win10 x64驱动实现遍历全局句柄表

最新推荐文章于 2023-05-24 15:49:28 发布
最新推荐文章于 2023-05-24 15:49:28 发布
阅读量664 收藏 3
点赞数 2
分类专栏: 驱动 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41725706/article/details/128210085
版权

x64驱动实现遍历全局句柄表

驱动代码

#include "vad.h"
#include <ntifs.h>

//获取全部变量PspCidTable
//指向一张表,里面存储的是512个句柄表指针
VOID table_1(ULONG64 BaseAddr);

//遍历每个句柄表指针; 句柄表指针指向一个表,里面存储
//的是进程或线程对象地址;16个字节;1024/16 = 256个;
VOID table_2(ULONG64 BaseAddr, INT index1);


VOID UnDriver(PDRIVER_OBJECT driver)
{
	DbgPrint("卸载成功 \n");
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	DbgPrint("进入l \n");
	UNICODE_STRING uc_funcName;
	RtlInitUnicodeString(&uc_funcName, L"PsLookupProcessByProcessId");
	LONGLONG* ul_funcAddr = MmGetSystemRoutineAddress(&uc_funcName);
	if (ul_funcAddr == NULL)
	{
		return FALSE;
	}
	DbgPrint("PsLookupProcessByProcessId addr = %p \n", ul_funcAddr);
	LONG64 CidTable_entry = 0;
	for (int i = 0; i < 120; i++)
	{
		//找E8 call
		if ((*((PUCHAR)ul_funcAddr + i)) == 0xe8)
		{
			CidTable_entry = (LONG64)((PUCHAR)ul_funcAddr + i);
			break;
		}
	}

	PLONG64 pPspCidTable = NULL;
	if (CidTable_entry != 0)
	{
		//求出JMP 地址:ul_entry + 5 + 偏移地址
		int dwOffset = *(INT*)(CidTable_entry + 1);
		ULONG64 CidTableEntry_callJmp = CidTable_entry + dwOffset + 5;
		DbgPrint("CidTableEntry_callJmp addr = %p \n", CidTableEntry_callJmp);



		for (INT i = 0; i < 200; i++)
		{
			// fffff802`0841d1a5 48 8b 0d 84 73 f5 ff  mov     rcx,qword ptr [nt!PspCidTable (fffff802`08374530)]
			if (*(PUCHAR)(CidTableEntry_callJmp + i) == 0x48 && *(PUCHAR)(CidTableEntry_callJmp + i + 1) == 0x8b && *(PUCHAR)(CidTableEntry_callJmp + i + 2) == 0x05)
			{
				// 解析 mov 地址
				INT movCode = *(INT*)(CidTableEntry_callJmp + i + 3);
				DbgPrint("movCode = %p \n", movCode);
				ULONG64 movJmp = CidTableEntry_callJmp + i + movCode + 7;
				DbgPrint("movJmp = %p \n", movJmp);

				// 得到 PspCidTable
				pPspCidTable = (PLONG64)movJmp;
				DbgPrint("pPspCidTable addr = %p \n", pPspCidTable);
	
			}
		}
	
	}
	if (pPspCidTable == NULL)
	{
		return STATUS_SUCCESS;
	}
	//判断是几级表
	LONG64 Table_code = *((PLONG64)((*pPspCidTable) + 8));
	INT Grade = Table_code & 3;
	DbgPrint("Table_code = %p \n", Table_code);
	DbgPrint("Grade = %X \n", Grade);
	if (Grade == 0)
	{
	
	}
	else if (Grade == 1)
	{

		table_1(Table_code & (~3));
	}


	Driver->DriverUnload = UnDriver;
	return STATUS_SUCCESS;
}

VOID table_2(ULONG64 BaseAddr, INT index1)
{
// 遍历一级表(每个表项大小 16 ),表大小 4k,所以遍历 4096/16 = 256 次
	PEPROCESS p_eprocess = NULL;
	PETHREAD p_ethread = NULL;
	INT p_id = 0;
	for (INT i = 0; i < 256; i++)
	{
		if (!MmIsAddressValid((PVOID64)(BaseAddr + i * 16)))
		{
			DbgPrint("非法地址= %p \n", BaseAddr + i * 16);
			continue;
		}

		ULONG64 Table1_code = *(PULONG64)(BaseAddr + i * 16);

		// 换算 先右移16位 在与上0xfffffffffffffff0
		ULONG64 Table1_decode = (LONG64)Table1_code >> 0x10;
		Table1_decode &= 0xfffffffffffffff0;

		//计算方式说明:i*4->windows规定。
		//1024*index1-> 因为一个表有256个对象地址,那么256*4 = 1024;
		//1024*  index1代表第几个句柄指针索引
		p_id = i * 4 + 1024 * index1;

		// 判断是进程还是线程
		if (PsLookupProcessByProcessId((HANDLE)p_id, &p_eprocess) == STATUS_SUCCESS)
		{
			DbgPrint("进程PID: %d | ID: %d | 对象: %p \n", p_id, i, Table1_decode);
		}
		else if (PsLookupThreadByThreadId((HANDLE)p_id, &p_ethread) == STATUS_SUCCESS)
		{
			DbgPrint("线程TID: %d | ID: %d | 对象: %p \n", p_id, i , Table1_decode);
		}
	}
}



