win10 x64全局句柄表

最新推荐文章于 2023-05-24 15:49:28 发布
最新推荐文章于 2023-05-24 15:49:28 发布
阅读量522 收藏 2
点赞数
文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41725706/article/details/128185620
版权

x64全局句柄表

原理

PspCidTable:地址是一个结构体 HANDLE_TABLE—>TableCode指向一张全局句柄表。
TableCode:地址的低2位记录这个表是一级句柄表,还是二级或者三级;00表示一级,01表示二级,10表示3急;
如果是一级:那么TableCode指向的表直接是内核地址;
如果是二级:那么TableCode指向的是一个一个的句柄表地址,再由句柄表地址指向–>内核地址.
如果是三级:则一层一层下去。一般不会不存在三级。

示例

第一:用WINDBG先看下当前TableCode后二位来确定为几级句柄表
在这里插入图片描述第二:利用PspCidTable来查找一下某进程的EPROCESS内核对象
在这里插入图片描述
Registry pid = 72;
先进行换算:72/4 = (10进制)18 =0x12(16进制)
第一:18/512 = 一级句柄表的索引;1页=4096字节/8 = 512项。
第二:拿到索引取一级句柄表下面地址;指向二级句柄表
在这里插入图片描述
第三:二级句柄表地址 + 0x12*0x10;每一项16字节
在这里插入图片描述
找到EPROCESS ->5a8处为进程名:
在这里插入图片描述
至此找到了该进程的EPROCESS内核对象

