PspCidTable概述

最新推荐文章于 2023-12-01 15:24:44 发布
最新推荐文章于 2023-12-01 15:24:44 发布
阅读量1.3k 收藏
点赞数
文章标签: null resources thread object header
PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每个进程私有的句柄表有以下不同:
1. PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID
2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HEADER)
3.PspCidTable是一个独立的句柄表,而每个进程私有的句柄表以一个双链连接起来.pspcidtable和进程中的句柄表没有联系在一起。
注意访问对象时要掩掉低三位,每个进程私有的句柄表是双链连接起来的,实际上ZwQuerySystemInformation枚举系统句柄时就是走的这条双链,隐藏进程的话,这条链也是要断掉的~~
PspCidTable相关的调用:
1.系统初始化时调用PspInitPhase0()初始化进程管理子系统,此时创建PspCidTable
  1. PspCidTable = ExCreateHandleTable (NULL);  //创建!
  2.     if (PspCidTable == NULL) {
  3.         return FALSE;
  4.      }
  5.     //
  6.     // Set PID and TID reuse to strict FIFO. This isn't absolutely needed but
  7.     // it makes tracking audits easier.
  8.     //
  9.      ExSetHandleTableStrictFIFO (PspCidTable);
  10.      ExRemoveHandleTable (PspCidTable);  //使得PspCidTable独立于其它句柄表 独立很重要

2.进程创建时,PspCreateProcess()在PspCidTable中以进程对象创建句柄,是为PID
//

    // Create the process ID

  1.     //
  2.      CidEntry.Object = Process;
  3.      CidEntry.GrantedAccess = 0;
  4.      Process->UniqueProcessId = ExCreateHandle (PspCidTable, &CidEntry);  //进程的PID是这么来的
  5.     if (Process->UniqueProcessId == NULL) {
  6.          Status = STATUS_INSUFFICIENT_RESOURCES;
  7.         goto exit_and_deref;
  8.      }

3.线程创建时,PspCreateThread()在PspCidTable中以线程对象创建句柄,是为TID

  1.      Thread->ThreadsProcess = Process;
  2.      Thread->Cid.UniqueProcess = Process->UniqueProcessId;
  3.      CidEntry.Object = Thread;
  4.      CidEntry.GrantedAccess = 0;
  5.      Thread->Cid.UniqueThread = ExCreateHandle (PspCidTable, &CidEntry); //线程的TID
  6.     if (Thread->Cid.UniqueThread == NULL) {
  7.          ObDereferenceObject (Thread);
  8.         return (STATUS_INSUFFICIENT_RESOURCES);
  9.      }


这儿可以清楚地知道:PID和TID分别是EPROCESS和ETHREAD对象在PspCidTable这个句柄表中的索引


4.进程和线程的查询,主要是以下三个函数,按照给定的PID或TID从PspCidTable从查找相应的进线程对象


PsLookupProcessThreadByCid()
PsLookupProcessByProcessId()
PsLookupThreadByThreadId()
其中有如下调用:
CidEntry = ExMapHandleToPointer(PspCidTable, ProcessId);
CidEntry = ExMapHandleToPointer(PspCidTable, ThreadId);

ExMapHandleToPointer内部仍然是调用ExpLookupHandleTableEntry()根据指定的句柄查找相应的HANDLE_TABEL_ENTRY,
从而获取Object
5. 线程退出时,PspThreadDelete()在PspCidTable中销毁句柄
  1. if (Thread->Cid.UniqueThread != NULL) {
  2.         if (!ExDestroyHandle (PspCidTable, Thread->Cid.UniqueThread, NULL)) {
  3.              KeBugCheck(CID_HANDLE_DELETION);
  4.          }
  5.      }


6.进程退出时,PspProcessDelete()在PspCidTable中销毁句柄

  1. if (Process->UniqueProcessId) {
  2.         if (!(ExDestroyHandle (PspCidTable, Process->UniqueProcessId, NULL))) {
  3.              KeBugCheck (CID_HANDLE_DELETION);
  4.          }
  5.      }


这里要注意,如果进线程退出时,销毁句柄却发现句柄不存在造成ExDestroyHandle返回失败,可是要蓝屏滴~
所以抹了PspCidTable来隐藏的进程,在退出时必须把进线程对象再放回去,欲知后事如何,请看下回分解~~

