PspCidTable攻与防

最新推荐文章于 2022-10-16 16:06:03 发布
最新推荐文章于 2022-10-16 16:06:03 发布
阅读量1k 收藏
点赞数

PspCidTable的攻与防,其实就是进程隐藏与检测所涉及到的一部分工作~~
不管基于PspCidTable的进线程检测,还是抹PspCidTable进行进程对象的隐藏,都涉及到对PspCidTable的遍历.
所以如何安全正确地遍历PspCidTable才是该技术的关键
一、获取PspCidTable的地址
常用的方法是从前面提到的三个查询PspCidTable的函数中特征搜索.
PsLookupProcessThreadByCid()
PsLookupProcessByProcessId()
PsLookupThreadByThreadId()
比如PsLookupProcessByProcessId()中:

复制代码
lkd> u
nt!PsLookupProcessByProcessId+0x12:
8057ce2f ff8ed4000000 dec dword ptr [esi+0D4h]
8057ce35 ff35e0955680 push dword ptr [nt!PspCidTable (805695e0)] //就是这儿了
8057ce3b e89b1dffff call nt!ExMapHandleToPointer (8056ebdb)
8057ce40 8bd8 mov ebx,eax
复制代码
这个方法没什么好说的,匹配就是了~

另一种方法是从KPCR中取,我比较喜欢这种方法:

复制代码
lkd> dt _KPCR ffdff000
nt!_KPCR
+0x000 NtTib : _NT_TIB

+0x034 KdVersionBlock : 0x80555038
lkd> dd 0x80555038
80555038 0a28000f 00020006 030c014c 0000002d
80555048 804e0000 ffffffff 80563420 ffffffff //这里分别是KernelBase和PsLoadedModuleList

805550a8 80563420 00000000 805694d8 00000000 //这里是PsLoadedModuleList和PsActiveProcessHead
805550b8 805695e0 00000000 8056ba08 00000000 //这里是PspCidTable和ExpSystemResourcesList
复制代码
代码如下:

复制代码
PHANDLE_TABLE PspCidTable;
_asm
{
mov eax,fs:[0x34]
mov eax,[eax+0x80]
mov eax,[eax]
mov PspCidTable,eax
}
DbgPrint(“PspCidTable=0x%08X\n”,PspCidTable);
复制代码
二、如何遍历PspCidTable

第一种方法是使用导出的ExEnumHandleTable,优点是该函数导出了,用起来安全快捷
可能的缺点也是因为被导出了,所以比较容易被XX再XXX,不是足够可靠~
函数原型如下:

复制代码
NTKERNELAPI
BOOLEAN
ExEnumHandleTable (
PHANDLE_TABLE HandleTable,
EX_ENUMERATE_HANDLE_ROUTINE EnumHandleProcedure,
PVOID EnumParameter,
PHANDLE Handle
);
typedef BOOLEAN (*EX_ENUMERATE_HANDLE_ROUTINE)(
IN PHANDLE_TABLE_ENTRY HandleTableEntry,
IN HANDLE Handle,
IN PVOID EnumParameter
);
复制代码
我们只要自己实现EnumHandleProcedure就可以了,传递给我们的参数有HANDLE_TABEL_ENTRY的指针和对应的句柄.

HandleTableEntry->Object就拿到对象了,接下来嘛,该干啥干啥~

复制代码
BOOLEAN MyEnumerateHandleRoutine(
IN PHANDLE_TABLE_ENTRY HandleTableEntry,
IN HANDLE Handle,
IN PVOID EnumParameter
)
{
BOOLEAN Result=FALSE;
ULONG ProcessObject;
ULONG ObjectType;
ProcessObject=(HandleTableEntry->Value)&~7; //掩去低三位

 ObjectType=*(ULONG*)(ProcessObject-0x10);//取对象类型
if (ObjectType==(ULONG)PsProcessType)//判断是否为Process
 {
     (*(ULONG*)EnumParameter)++;
    //注意PID其实就是Handle,而不是从EPROCESS中取,可以对付伪pid
     DbgPrint("PID=%4d\t EPROCESS=0x%08X %s\n",Handle,ProcessObject,PsGetProcessImageFileName((PEPROCESS)ProcessObject));
 }
return Result;//返回FALSE继续

}
复制代码
然后这样调用:

ExEnumHandleTable(PspCidTable,MyEnumerateHandleRoutine,NULL,&hLastHandle);
好了,打开DebugView看结果吧,还不错~~

第二种方法就是自己遍历PspCidTable了,结构嘛前面已经清楚了,和普通句柄表结构一样,不难下手.
自己实现一个山寨的MyEnumHandleTable了,接口和ExEnumHandleTable一样~~

