2

最新推荐文章于 2023-12-01 15:24:44 发布
最新推荐文章于 2023-12-01 15:24:44 发布
阅读量799 收藏
点赞数
文章标签: table object struct string callback include
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zapline/article/details/6471400
版权

#include "ntddk.h"
#include <stdlib.h>
#include "LDasm.c"
#define EPROC_NAME_OFFSET 0x1FC

typedef struct _HANDLE_TABLE_ENTRY_INFO
{
 ULONG AuditMask;
} HANDLE_TABLE_ENTRY_INFO, *PHANDLE_TABLE_ENTRY_INFO;
typedef struct _HANDLE_TABLE_ENTRY
{
 union
 {
  PVOID Object;
  ULONG ObAttributes;
  PHANDLE_TABLE_ENTRY_INFO InfoTable;
  ULONG Value;
 };
 union
 {
  union
  {
   ACCESS_MASK GrantedAccess;
   struct
   {
    USHORT GrantedAccessIndex;
    USHORT CreatorBackTraceIndex;
   };
  };
  LONG NextFreeTableEntry;
 };
} HANDLE_TABLE_ENTRY, *PHANDLE_TABLE_ENTRY;
typedef struct _HANDLE_TABLE
{
 ULONG        Flags;
 LONG         HandleCount;
 PHANDLE_TABLE_ENTRY **Table;
 PEPROCESS       QuotaProcess;
 HANDLE        UniqueProcessId;
 LONG         FirstFreeTableEntry;
 LONG         NextIndexNeedingPool;
 ERESOURCE       HandleTableLock;
 LIST_ENTRY       HandleTableList;
 KEVENT        HandleContentionEvent;
} HANDLE_TABLE , *PHANDLE_TABLE ;
typedef NTSTATUS (__stdcall *EXENUMHANDLETABLE)(PULONG HandleTable, PVOID Callback, PVOID Param, PHANDLE Handle OPTIONAL);


NTSTATUS DriverEntry(PDRIVER_OBJECT pObj, PUNICODE_STRING pString);
VOID DriverUnload(PDRIVER_OBJECT pObj);
ULONG GetFunctionAddr(IN PCWSTR FunctionName);
BOOLEAN EnumHandleCallback(PHANDLE_TABLE_ENTRY HandleTableEntry,HANDLE Handle,PVOID EnumParameter);
NTSTATUS PsLookupProcessByProcessId(IN ULONG ulProcId, OUT PEPROCESS * pEProcess);

PHANDLE_TABLE pPspCidTable = NULL;
EXENUMHANDLETABLE ExEnumHandleTable = NULL;

ULONG GetFunctionAddr(IN PCWSTR FunctionName)
{
 UNICODE_STRING UniCodeFunctionName;
 RtlInitUnicodeString( &UniCodeFunctionName, FunctionName );
 return (ULONG)MmGetSystemRoutineAddress( &UniCodeFunctionName );
}
void GetPspCidTable()
{
 PUCHAR cPtr;
 unsigned char * pOpcode;
 ULONG Length;

 for (cPtr = (PUCHAR)PsLookupProcessByProcessId;
  cPtr < (PUCHAR)PsLookupProcessByProcessId + PAGE_SIZE;
  cPtr += Length)
 {
  Length = SizeOfCode(cPtr, &pOpcode);

  if (!Length) break;

  if (*(PUSHORT)cPtr == 0x35FF && *(pOpcode + 6) == 0xE8)
  {
   pPspCidTable = **(PVOID **)(pOpcode + 2);
   break;
  }
 }
}
BOOLEAN EnumHandleCallback(PHANDLE_TABLE_ENTRY HandleTableEntry,HANDLE Handle,PVOID EnumParameter)
{
 NTSTATUS    ntStatus;
 HANDLE      Cid;
 PEPROCESS   Process;
 PETHREAD    Thread;
 ULONG  uWalkTableCount;
 ULONG       uWalkTablePage = 0;
 if(EnumParameter== HandleTableEntry)
 {
  return TRUE;
 }
 else
 {    
  for(uWalkTableCount=0;uWalkTableCount<0x100;uWalkTableCount++)
  {
   if(HandleTableEntry->Object)
   {
    Cid=(HANDLE)((1024*uWalkTablePage)+(uWalkTableCount<<2));

