块 出现部分模块长度出现负数的问题,从而导致部分win7用户不能使用 二:强化 远程hook64指令_安装 的稳定性:  1,穿插代码中增加对标志位的保护,避免hook位置长度下一条指令为跳转...
易语言 取进程PID/进程句柄/进程模块句柄纯代码源码
02-22
易语言纯代码取 进程PID 进程句柄 进程模块句柄(CE查找的进程名加偏移就相当于模块句柄加偏移)
win7,win10注入CSRSS 不蓝屏
04-22
winXp,win7 32 , win7 64 ,win10注入CSRSS蓝屏 这是一个重要的进程,他会随系统的启动而自动开启并一直运行。在大多数情况下它是安全的,你不应该将其终止;但也有与其类似的病毒出现
win10句柄数比win7多 cpu占用率 高_这款win10系统极限精简实用,CPU占用率不升反降,你敢升级吗?...
weixin_39777213的博客
01-26 246
大家都知道win7停止技术支持已经有一段时间了,但老毛桃有位朋友却对win7情有独钟还难舍难分,即便收到升级提示那也是睁只眼闭只眼,一副不屑的样子!为什么他会如此抗拒升级呢?这就要从win10的各种Bug说起了。自win10发布以来,它的各种Bug深受大众诟病,就拿CPU占用率来说吧,某某版本的win10系统可能在一瞬间就急速上升至100%,紧接着就使得电脑卡死、崩溃,甚至还会出现许多兼容性问题。...
x64驱动 遍历 PspCidTable 枚举隐进程和线程
墨鱼菜鸡
06-05 309
介绍 PspCidTable 是一个内核句柄,存放进程和线程的内核对象(EPROCESS 和 ETHREAD),并通过 PID 和 TID 进行索引(所以进程ID和线程ID不可能相同),ID 号以 4 递增。 获取 ...
R3 x64枚举进程句柄
zhuhuibeishadiao
05-02 5711
需要注意的是:在R3使用ZwQueryObject很容易锁死,需要放到线程中,如果线程超过500ms就说明卡死了 就只能放弃这个句柄了  这个句柄外面是一个FileObject类型,但真实是一个信号类型 还有在R3中枚举 有一个句柄我们是没有权限操作了 就是EtwRegistration类型的 如果非要解决这个问题,可以参考国外的一个开源进程管理器 ProcessHack 我的操作是判断
关于驱动隐藏那点事(不触发PG 支持win10)
热门推荐
zhuhuibeishadiao
07-21 1万+
已开源:https://github.com/ZhuHuiBeiShaDiao/NewHideDriverEx 更新:支持seh,原理自己逆下 将seh挂到其它模块上而已. 看网上用此方法隐藏用的挺嗨啊,麻烦打个出处,谢谢了. 没必要藏着,人生没有必要为这些小玩意小打小闹。 看到某些哥们这搞搞那搞搞,BSOD PATCHGUARD 无语,WRK是个好东西啊! 还有半年来也没怎么发博客,惭...
win10 英文x64.iso
最新发布
11-10
Win10 x64.iso是Windows操作系统的一种版本,它是面向64位计算机架构的。ISO是一种光盘映像文件格式,可以用于创建光盘或USB驱动器的启动介质。 Win10 x64.iso是Win10操作系统的英文版本,适用于64位计算机。64位计算机具有更高的处理能力和内存支持,可以更好地运行一些需要高性能的应用程序和游戏。该版本的Win10具有许多改进和新功能,如启动速度更快,界面更加友好,更强大的安全性和稳定性。 使用Win10 x64.iso文件,我们可以创建一个安装媒介,如光盘或USB驱动器,以便在计算机上安装Win10 x64操作系统。安装过程中可以选择语言为英文,这意味着在操作系统安装完成后,界面和相关程序都将显示英文内容。这对于习惯英文环境、需要使用英文软件或学习英语的用户来说是很方便的。 用户可以在Microsoft官方网站或其他可靠的下载源获取Win10 x64.iso文件,并使用合适的软件刻录成启动介质。在安装过程中,用户需要按照相应的步骤选择安装选项、接受许可协议并完成一些设置。安装完成后,用户可以使用Win10操作系统的各项功能,并根据个人需求进行进一步的个性化设置和安装所需的软件。 总之,Win10 x64.iso是Windows操作系统的一种64位英文版本,可通过安装媒介将其安装到计算机上,提供更高的性能和许多新功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值