VOID table_1(ULONG64 BaseAddr)
{
	// 遍历二级表(每个表项大小 8),表大小 4k,所以遍历 4096/8 = 512 次
	ULONG64 ul_baseAddr_1 = 0;
	for (INT i = 0; i < 512; i++)
	{
		if (!MmIsAddressValid((PVOID64)(BaseAddr + i * 8)))
		{
			DbgPrint("非法二级表指针(1):%p \n", BaseAddr + i * 8);
			continue;
		}
		if (!MmIsAddressValid((PVOID64) * (PULONG64)(BaseAddr + i * 8)))
		{
			DbgPrint("非法二级表指针(2):%p \n", BaseAddr + i * 8);
			continue;
		}
		ul_baseAddr_1 = *(PULONG64)(BaseAddr + i * 8);
		table_2(ul_baseAddr_1, i);
	}
}

总结

不懂可以私信我!!

weixin_41725706
关注
专栏目录
Windows 句柄泄露学习总结
bcbobo21cn的专栏
03-19 8596
句柄泄露实例分析 http://www.cnblogs.com/Leo_wl/p/5397274.html 在上篇文章.NET对象与Windows句柄(二):句柄分类和.NET句柄泄露的例子中,我们有一个句柄泄露的 例子。例子中多次创建和Dispose了DataReceiver和DataAnalyzer对象,但由于忘记调用DataAnalyzer的 Stop方法,导
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入)
热门推荐
杨秀璋的专栏
06-25 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入、APC注入,案例包括键盘钩子、计算器远线程注入实现、APC注入等,希望对您有所帮助。
通过遍历系统句柄信息(SystemHandleInformation),获取系统进程和当前进程的eprocess
pureman_mega的博客
11-23 1万+
实验环境:win10 1909 64 参考:https://blog.csdn.net/qinlicang/article/details/4489727 首先,获取系统的句柄信息;然后,在句柄信息中进行搜索,通过数据结构进行匹配;最后,确定系统进程和当前进程的eprocess; 主要数据结构如下: typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO { USHORT UniqueProcessId; USHORT CreatorBack
句柄全局句柄
Harlan的博客
09-01 3353
句柄结构   1.这一块共计两个字节,低字节保留为0,高位字节是给SetHandleInformation这个函数用的,比如写成SetHandleInformation(Handle,HANDLE_FLAG_PROTECT_FROM_CLOSE,HANDLE_FLAG_PROTECT_FROM_CLOSE),那么这个位置将被写入0x02; HANDLE_FLAG_PROTECT_FRO...
win10 x64全局句柄
weixin_41725706的博客
12-05 606
x64全局句柄
全局句柄 —— 遍历全局句柄
walker的博客
03-16 1489
简介 进程句柄是私有的,每个进程都有自己的进程句柄。除此之外,系统还有一个全局句柄全局变量 PspCidTable 指向该全局句柄存储的是操作系统中所有创建的进程、线程的句柄(不会出现重复)。每个进程和线程都有一个唯一的编号:PID 和 CID , 这两个值其实就是全局句柄中的索引。 也就是说,即使我们实现了对进程、线程的断链,但是只要操作系统中创建了进程、线程,全局句柄中就会记录其对应的句柄(PID/CID),仍然可以通过全局句柄实现对线程、进程的遍历。 EnumPspCidTab
Win10遍历句柄+修改权限过Callback保护
xlaomlng的博客
05-26 3339
本帖转载于http://www.m5home.com/bbs/thread-8847-1-1.html 本想发到看雪,但自己太菜,看雪“牛人”又太多,想想还是发到紫水晶吧。 感谢 TA 的 WIN64 教程带我走上驱动之路,想想除了个 VIP 账号就没教过学费,以后多在论坛发帖来回报一下吧。 正篇: XP 和 Win7 上关于句柄的文章不少,一点不懂的朋友请自行百度谷歌搜索,方法没变,依旧使用 ...
X64下的解析句柄
zfdyq
12-07 3501
一:X64下的句柄的查找: 关于PspCidTable的寻找,我是通过PsLookupProcessByProcessId查找特征码寻找pspCidTable和32位没什么区别。 疑问:我想在KPCR中的KdVersionBlock中寻找,但是64位系统不知道为什么总是NULL,各位牛牛知道的求科普~ 寻找PspCidTable: SIZE_T FindCidTable() { SI
Win64 驱动内核编程-28.枚举消息钩子
墨鱼菜鸡
12-18 298
枚举消息钩子 简单粘贴点百度的解释,科普下消息钩子: 钩子是WINDOWS中消息处理机制的一个要点,通过安装各种钩子,应用程序能够设置相应的子例程来监视系统里的消息传递以及在这些消息到达目标窗口程序之前处理它们。钩子的种类很多,每种钩子可以截获并处理相应的消息,如键盘钩子可以截获键盘消息,鼠标钩子可以...
易语言黑月文件拖放使用例程-支持win10与多文件
06-04
这些路径被封装在一个全局的HDROP句柄中,通过API函数DragQueryFile可以逐个读取这些文件路径。由于可能有多个文件,因此需要循环遍历所有文件,并进行相应的处理,例如打开、复制或移动文件等。 易语言提供了丰富...