yaneng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一种Object hook的思路和实现过程
09-11 2579
 作 者: sudami时 间: 2008-08-08,20:34链 接: http://bbs.pediy.com/showthread.php?t=70329 作者:sudami [sudami@163.com]时间:2008/08/08 主题:NtClose相关逆向关键词:Object/type/hook/OkayToCloseProcedure ----------------------
对象管理---4
For Geek
05-28 378
几个常用的内核函数 在Windows的内核管理层(Executive),对象管理是个很重要的机制。Windows对象管理中,有些著作喜欢将其称为"子系统",其实也就是内核管理层。下面讲介绍几个常用的内核中对象管理的函数。 ObReferenceObjectByHandle 这个函数根据Handle,返回一个该Handle对应的对象。 // // Converts to and from a K...
x64驱动 遍历 PspCidTable 枚举隐进程和线程
LYSM
06-05 2813
介绍 PspCidTable 是一个内核句柄表,存放进程和线程的内核对象(EPROCESS 和 ETHREAD),并通过 PID 和 TID 进行索引(所以进程ID和线程ID不可能相同),ID 号以 4 递增。 获取 PspCidTable 地址 win7: PsLookupProcessByProcessId(被导出) -> PspCidTable win10: PsLookupProcessByProcessId(被导出) -> PspReferenceCidTableEntry -&g
PspCidTable进程枚举
rongwenbin的专栏
02-25 1446
-------------------------------------这是分割线--------------------------------------- Windows句柄表格式 句柄是Windows对象管理中引入的一个东西,它的实际意义是对象在句柄表中的索引。Windows2000使用的是固定的三层句柄表,而WindowsXP和Windows2003都是使用的动态可扩展的
FUTo: Bypassing Blacklight and IceSword
04-07 8634
By: petersilberman  This article was released in the Uninformed Journal Vol 3. It is important to remember that this article displays Proof of Concept (POC) ideas and code. FUTo may result in spec
pspcidtable
yaneng的专栏
06-18 1229
第8个男人" 的code里面就做的很好,找到PspCidTable后自己搜索所有的进程对象就行了://----------------------------------------------------------------------VOID IsValidProcess ()/*++Author : 第8个男人Leaner : sudami [xiao_rui_119@163.com]T
cid.zip_pspcidtable_进程_驱动
09-21
标题中的"cid.zip_pspcidtable_进程_驱动"表明这是一个关于Windows系统内核编程的项目,主要涉及了PspCidTable、进程管理和驱动程序的使用。PspCidTable是Windows操作系统内部用于存储进程控制信息的数据结构,而...
pspCidTAble完全解读
06-17
完全分析了句柄,句柄表和pspCidTAble,并有windbg实验验证
一种基于PspCidTable的进程检测方法
02-26
"一种基于PspCidTable的进程检测方法"是针对如何有效地监控和管理系统中的进程提出的一种技术方案。PspCidTable(Process Status Port Connection Identifier Table)是某些操作系统,特别是嵌入式系统如PlayStation...
FU_rootkit
11-09
它利用了多种技术手段,包括DKOM(Direct Kernel Object Manipulation)以及修改pspcidtable等方法,使得恶意进程能够逃避系统的检测和常规的反病毒软件的查杀。” **知识点详解:** 1. **Rootkit**:Rootkit是一...
Icesword 是如何列出隐藏进程.docx
09-26
PspCidTable 是一个存放进程控制块(PCB)的表格,但并未在 ntoskrnl.exe 中直接导出,因此常规方法无法直接访问。为了找到这个表格,Icesword 采用了特征字符串搜索的方法。它会查找 PsLookupProcessByProcessId ...
[转载]基于pspCidTable的进程检测技术
yaneng的专栏
06-18 4310
基于pspCidTable的进程检测技术文章作者:gz1x信息来源:邪恶八进制信息安全团队(www.eviloctal.com)一.     pspCidTable概念及内核调试二.     获取pspCidTable的方法三.     几种进程检测方法的对比四.     anti-pspCidTable技术及其他一.     pspCidTable概念及内核调试-----------------
PspCidTable 完全解读
weixin_34216036的博客
12-07 212
PspCidTable 完全解读 by sysdog 2009.5.1 Whu ------------------------------------------------------------------------------- 一、句柄 句柄:HADNLE 在winnt.h 定义如下: typedef void *HANDLE; 是一个 3...
6.5 Windows驱动开发:内核枚举PspCidTable句柄表
最新发布
CSDN
12-01 4245
在 Windows 操作系统内核中,PspCidTable 通常是与进程(Process)管理相关的数据结构之一。它与进程的标识和管理有关,每个进程都有一个唯一的标识符,称为进程 ID(PID)。与之相关的是客户端 ID,它是一个结构,其中包含唯一标识进程的信息。这样的标识符在进程管理、线程管理和内核对象的创建等方面都起到关键作用。
【Windows内核编程】Win10/Win11通过PspCidTable取得EProcess
懵逼树上懵逼果
08-04 932
在内核RING0层运用PspCidTable枚举可能被隐藏、断链的进程,得到EPROCESS对象
PspCidTale的理解和思考
qq_42021840的博客
05-01 401
(一)介绍 PspCidTable是一个句柄表,但是这个句柄表不同于普通的句柄表,它不是私有的存放的是系统中所有进程和线程的对象信息的句柄表,其索引是PID和CID。其格式和普通的句柄表完全一样,但也有不同之处: PspCidTable中存的是对象体(EProcess、EThread),而每个进程中私有的句柄表存放的是对象头(Objece_Header) PspCidTable是一个...
侦测隐藏进程的强文
04-22 6038
俄语原文:http://wasm.ru/article.php?article=hiddndt俄文翻译:kaohttp://community.reverse-engineering.net/viewtopic.php?t=4685中文翻译: prince后期校验:firstrose=============================侦测隐藏进程[C] Ms-Rem2002-2005 was
PspCidTable综合概述
weixin_34390996的博客
06-24 215
PspCidTable概述 2009-03-28 11:27 PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每 个进程私有的句柄表有以下不同: 1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID 2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有...
Windows 进程的句柄表
qiaoli的知识备忘录
03-12 2349
本文源自《Windows内核原理与实现》第3章Windows 进程和线程 3.4.1 Windows 进程的句柄表(1) 上一章介绍了Windows 内核中的对象管理器,Windows 执行体实现了一套对象机制来管理各种资源或实体。每种对象都有一个类型对象,类型对象定义了该类对象的一些特性和方法。对象管理器也定义了一个全局名字空间,提供了根据名称来解析对象的统一机制(参考O

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值