内核对象有效性的判定

最新推荐文章于 2023-06-26 09:01:46 发布
VIP文章 最新推荐文章于 2023-06-26 09:01:46 发布
阅读量1.4k 收藏 3
点赞数
文章标签: windows header object allocation xp null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoxinjiang/article/details/7013486
版权

一. 内核对象


1.  进程对象(EPROCESS)
较简单的方法是判断EPROCESS中的ExitTime是否为0,如果是0则说明该进程正在运行。但是由于该值不会对进程的运行产生任何影响,如果rootkit会在此处填值,使判断失效。
根据《Windows 核心编程 第五版》 P231中的叙述,Windows中的进程内核对象中存在一个布尔变量,标示进程是否终止,使得WaitForSingleObject能够等待进程结束的时间通知。
 
[Windows XP sp2]
kd> dt -b _eprocess 820c8d50 
nt!_EPROCESS
   +0x000 Pcb              : _KPROCESS
      +0x000 Header           : _DISPATCHER_HEADER
         +0x000 Type             : 0x3 ''
         +0x001 Absolute         : 0 ''
         +0x002 Size             : 0x1b ''
         +0x003 Inserted         : 0 ''
         +0x004 SignalState      : 1
         +0x008 WaitListHead     : _LIST_ENTRY [ 0x820c8d58 - 0x820c8d58 ]
            +0x000 Flink            : 0x820c8d58 
            +0x004 Blink            : 0x820c8d58
 
可以看到SignalState正是上面说的布尔值。SignalState为TRUE表示此时该进程已被结束。
试验后发现,在windbg中手动修改SignalState为1后,用WaitForSingleObject等待进程结束的调用立即返回成功(WAIT_OBJECT_0),但该进程并未受影响。
通过记录进程结束前和进程结束后的EPROCESS结构,试图发现对无效进程内核对象的判别有用的结构成员。
使用UE附带的比较工具比较后,可能有用的成员如下
 