复制代码
#define MAX_ENTRY_COUNT (0x1000/8) //一级表中的HANDLE_TABLE_ENTRY个数
#define MAX_ADDR_COUNT (0x1000/4) //二级表和三级表中的地址个数
BOOLEAN
MyEnumHandleTable (
PHANDLE_TABLE HandleTable,
MY_ENUMERATE_HANDLE_ROUTINE EnumHandleProcedure,
PVOID EnumParameter,
PHANDLE Handle
)
{
ULONG i,j,k;
ULONG_PTR CapturedTable;
ULONG TableLevel;
PHANDLE_TABLE_ENTRY TableLevel1,*TableLevel2,**TableLevel3;
BOOLEAN CallBackRetned=FALSE;
BOOLEAN ResultValue=FALSE;
ULONG MaxHandle;
//判断几个参数是否有效
if (!HandleTable
&& !EnumHandleProcedure
&& !MmIsAddressValid(Handle))
{
return ResultValue;
}
//取表基址和表的级数
CapturedTable=(HandleTable->TableCode)&~3;
TableLevel=(HandleTable->TableCode)&3;
MaxHandle=HandleTable->NextHandleNeedingPool;
DbgPrint(“句柄上限值为0x%X\n”,MaxHandle);
//判断表的等级
switch(TableLevel)
{
case 0:
{
//一级表
TableLevel1=(PHANDLE_TABLE_ENTRY)CapturedTable;
DbgPrint(“解析一级表0x%08x…\n”,TableLevel1);
for (i=0;i<MAX_ENTRY_COUNT;i++)
{
Handle=(HANDLE)(i4);
if (TableLevel1[i].Object && MmIsAddressValid(TableLevel1[i].Object))
{
//对象有效时,再调用回调函数
CallBackRetned=EnumHandleProcedure(&TableLevel1[i],*Handle,EnumParameter);
if (CallBackRetned) break;
}
}//end of for i
ResultValue=TRUE;

}
break;
case 1:
{
//二级表
TableLevel2=(PHANDLE_TABLE_ENTRY*)CapturedTable;
DbgPrint(“解析二级表0x%08x…\n”,TableLevel2);
DbgPrint(“二级表的个数:%d\n”,MaxHandle/(MAX_ENTRY_COUNT4));
for (j=0;j<MaxHandle/(MAX_ENTRY_COUNT4);j++)
{
TableLevel1=TableLevel2[j];
if (!TableLevel1)
break; //为零则跳出
for (i=0;i<MAX_ENTRY_COUNT;i++)
{
Handle=(HANDLE)(jMAX_ENTRY_COUNT4+i4);
if (TableLevel1[i].Object && MmIsAddressValid(TableLevel1[i].Object))
{
//对象有效时,再调用回调函数
CallBackRetned=EnumHandleProcedure(&TableLevel1[i],Handle,EnumParameter);
if (CallBackRetned) break;
//DbgPrint(“Handle=%d\tObject=0x%08X\n”,Handle,(TableLevel1[i].Value)&~3);
}
}//end of for i
}//end of for j
ResultValue=TRUE;
}
break;
case 2:
{
//三级表
TableLevel3=(PHANDLE_TABLE_ENTRY*)CapturedTable;
DbgPrint(“解析三级表0x%08x…\n”,TableLevel3);
DbgPrint(“三级表的个数:%d\n”,MaxHandle/(MAX_ENTRY_COUNT4MAX_ADDR_COUNT));
for (k=0;k<MaxHandle/(MAX_ENTRY_COUNT4MAX_ADDR_COUNT);k++)
{
TableLevel2=TableLevel3[k];
if (!TableLevel2)
break; //为零则跳出
for (j=0;j<MaxHandle/(MAX_ENTRY_COUNT4);j++)
{
TableLevel1=TableLevel2[j];
if (!TableLevel1)
break; //为零则跳出
for (i=0;i<MAX_ENTRY_COUNT;i++)
{
Handle=(HANDLE)(kMAX_ENTRY_COUNTMAX_ADDR_COUNT+jMAX_ENTRY_COUNT+i4);
if (TableLevel1[i].Object && MmIsAddressValid(TableLevel1[i].Object))
{
//对象有效时,再调用回调函数
CallBackRetned=EnumHandleProcedure(&TableLevel1[i],*Handle,EnumParameter);
if (CallBackRetned) break;
//DbgPrint(“Handle=%d\tObject=0x%08X\n”,Handle,(TableLevel1[i].Value)&~3);
}
}//end of for i
}//end of for j
}//end of for k
ResultValue=TRUE;
}
break;
default:
{
DbgPrint(“Shoud NOT get here!\n”);
}
break;
}//end of switch
return ResultValue;
}
复制代码
在回调函数中,我们可以根据情况作出具体处理.若是检测进程,就像我写的那样,检查一下对象类型是Process的就记录之~

