句柄表和pspcidtable

最新推荐文章于 2024-01-30 15:30:48 发布
最新推荐文章于 2024-01-30 15:30:48 发布
阅读量840 收藏 3
点赞数
文章标签: table struct object blog list api

首先要先BS一下自己.一直以为进程的句柄表和PspCidTable是一样的.结果因为概念上的理解错误导致偶浪费了不少时间.多亏好心的FC的耐心指导算是明白一些.
总结一下FC教偶的: PspCidTable与进程句柄表没有直接关系.它只是借用了句柄表的结构.它里面存的内容是 eprocess 或者 ethread 的地址.

提供一些参考资源:
http://hi.baidu.com/gz1x/blog/item/d99aeefa4d1c92ddb48f31b9.html
http://www.rootkit.com/vault/petersilberman/FUTo_enhanced.zip

另外教主大虾在blog上说了下一篇他就会讲PspCidTable 大家记得去看哦.
偶对了提供几个结构声明和定义希望能给将要学习句柄表的童鞋带来帮助


#define WORD USHORT
typedef struct _EX_PUSH_LOCK
{
     union
     {
          ULONG Locked: 1;
          ULONG Waiting: 1;
          ULONG Waking: 1;
          ULONG MultipleShared: 1;
          ULONG Shared: 28;
          ULONG Value;
          PVOID Ptr;
     };
} EX_PUSH_LOCK, *PEX_PUSH_LOCK;

typedef struct _HANDLE_TRACE_DB_ENTRY
{
     CLIENT_ID ClientId;
     PVOID Handle;
     ULONG Type;
     VOID * StackTrace[16];
} HANDLE_TRACE_DB_ENTRY, *PHANDLE_TRACE_DB_ENTRY;


typedef struct _HANDLE_TABLE_ENTRY_INFO
{
     ULONG AuditMask;
} HANDLE_TABLE_ENTRY_INFO, *PHANDLE_TABLE_ENTRY_INFO;

typedef struct _HANDLE_TABLE_ENTRY
{
     union
     {
          PVOID Object;
          ULONG ObAttributes;
          PHANDLE_TABLE_ENTRY_INFO InfoTable;
          ULONG Value;
     };
     union
     {
          ULONG GrantedAccess;
          struct
          {
               WORD GrantedAccessIndex;
               WORD CreatorBackTraceIndex;
          };
          LONG NextFreeTableEntry;
     };
} HANDLE_TABLE_ENTRY, *PHANDLE_TABLE_ENTRY;


typedef struct _HANDLE_TRACE_DEBUG_INFO
{
     LONG RefCount;
     ULONG TableSize;
     ULONG BitMaskFlags;
     FAST_MUTEX CloseCompactionLock;
     ULONG CurrentStackIndex;
     HANDLE_TRACE_DB_ENTRY TraceDb[1];
} HANDLE_TRACE_DEBUG_INFO, *PHANDLE_TRACE_DEBUG_INFO;


typedef struct _HANDLE_TABLE
{
     ULONG   TableCode;
     PEPROCESS QuotaProcess;
     PVOID UniqueProcessId;
     EX_PUSH_LOCK HandleLock;
     LIST_ENTRY HandleTableList;
     EX_PUSH_LOCK HandleContentionEvent;
     PHANDLE_TRACE_DEBUG_INFO DebugInfo;
     LONG ExtraInfoPages;
     ULONG Flags;
     ULONG StrictFIFO: 1;
     LONG FirstFreeHandle;
     PHANDLE_TABLE_ENTRY LastFreeHandleEntry;
     LONG HandleCount;
     ULONG NextHandleNeedingPool;
} HANDLE_TABLE, *PHANDLE_TABLE;

有个枚举句柄表的API:
extern
NTKERNELAPI
BOOLEAN


ExEnumHandleTable (
    __in PHANDLE_TABLE                      HandleTable,
    __in EX_ENUMERATE_HANDLE_ROUTINE     EnumHandleProcedure,//回调函数返回FALSE表示继续枚举
    __in PVOID     EnumParameter,
    __out_opt PHANDLE Handle
     );

回调函数的原形:
typedef BOOLEAN (__stdcall*EX_ENUMERATE_HANDLE_ROUTINE)(PHANDLE_TABLE_ENTRY arg1,ULONG arg2,PVOID arg3 );