总结

下次用驱动程序来实现一遍。

weixin_41725706
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows下基于VS2010编译支持https的x64版libcurl.lib
04-21
2. 执行“Configure”脚本来配置编译环境,根据你的需求选择相应的选项,例如:`perl Configure VC-WIN64A`,这将为Visual Studio的x64平台配置OpenSSL。 3. 使用`nmake`命令进行编译和安装,这将生成所需的静态和...
Win10 Java 11 资源安装包
最新发布
05-29
在这个压缩包中,主要包含了一个名为"jdk-11_windows-x64_bin.exe"的可执行文件,它是Java Development Kit(JDK)的Windows 64位版本。 JDK是Java程序员进行开发、编译、调试和运行Java应用程序的必备工具集。Java...
Windows句柄学习笔记 —— 句柄&全局句柄
qq_41988448的博客
03-19 3407
Windows句柄学习笔记 —— 句柄&全局句柄前言句柄实验一:在WinDbg中查看句柄第一步:打开一个Win32窗口程序第二步:编译并运行以下代码第三步:查看运行结果第四步:在WinDbg中定位句柄句柄结构实验二:在WinDbg中查看并分析句柄结构第一步:打开一个Win32窗口程序第二步:编译以下代码并运行第三步:查看运行结果第四步:在WinDbg中定位最后一个句柄第五步...
win10 x64进程句柄
weixin_41725706的博客
12-04 559
win10 x64进程句柄研究测试
Windows 10 X64 内核对象句柄解析
vs2008ASPNET的专栏
05-24 1323
fweWindows 很多API函数都会创建和使用句柄(传入参数),句柄一个内核对象的内存地址,每个进程都有一个句柄,它保存着进程拥有的句柄,内核也有一个句柄 PspCidTable,它保存着整个系统的句柄。0xffff8d85`570ff000 notepad.exe句柄地址,低两位为0 示是1级。(句柄项>>0x10)&0xfffffffffffffff0 = 对象地址(低位)句柄地址+(进程ID>>0xa*8)-1。从内核句柄项中解析出内核对象地址。由上内核函数逆向可知。
x64 Global HANDLE 全局句柄
Mikasys的博客
10-20 820
全局句柄 0: kd> dq PspCidTable fffff800`04070408 fffff8a0`00004880 00000000`00000000 fffff800`04070418 ffffffff`80000020 00000000`00000101 fffff800`04070428 ffffffff`80000298 ffffffff`80000024 fffff800`04070438 00000000`00000000 00000000`00000113 fffff
全局句柄 —— 遍历全局句柄
walker的博客
03-16 1453
简介 进程句柄是私有的,每个进程都有自己的进程句柄。除此之外,系统还有一个全局句柄全局变量 PspCidTable 指向该全局句柄存储的是操作系统中所有创建的进程、线程的句柄(不会出现重复)。每个进程和线程都有一个唯一的编号:PID 和 CID , 这两个值其实就是全局句柄中的索引。 也就是说,即使我们实现了对进程、线程的断链,但是只要操作系统中创建了进程、线程,全局句柄中就会记录其对应的句柄(PID/CID),仍然可以通过全局句柄实现对线程、进程的遍历。 EnumPspCidTab
私有句柄(内核对象,并非用户对象),全局句柄
寻梦&之璐
02-15 5280
私有句柄 1.什么是句柄(内核对象) 当一个进程创建或者打开一个内核对象时,将获得一个句柄,通过这个句柄可以访问内核对象 (注意:这里所说的句柄往往对应一个内核对象,调用窗口相关的函数时,也会得到所谓的句柄,但是那种句柄和这里所说的句柄是两回事,这里所说的句柄一定对应一个内核对象,而且这个内核对象其实也就是一个结构体,在0环才能够进行读写的。并非普通窗口,笔刷,字体等对象的句柄,这种对象我们通常称为用户对象,并非内核对象) 如: HANDLE g_hMutex=::CreateMutex(NULL,FAL
X64下的解析句柄
zfdyq
12-07 3461
一:X64下的句柄的查找: 关于PspCidTable的寻找,我是通过PsLookupProcessByProcessId查找特征码寻找pspCidTable和32位没什么区别。 疑问:我想在KPCR中的KdVersionBlock中寻找,但是64位系统不知道为什么总是NULL,各位牛牛知道的求科普~ 寻找PspCidTable: SIZE_T FindCidTable() { SI
Win32系统编程创建进程的参数详解和全局句柄
woaijianji的博客
08-19 404
NULL, // Use parent’s starting directory //使用父进程目录作为当前目录,可以自己设置目录。这里其实有一堆,我们要用到的是CREATE_NEW_CONSOLE,大概释义就是可以创建一个单独的新的窗口,具体可以自行翻译。NULL, // Process handle not inheritable //不继承进程句柄。0, // No creation flags //没有创建标志。...
用WIN32汇编写的鼠标钩子实例
03-28
汇编语言是一种低级编程语言,它直接对应于计算机硬件的指令集,如x86或x64架构。Win32汇编特别指的是针对32位Windows API编写的汇编程序。在Windows操作系统中,开发者可以使用汇编语言来更直接地控制硬件资源,...
vs2010全局hook挂钩子获取鼠标当前位置,纯干货
01-06
在这里,`hInstance`是DLL的实例句柄,0代系统范围的全局钩子。 一旦设置了钩子,你就可以在`MouseHookProc`中处理鼠标事件。例如,当鼠标移动时,可以通过解析`lParam`来获取坐标,并更新自己的窗口标题: ```...
问专家-Win32全局钩子在VC5中的实现.zip
05-13
【Win32全局钩子在VC5中的实现】 在Windows编程中,钩子(Hook)是一种重要的技术,它允许开发者监控系统中特定事件的发生。全局钩子尤其特殊,因为它们可以影响整个系统,而不仅仅是单一的进程。在这个“问专家-...
win32创建能拖动的窗口
04-19
Windows编程领域,Win32 API是开发原生Windows应用程序的核心接口。`CreateWindowEx`函数是其中的一个关键函数,用于创建窗口实例。这个过程涉及到了窗口类的定义、消息循环以及窗口过程的处理。本篇文章将深入...
win32下初始化OGRE窗口
11-14
在Win32应用程序中,初始化OGRE窗口的第一步通常涉及到设置一系列全局变量,如实例句柄`HINSTANCE hInst;`、标题栏文本`TCHAR szTitle[MAX_LOADSTRING];`、主窗口类名`TCHAR szWindowClass[MAX_LOADSTRING];`以及...
Delphi 获取Win进程列范例.rar
07-10
Delphi 获取Windows正在运行的进程列,点击右侧按钮,即可获取到进程项,包括下列各进程的参数,获取到的内容... Listbox2.items.add(format('模块句柄:%.8X' ,[ModuleArray[i].hModule]));  详细情况请下载源码。
Win32编程常用函数
02-12
### Win32编程常用函数详解 #### 一、概述 在Windows编程中,特别是使用Win32 API进行编程时,掌握一系列核心API函数是至关重要的。这些函数可以帮助开发者完成窗口创建、消息处理、绘图等一系列操作。本文将详细...
在win32下Hook系统API.txt
10-26
ModifyCall()利用进程的HINSTANCE(也即HMODULE,对于Win32而言它们是一回事,即装载基址)找到DOS文件头结构IMAGE_DOS_HEADER,再利用IMAGE_DOS_HEADER中的e_lfanew成员找到Win32的IMAGE_NT_HEADERS结构,该结构...
win32gui 获取菜单句柄
05-18
可以使用以下代码来获取窗口菜单的句柄: ```python import win32gui # 获取窗口句柄 hwnd = win32gui.FindWindow(None, "窗口标题") # 获取菜单句柄 hmenu = win32gui.GetMenu(hwnd) ``` 其中,`FindWindow` ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值