若是抹PspCidTable,则将相应的Object清零,并设置到FirstFree,达到这个Handle就像真的被Destroy了一样的效果~
Futo_enhanced的驱动中是这样写的(稍稍改动了一下,假设是在抹掉一个EPROCESS):
p_tableEntry[a].Object = 0;
p_tableEntry[a].GrantedAccess = PspCidTable->FirstFree;
PspCidTable->FirstFree = pid ;
这里涉及到句柄的分配算法了.这样,基于PspCidTable的进程检测就歇菜了.但是上一篇的分析提到了,进线程退出时会调用ExDestroyHandle()销毁句柄,若找不到就会蓝屏.因此,必须在被保护的目标进程及其线程退出前的某个时候把抹掉的进线程对象再放回去.结束线程其实就是给线程插APC执行PspExitThread(),而PspExitThread()会调用PspCreateThreadNotifyRoutine,因此在这个回调中把线程对象放回去是合适的.同法,进程在退出时调用的PspExitProcess()也会执行PspCreateProcessNotifyRoutine,此时再把进程对象放回去.这里我想如不设置FirstFree为我们抹掉的句柄项,这个被我们抹掉的HANDLE_TABLE_ETNRY项会被保留吗?
另外也可以来个ObjectHook,Fuck掉PsProcessType->TypeInfo->DeleteProcedure和PsThreadType->TypeInfo->DeleteProcedure然后是隐藏掉的进程就照顾一下~~~
下面是PsProcessType的部分内容:
+0x02c DumpProcedure : (null)
+0x030 OpenProcedure : (null)
+0x034 CloseProcedure : (null)
+0x038 DeleteProcedure : 0x805d2cdc void nt!PspProcessDelete+0
+0x03c ParseProcedure : (null)
+0x040 SecurityProcedure : 0x805f9150 long nt!SeDefaultObjectMethod+0
+0x044 QueryNameProcedure : (null)
+0x048 OkayToCloseProcedure : (null)
总之,只要在PspCidTable中找到空位把目标进程的EPROCESS和ETHREAD再放回去,并且其索引与EPROCESS->UniqueProcessId和ETHREAD->Cid.UniqueThread保持一致就可以了.抽点时间写个隐藏进程的Demo练习下~~