    if (Cid> (PVOID)4)
    {
     ntStatus = PsLookupProcessByProcessId( Cid, &Process );
     if(NT_SUCCESS(ntStatus))
     {
      DbgPrint("PID:%4d/tNAME:/t%-16s/n",
       Cid, ((PUCHAR)Process+EPROC_NAME_OFFSET) );
      ObDereferenceObject( Process );
     }
    }
    else
    {
     if (Cid== 0)
     {
      DbgPrint("PID:%4d/tNAME:/tIdle/n",0);  
     }
     else
     {
      DbgPrint("PID:%4d/tNAME:/tSystem/n",4);  
     }
    }
   }
  }
  uWalkTablePage++;

  return FALSE;
 }
}
VOID DriverUnload(PDRIVER_OBJECT pObj)
{
 DbgPrint("Unloading now/r/n");
}
NTSTATUS DriverEntry( IN PDRIVER_OBJECT    DriverObject,IN PUNICODE_STRING RegistryPath )
{
 HANDLE h;

 DbgPrint("Loading/r/n");
 DriverObject->DriverUnload = DriverUnload;

 ExEnumHandleTable = (EXENUMHANDLETABLE)GetFunctionAddr(L"ExEnumHandleTable");
 if ( ExEnumHandleTable == NULL )
 {
  DbgPrint("Get ExEnumHandleTable Addr Error!!");
  return STATUS_DEVICE_CONFIGURATION_ERROR;
 }
 DbgPrint("Address of ExEnumHandleTable:%x/n",ExEnumHandleTable);

 GetPspCidTable();
 DbgPrint("CidTable:%x/n",pPspCidTable);
 ExEnumHandleTable(pPspCidTable, EnumHandleCallback, NULL, &h );
 return STATUS_SUCCESS;
}
 