[Windows XP sp2]
结束前                                                         结束后
 
+0x004 SignalState      : 0                             +0x004 SignalState      : 1                       // 修改为1后,只影响WaitForSingalObject等API。
+0x060 StackCount       : 1                            +0x060 StackCount       : 0
+0x0a8 CommitCharge     : 0x1fa                     +0x0a8 CommitCharge     : 0
最低0.47元/天 解锁文章
0902horn
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
window 内核对象.pdf
10-26
准确地理解内核对象对于想要成为一名 Window s软件开发能手的人来说是至关重要的。内核对象可以供系统和应用程序使用来管理各种各样的资源,比如进程、线程和文件等。
windows内核情景分析--窗口消息
maomao171314的专栏
04-04 3273
消息与钩子 众所周知,Windows系统是消息驱动的,现在我们就来看Windows的消息机制. 早期的Windows的窗口图形机制是在用户空间实现的,后来为了提高图形处理效率,将这部分移入内核空间,在Win32k.sys模块中实现。这个模块作为一个扩展的内核模块,提高了一个扩展额系统服务表,专用于窗口图形操作,相应的,这个模块中添加了一个扩展系统调用服务表Shadow SSDT,以及一个扩
内核断链(ActiveProcessLinks)
qq_45844442的博客
06-23 183
3.在这个程序中没有直接使用EPROCESS+0xE8是为了兼容所有系统,而且通过搜寻特征的方法可以躲避各种检测。2.将其转换为大写匹配是否是目标程序,如果是则通过寻找目标EPROCESS结构体的。1.首先通过遍历所有的PID,使用。函数得到目标进程的全路径名称。
驱动开发:内核物理内存寻址读写
CSDN
06-26 5677
在某些时候我们需要读写的进程可能存在虚拟内存保护机制,在该机制下用户的`CR3`以及`MDL`读写将直接失效,从而导致无法读取到正确的数据,本章我们将继续研究如何实现物理级别的寻址读写。首先,驱动中的物理页读写是指在驱动中直接读写物理内存页(而不是虚拟内存页)。这种方式的优点是它能够更快地访问内存,因为它避免了虚拟内存管理的开销,通过直接读写物理内存,驱动程序可以绕过虚拟内存的保护机制,获得对系统中内存的更高级别的访问权限。
驱动开发:内核监控进程与线程回调
CSDN
10-23 7087
系统中监控进程与线程可以使用微软提供给我们的两个新函数来实现,此类函数的原理是创建一个回调事件,当有进程或线程被创建或者注销时,系统会通过回调机制将该进程相关信息优先返回给我们自己的函数待处理结束后再转向系统层。那么会提示连接的设备没有发挥作用,我们则成功拦截了这次打开,当然如果在打开进程之前扫描其特征并根据特征拒绝进程打开,那么就可以实现一个简单的防病毒程序,进程监控在防病毒程序中也是用的最多的。如上,该函数只有两个参数,第一个参数是回调函数,第二个参数是是否注销,通常在驱动退出时可以传入。
windbg常用命令
lygl35的博客
12-23 970
1、!process 0 0 (查看所有进程) 2、dt _EPROCESS 8710da00 (查看当前进程的结构体) 2、dt _HANDLE_TABLE 0x8d7fc818 (查看内核对象句柄表) 3、dd 0x98609000 (当前进程句柄表,一个句柄对象是8个字节)内核对象句柄/4=内核句柄地址在句柄表的索引 ...
EPROCESS 结构
swanabin的专栏
07-05 1万+
每个进程都有一个 EPROCESS 结构,里面保存着进程的各种信息,和相关结构的指针。EPROCESS 结构位于系统地址空间,所以访问这个结构需要有ring0的权限。使用 Win2k DDK 的 KD (内核调试器)我们可以得到 EPROCESS 结构的定义。注意下面的是 Win2k Build 2195 下的 EPROCESS 结构定义。 kd> !strct eprocess !s
前端打开下载文件的URL时在headers中添加信息并保证文件名正确
snnu_robiny的博客
11-30 2334
遇到了这样一个需求,后端要求所有访问接口的request的headers里都要多一个Authorization认证字段,包括download接口也要做这样一个访问认证机制,这就带来了一个问题,传统window.open(url)可以在url里加参数,但是不能在头里加信息。我在某爆栈上找到了一种解决方法: const viewFile = async (url) => { // Change this to use your HTTP client fetch(url, {headers:{
header函数的综合详细汇总解析
weixin_34344677的博客
03-22 1211
2019独角兽企业重金招聘Python工程师标准>>> ...
iframe或者window.open()添加请求头方法
热门推荐
dmlcq的博客
09-22 2万+
首先我们要明白iframe是不能添加请求头的,这里我们能做的就是改造iframe里的src指向页面,通过异步请求,添加请求头,拿到html数据,再反写进iframe 例如: 在当前vue页面修改iframe <iframe src="./query.html" style="width: 100%;height: 450px;" frameborder="0"> </iframe> init(){ this.$htt...
windows内核情景分析---设备驱动
maomao171314的专栏
04-04 1790
设备驱动 设备栈:从上层到下层的顺序依次是:过滤设备、类设备、过滤设备、小端口设备【过、类、过滤、小端口】 驱动栈:因设备堆栈原因而建立起来的一种堆栈  老式驱动:指不提供AddDevice的驱动,又叫NT式驱动 Wdm驱动:指提供了AddDevice的驱动 驱动初始化:指IO管理器加载驱动后,调用驱动的DriverEntry、AddDevice函数 设备栈中上层设备与下层设备的绑定关
C++中Semaphore内核对象用法实例
09-04
主要介绍了C++中Semaphore内核对象用法实例,有助于深入了解信号量(Semaphore)的基本用法,需要的朋友可以参考下
11. 等待多个内核对象.zip
01-17
freertos 例程源码
线程与内核对象的同步.pdf
11-05
上一章介绍了如何使用允许线程保留在用户方式中的机制来实现线程同步的方法。用户方 式同步的优点是它的同步速度非常快。如果强调线程的运行速度,那么首先应该确定用户方式 的线程同步机制是否适合需要。
易语言枚举内核对象句柄
07-22
易语言枚举内核对象句柄源码,枚举内核对象句柄,枚举系统句柄,CloseRemoteHandle,结束内核对象句柄,测试线程,CompareFunc3,RtlMoveMemory1,CopyMemory_SYSTEM_PROCESSES,ZwQueryInformationProcess,...
易语言源码易语言枚举内核对象句柄源码.rar
03-31
易语言源码易语言枚举内核对象句柄源码.rar
MFC两个线程中用事件内核对象通信
03-22
MFC两个线程中用事件内核对象通信,VS2013编写的简单的实例。win10 64位电脑上使用过。创建了两个线程,创建了一个事件内核对象,里面用到了WaitForSingleObject函数。
线程和内核对象的同步
05-06
线程和内核对象的同步,详细的讲解了4种内核对象的同步过程,以及他们之间的差别
C++内核对象封装单实例启动程序的类
09-04
主要介绍了利用C++内核对象封装的类,程序只能运行单个实例,可防止多次启动,大家参考使用吧
windows内核对象
最新发布
08-31
Windows内核对象是系统提供给用户模式下代码与内核模式下代码进行交互的基本接口。它们是一种管理资源的机制,用于在操作系统内部进行进程间通信、同步线程、共享数据等操作。 Windows内核对象可以通过使用Process ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值