xlaomlng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
在Win7 x64通过PspCidTable枚举进程
qq269813279的博客
06-13 2073
PspCidTable存放着一个结构为_HANDLE_TABLE的指针,_HANDLE_TABLE结构记录句柄表的相关信息,句柄表存放着所有进程和线程的对象,其索引就是PID和TID,在WinDbg看一下相关的结构。我们遍历进程对象需要关注两个成员,第一个是TableCode,第二个是NextHandleNeedingPool。TableCode:该成员记录表级和表地址,低2位记录着表的级数,掩掉...
x64驱动 遍历 PspCidTable 枚举隐进程和线程
墨鱼菜鸡
06-05 332
介绍 PspCidTable 是一个内核句柄表,存放进程和线程的内核对象(EPROCESS 和 ETHREAD),并通过 PID 和 TID 进行索引(所以进程ID和线程ID不可能相同),ID 号以 4 递增。 获取 ...
pspCidTAble完全解读
06-17
完全分析了句柄,句柄表和pspCidTAble,并有windbg实验验证
【旧文章搬运】PspCidTable攻与防
weixin_30455067的博客
12-26 257
原文发表于百度空间,2009-03-29========================================================================== PspCidTable攻与防,其实就是进程隐藏与检测所涉及到的一部分工作~~不管基于PspCidTable的进线程检测,还是抹PspCidTable进行进程对象的隐藏,都涉及到对PspCidTable的遍历...
PspCidTable综合概述
weixin_34390996的博客
06-24 220
PspCidTable概述 2009-03-28 11:27 PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每 个进程私有的句柄表有以下不同: 1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID 2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有...
pspCidTable
Mr.Out的专栏
10-14 1156
<br /><br />一.                        pspCidTable概念及内核调试<br />-----------------------------------------------------<br /><br />pspCidTable是内核未导出的HANDLE_TALBE结构,它保存着所有进程和线程对象的指针。<br />只要能遍历这个PspCidTable句柄表,就可以遍历到系统的所有进程,包括所有隐藏进程,除非你抹掉pspCidTable...<br /><br
PspCidTable概述
yaneng的专栏
06-18 1350
PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每个进程私有的句柄表有以下不同:1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HEADER)3.PspCidTable是一个独立的句柄表,而每
cid.zip_pspcidtable_进程_驱动
09-21
标题中的"cid.zip_pspcidtable_进程_驱动"表明这是一个关于Windows系统内核编程的项目,主要涉及了PspCidTable、进程管理和驱动程序的使用。PspCidTable是Windows操作系统内部用于存储进程控制信息的数据结构,而...
一种基于PspCidTable的进程检测方法
02-26
PspCidTablePSP操作系统中用于管理进程的关键组件,它存储了每个进程的CID(Connection Identifier)和与之相关的状态信息。CID是一个特定于PSP的标识,它类似于PID,但更加强调了进程间的通信和连接。通过...
pspcidtable
yaneng的专栏
06-18 1235
第8个男人" 的code里面就做的很好,找到PspCidTable后自己搜索所有的进程对象就行了://----------------------------------------------------------------------VOID IsValidProcess ()/*++Author : 第8个男人Leaner : sudami [xiao_rui_119@163.com]T
关于PspCidTable
zfdyq
10-20 919
PspCidTable为一个全局变量,其格式与普通的句柄表是完全一样的. 但它与每个进程私有的句柄表有以下不同:  1.PspCidTable中存放的对象是系统中所有的进线程对象指针,其索引就是PID和CID  2.PspCidTable中存放是对象体(指向EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HEADER)  3.PspCidTable
【旧文章搬运】PspCidTable概述
weixin_30824277的博客
12-26 141
原文发表于百度空间,2009-03-28========================================================================== PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每个进程私有的句柄表有以下不同:1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID2.Psp...
PspCidTable 完全解读
weixin_34216036的博客
12-07 219
PspCidTable 完全解读 by sysdog 2009.5.1 Whu ------------------------------------------------------------------------------- 一、句柄 句柄:HADNLE 在winnt.h 定义如下: typedef void *HANDLE; 是一个 3...
26.全局句柄表PspCidTable
qq_35129925的博客
07-22 883
https://www.cnblogs.com/kuangke/p/5761615.html
pspcidtable杂谈
yaneng的专栏
06-18 1612
今天再次看了gz1X牛的文章,回忆了许多知识. 哈哈. 玩了很长时间游戏,写点儿文字算是对自责的一种安慰 要说R0枚举隐藏进程, 只是对没有抹掉PspCidTable而言的.gz1X牛提示了2种方法:Quote::1. 利用未导出的ExEnumHandleTable函数2. 获取PHANDLE_TABLE_ENTRY等,然后PsLookupProcessByProcessId 偶觉得都
(Win7) PspCidTable遍历进程句柄表,枚举进程
h2995527的博客
04-10 542
搞了一阵子的PHP,今天又来继续自己的C++了,翻阅了一下自己之前写的代码和说明,自己也有点儿稀里糊涂了,于是又仔细的从头研究了一下,遂写此文以记之,文中有不当的地方欢迎大家拍砖. 先说一下句柄表是什么 在windows内核中定义了很多内核对象,像文件对象,线程对象,信号量对象啊等等;而Windows中并没有让我们直接去使用这些对象资源,而是通过句柄让我们去引用这些资源,句柄表就相当于资源的数组,而句柄就是对应资源的索引,每个进程内部都有一个自己的私有句柄表,这也就是说句柄是不能跨进程使用的。 PspCi
枚举进程——PspCidTable zz
摸爬滚打
05-05 1017
http://blog.csdn.net/strongxu/article/details/4959757 看Windows内核情景分析的时候看到讲PspCidTable中会保存每个进程和线程的CID,就在想可以通过这个表来获取到每个进程的PID及相关信息,然后网上一搜,已经有N多人通过这种方法来获取进程列表了,Iceword也是有这种方法来枚举进程的。Anyway,还是自己实现一遍吧。
原创】PspCidTable杂谈
cn_jevons的专栏
02-17 929
标 题: 【原创】PspCidTable杂谈作 者: sudami时 间: 2008-02-15,21:31链 接: http://bbs.pediy.com/showthread.php?t=59680今天再次看了gz1X牛的文章,回忆了许多知识. 哈哈. 玩了很长时间游戏,写点儿文字算是对自责的一种安慰 要
iOS安全攻与防(总篇)
tianjifou的博客
09-13 6507
iOS安全攻与防 本地数据攻与防 https Uiwebview 第三方sdk与xcode 反编译与代码混淆 越狱与反调试 扫描工具fortify 常见接口漏洞分析
驱动开发:内核枚举PspCidTable句柄表
最新发布
CSDN
10-16 1万+
在上一篇文章中我们通过枚举特征码的方式找到了DPC定时器基址并输出了内核中存在的定时器列表,本章将学习如何通过特征码定位的方式寻找Windows 10系统下面的内核句柄表地址。首先引入一段基础概念;windowsPspCidTable 就是这样的一种表(内核句柄表),表的内部存放的是进程EPROCESS和线程ETHREAD的内核对象,并通过进程PID和线程TID进行索引,ID号以4递增,内核句柄表不属于任何进程,也不连接在系统的句柄表上,通过它可以返回系统的任何对象。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值