yaneng
关注
枚举内核句柄(Windows内核学习笔记)
KOOKNUT的博客
04-14 895
前面我写过有关内核句柄的一些知识,今天来在这里跟大家分享一下我自己写的内核枚举进程句柄方法。 #include"EnumProcessHandleTable.h" #ifdef _WIN64 #define _HANDLE_TABLE_ 0x200 //硬偏移Win7x64下的HANDLE_TABLE字段在EPROCESS下的偏移 #define _OFFSET_ ...
x64通过PspCidTable遍历进程
zhuhuibeishadiao
06-05 2863
PspCidTable可以在PsLookupProcessByProcessId下寻找 我这硬编码了 只适用于win7 x64 其它版本需要自己改下特征码 #include extern "C" NTKERNELAPI PVOID NTAPI ObGetObjectType( IN PVOID pObject ); extern "C" N
PspCidTable概述
yaneng的专栏
06-18 1352
PspCidTable也是一个句柄,其格式与普通的句柄是完全一样的.但它与每个进程私有的句柄有以下不同:1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有的句柄则存放的是对象头(OBJECT_HEADER)3.PspCidTable是一个独立的句柄,而每
源码剖析——深入Windows句柄本质
J~的博客
11-16 690
参考资料: 1. http://www.codeforge.cn/read/146318/WinDef.h__html windef.h头文件 2. http://www.codeforge.cn/read/146318/WinNT.h__html winnt.h头文件 3. https://msdn.microsoft.com/en-us/library/windows/desktop...
PspCidTable攻与防
wowbell的专栏
03-17 1232
转自:http://hi.baidu.com/_achillis/blog/item/2bb59619d8019cbc4bedbc56.htmlPspCidTable的攻与防,其实就是进程隐藏与检测所涉及到的一部分工作~~ 不管基于PspCidTable的进线程检测,还是抹PspCidTable进行进程对象的隐藏,都涉及到对PspCidTable的遍历. 所以如何安全正确地遍历PspCidTable才是该技术的关键 一、获取PspCidTable的地址 常用的方法是从前面提到的三个查询PspCidT
原创】PspCidTable杂谈
cn_jevons的专栏
02-17 930
标 题: 【原创】PspCidTable杂谈作 者: sudami时 间: 2008-02-15,21:31链 接: http://bbs.pediy.com/showthread.php?t=59680今天再次看了gz1X牛的文章,回忆了许多知识. 哈哈. 玩了很长时间游戏,写点儿文字算是对自责的一种安慰 要
枚举进程——PspCidTable zz
摸爬滚打
05-05 1017
http://blog.csdn.net/strongxu/article/details/4959757 看Windows内核情景分析的时候看到讲PspCidTable中会保存每个进程和线程的CID,就在想可以通过这个来获取到每个进程的PID及相关信息,然后网上一搜,已经有N多人通过这种方法来获取进程列了,Iceword也是有这种方法来枚举进程的。Anyway,还是自己实现一遍吧。
PspCidTable句柄辅助检测隐藏进程
chinghoi's blog
06-26 2061
一、获取PspCidTable的地址 1.特征码搜索以下几个函数之一提取Call PspCidTable地址: PsLookupProcessByProcessId() PsLookupProcessThreadByCid() PsLookupThreadByThreadId() 0: kd> u PsLookupProcessByProcessId l 20 nt!PsLoo
句柄及全局句柄
Harlan的博客
09-01 3358
句柄结构   1.这一块共计两个字节,低字节保留为0,高位字节是给SetHandleInformation这个函数用的,比如写成SetHandleInformation(Handle,HANDLE_FLAG_PROTECT_FROM_CLOSE,HANDLE_FLAG_PROTECT_FROM_CLOSE),那么这个位置将被写入0x02; HANDLE_FLAG_PROTECT_FRO...
2.全局句柄
My classmates
10-28 569
所有的进程和线程无论无论是否打开,都在这个中。 每个进程和线程都有一个唯一的编号: PID和CID 这两个值其实就是全局句柄中的索引。 进程和线程的查询,主要是以下三个函数,按照给定的PID或CIDPspCidTable从查找相应的进线程对象: PsLookupProcessThreadByCid() PsLookupProcessByProcessld() PsLookupThread...
PspCidTable进程枚举
rongwenbin的专栏
02-25 1470
-------------------------------------这是分割线--------------------------------------- Windows句柄格式 句柄是Windows对象管理中引入的一个东西,它的实际意义是对象在句柄中的索引。Windows2000使用的是固定的三层句柄,而WindowsXP和Windows2003都是使用的动态可扩展的
深入理解句柄
rongwenbin的专栏
02-26 3608
设计到句柄的有以下这些概念 HANDLE_TABLE HANDLE_TABLE结构体中的TableCode变量 实际上啊,TableCode是指向句柄项第一个句柄项的指针(NULL句柄项) TableCode就是HANDLE_TABLE_ENTRY的指针 但是,当有两级以上时,这个时候就不是了,先来搞定最简单的。 HANDLE_TABLE_ENTRY:句柄项 对象头_OB
用户句柄的遍历
Mikasys的博客
10-20 606
私有句柄 _HANDLE_TABLE_ENTRY的Object直接指向_OBJECT_HEADER不用减 #include <ntifs.h> //一个页最大容纳的_HANDLE_TABLE_ENTRY #define MAX_ENTRY_COUNT (0x1000/sizeof(HANDLE_TABLE_ENTRY)) //未公开未文档化 typedef PVOID(NTAPI *OBGETOBJECTTYPE)(IN PVOID pObject); EXTERN_C NTKERNE
HANDLE-->HANDLE_TABLE_ENTRY
SUNE__学无止境
12-16 786
0
Windows11_22H2下的句柄句柄分析
最新发布
lkylky123789的博客
01-30 1502
Windows系统句柄句柄分析
Windows进程中的句柄
maomao171314的专栏
12-12 687
1 Windows进程中的句柄 句柄是一个对象引用,同一个对象在不同的环境下可能有不同的引用(句柄)值。句柄仅在一个进程范围内有效。 HANDLE_TABLE 结构的定义: typedef struct _HANDLE_TABLE { ULONG_PTR TableCode;//指向句柄的存储结构 struct _EPROCESS *QuotaProcess;//句柄的内存资源记录在此进程中 HANDLE UniqueProcessId;//创建进程的ID,用于回...
SYSTEM_HANDLE_TABLE_ENTRY_INFO
weixin_30500473的博客
06-11 557
typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO { USHORT UniqueProcessId; USHORT CreatorBackTraceIndex; UCHAR ObjectTypeIndex; UCHAR HandleAttributes; USHORT HandleValue; PVOID Object...
2
zapline的专栏
08-01 808
PspCidTable深度解析:句柄与内核对象详解
这个格可能是系统中用于快速定位和操作对象的一种内部机制,类似于Windows的句柄,但具体实现可能更加复杂,因为PSP的内存管理和内核架构不同于传统的桌面操作系统。 PSP CidTable是深入了解PSP系统底层工作的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值