Win32_MFC.rar_HID 拔插检测_MFC HID_USB HID拔插检测_USB设备插拔检测 U盘 鼠标_usb
09-23
在本文中,我们将深入探讨如何使用Win32_MFC库实现HID(Human Interface Device)设备,如USB鼠标和U盘的拔插检测。MFC(Microsoft Foundation Classes)是微软提供的一套C++类库,它封装了Windows API,使得Windows...
驱动遍历句柄
落笔飞花笑百生的博客
04-27 2120
 驱动遍历句柄附加第二个方法的反汇编代码 其中还有对其拦截的方式的一些需要HOOK处比如伪造句柄 因为大量使用硬编码所以此份代码通用性不强一切均在虚拟机XP3下操作 #include "ntddk.h" typedef struct _EX_PUSH_LOCK {  //  // LOCK bit is set for both exclusive and shared acq
win10 x64进程句柄
weixin_41725706的博客
12-04 652
win10 x64进程句柄研究测试
Windows 10 X64 内核对象句柄解析
vs2008ASPNET的专栏
05-24 1395
fweWindows 很多API函数都会创建和使用句柄(传入参数),句柄一个内核对象的内存地址,每个进程都有一个句柄,它保存着进程拥有的句柄,内核也有一个句柄 PspCidTable,它保存着整个系统的句柄。0xffff8d85`570ff000 notepad.exe句柄地址,低两位为0 示是1级。(句柄项>>0x10)&0xfffffffffffffff0 = 对象地址(低位)句柄地址+(进程ID>>0xa*8)-1。从内核句柄项中解析出内核对象地址。由上内核函数逆向可知。
x64 Global HANDLE 全局句柄
Mikasys的博客
10-20 842
全局句柄 0: kd> dq PspCidTable fffff800`04070408 fffff8a0`00004880 00000000`00000000 fffff800`04070418 ffffffff`80000020 00000000`00000101 fffff800`04070428 ffffffff`80000298 ffffffff`80000024 fffff800`04070438 00000000`00000000 00000000`00000113 fffff
句柄
qq_43445167的博客
09-06 171
这里讲的句柄仅指内核对象的句柄,窗口句柄不在其列。 进程的句柄 在Win32编程中,有一个数据类型为HANDLE,其值一般为一个不大的数字,可以简单的理解为一个指针数组的索引,里面的指针指向内核对象,这仅仅是粗浅的理解,接下来我们要进行深入。 首先,为什么要这样? 在实际编程中,有时会出现野指针的状况,操作野指针最多也就导致程序崩溃,但在ring0一旦发生内存读写错误Windows就会直接蓝屏...
R3 x64枚举进程句柄
07-04 301
转载:https://blog.csdn.net/zhuhuibeishadiao/article/details/51292608 需要注意的是:在R3使用ZwQueryObject很容易锁死,需要放到线程中,如果线程超过500ms就说明卡死了 就只能放弃这个句柄了 这个句柄外面是一个FileObject类型,但真实是一个信号类型 还有在R3中枚举 有一个句柄我们是没有权限...
通过句柄遍历进程
HuErr的专栏
06-05 1022
进程线程这块都被人玩滥了......都是些过时了的东西,做为新手,我还是拿来耍耍。 #include #include //结构体是根据windbg查看得出来的。 typedef struct _HANDLE_TABLE { ULONG_PTR TableCode; PEPROCESS QuotaProcess; PVOID UniqueProces
枚举进程句柄
qq_41490873的博客
09-19 480
#include <windows.h> #include <stdio.h> #define NT_SUCCESS(x) ((x) >= 0) #define STATUS_INFO_LENGTH_MISMATCH 0xc0000004 #define SystemHandleInformation 16 #define ObjectBasicInformation 0 #define ObjectNameInformation 1 #define ObjectTypeI
python遍历窗口句柄
最新发布
07-26
在Python中,通常我们不会直接操作窗口句柄(Window Handle),因为这通常是操作系统级别的交互,而Python更倾向于提供高层次的界面来处理GUI编程。如果你是在使用像Tkinter或PyQt这样的Python GUI库,你可以通过它们提供的函数来遍历并管理窗口。 例如,在Tkinter中,可以使用`winfo_children()`方法从顶级窗口开始,递归地获取所有子窗口的实例: ```python import tkinter as tk def traverse_windows(window): for child in window.winfo_children(): print(child) traverse_windows(child) root = tk.Tk() traverse_windows(root) # 遍历顶级窗口及其所有子窗口 ``` 然而,对于系统级的窗口句柄操作,你可能会涉及到底层API如Win32 API或者Windows-specific模块(如psutil)。但这超出了常规Python GUI编程的范畴,需要C语言或者其他原生支持的库。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值