zapline
关注
枚举进程——PspCidTable
strongxu的专栏
12-07 1825
    看Windows内核情景分析的时候看到讲PspCidTable中会保存每个进程和线程的CID,就在想可以通过这个表来获取到每个进程的PID及相关信息,然后网上一搜,已经有N多人通过这种方法来获取进程列表了,Iceword也是有这种方法来枚举进程的。Anyway,还是自己实现一遍吧。当然也借鉴了别人的代码。 NTSTATUS DriverEntry(IN PDRIVER_OBJECT Dr
SSH2框架搭建实例源码
04-25
SSH2框架搭建实例(spring3.2+strust2.3.4+hibernate4.2)全部采用最新版本.演示了用户登录和用户管理
26.全局句柄表PspCidTable
qq_35129925的博客
07-22 830
https://www.cnblogs.com/kuangke/p/5761615.html
【Windows内核编程】Win10/Win11通过PspCidTable取得EProcess
懵逼树上懵逼果
08-04 879
在内核RING0层运用PspCidTable枚举可能被隐藏、断链的进程,得到EPROCESS对象
[转载]基于pspCidTable的进程检测技术
yaneng的专栏
06-18 4278
基于pspCidTable的进程检测技术文章作者:gz1x信息来源:邪恶八进制信息安全团队(www.eviloctal.com)一.     pspCidTable概念及内核调试二.     获取pspCidTable的方法三.     几种进程检测方法的对比四.     anti-pspCidTable技术及其他一.     pspCidTable概念及内核调试-----------------
6.5 Windows驱动开发:内核枚举PspCidTable句柄表
CSDN
12-01 4222
在 Windows 操作系统内核中,PspCidTable 通常是与进程(Process)管理相关的数据结构之一。它与进程的标识和管理有关,每个进程都有一个唯一的标识符,称为进程 ID(PID)。与之相关的是客户端 ID,它是一个结构,其中包含唯一标识进程的信息。这样的标识符在进程管理、线程管理和内核对象的创建等方面都起到关键作用。
AXMLPrinter2错误修正版本
04-23
解决AXMLPrinter2反编译的时候报错问题。 java.lang.ArrayIndexOutOfBoundsException: 128 at android.content.res.StringBlock.getShort(StringBlock.java:231) at android.content.res.StringBlock.getString...
H2 Database(H2内存数据库)
08-15
2、h2-1.3.173.jar (截止2013-8-15最新的H2.jar) 3、h2-2013-07-28.zip (截止2013-8-15最新的H2服务,包括API\JAR\服务) 4、H2Database_SQL语法.doc 5、H2Database高级特性.doc 6、H2Database聚合函数.doc 7、H2...
MTALAB NSGA2算法
08-08
NSGA2多目标优化遗传算法,代码亲测可运行通过,并且添加相关中文注释。
南天pr2e 南天pr2 win7 64位 驱动 (OKI5330 LQ-1600K兼容经典驱动)
05-28
同事买一个二手打印机 蓝天PR2, 网站找半天发现官方不支持WIN764位,没办法拨打客服电话,建议用...EPSON LQ 1600k 南天 PR2E 打印机驱动程序 win7 WIN8 64位.zip 南天PR2_OKI5530 FOR 64 WIN7.rar 两款驱动足够用的了
(Win7) PspCidTable遍历进程句柄表,枚举进程
h2995527的博客
04-10 509
搞了一阵子的PHP,今天又来继续自己的C++了,翻阅了一下自己之前写的代码和说明,自己也有点儿稀里糊涂了,于是又仔细的从头研究了一下,遂写此文以记之,文中有不当的地方欢迎大家拍砖. 先说一下句柄表是什么 在windows内核中定义了很多内核对象,像文件对象,线程对象,信号量对象啊等等;而Windows中并没有让我们直接去使用这些对象资源,而是通过句柄让我们去引用这些资源,句柄表就相当于资源的数组,而句柄就是对应资源的索引,每个进程内部都有一个自己的私有句柄表,这也就是说句柄是不能跨进程使用的。 PspCi
内核PspCidTable句柄表遍历获取隐藏进程
CrazyWolf的专栏
09-23 2345
先从WinDBG中来看下PspCidTable. lkd> dd pspcidtable 84196eb4 8ae011c8 00000000 80000018 00000101 84196ec4 800005e0 80000020 00000000 00000000 84196ed4 00000000 00000000 00000000 00000113 84196ee4 0000
pspCidTable
Mr.Out的专栏
10-14 1148
<br /><br />一.                        pspCidTable概念及内核调试<br />-----------------------------------------------------<br /><br />pspCidTable是内核未导出的HANDLE_TALBE结构,它保存着所有进程和线程对象的指针。<br />只要能遍历这个PspCidTable句柄表,就可以遍历到系统的所有进程,包括所有隐藏进程,除非你抹掉pspCidTable...<br /><br
PspCidTable 完全解读
weixin_34216036的博客
12-07 208
PspCidTable 完全解读 by sysdog 2009.5.1 Whu ------------------------------------------------------------------------------- 一、句柄 句柄:HADNLE 在winnt.h 定义如下: typedef void *HANDLE; 是一个 3...
枚举进程——PspCidTable zz
摸爬滚打
05-05 1002
http://blog.csdn.net/strongxu/article/details/4959757 看Windows内核情景分析的时候看到讲PspCidTable中会保存每个进程和线程的CID,就在想可以通过这个表来获取到每个进程的PID及相关信息,然后网上一搜,已经有N多人通过这种方法来获取进程列表了,Iceword也是有这种方法来枚举进程的。Anyway,还是自己实现一遍吧。
pspcidtable
yaneng的专栏
06-18 1225
第8个男人" 的code里面就做的很好,找到PspCidTable后自己搜索所有的进程对象就行了://----------------------------------------------------------------------VOID IsValidProcess ()/*++Author : 第8个男人Leaner : sudami [[email protected]]T
利用伪造内核文件来绕过IceSword的检测
斑竹的程序设计专栏
12-21 3259
创建时间:2005-12-20文章属性:转载文章提交:backspray (nimaozhi_at_163.com)作者:倪茂志邮件:[email protected]完成于:2005.12.20文章分为八个部分:                一、为什么需要伪造内核                二、伪造内核文件                三、隐藏进程               
x64驱动 遍历 PspCidTable 枚举隐进程和线程
LYSM
06-05 2755
介绍 PspCidTable 是一个内核句柄表,存放进程和线程的内核对象(EPROCESS 和 ETHREAD),并通过 PID 和 TID 进行索引(所以进程ID和线程ID不可能相同),ID 号以 4 递增。 获取 PspCidTable 地址 win7: PsLookupProcessByProcessId(被导出) -> PspCidTable win10: PsLookupProcessByProcessId(被导出) -> PspReferenceCidTableEntry -&g
枚举PspCidTable利用API
Sunny_wwc的专栏
01-19 1679
<br />看Windows内核情景分析的时候看到讲PspCidTable中会保存每个进程和线程的CID,就在想可以通过这个表来获取到每个进程的PID及相关信息,然后网上一搜,已经有N多人通过这种方法来获取进程列表了,Iceword也是有这种方法来枚举进程的。Anyway,还是自己实现一遍吧。当然也借鉴了别人的代码。<br />NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)<br />
labview ros2
最新发布
04-15
LabVIEW ROS2是一种将LabVIEW和ROS2(Robot Operating System 2)相结合的工具,它提供了一种在LabVIEW中使用ROS2功能的方式。ROS2是一个用于构建机器人系统的开源框架,而LabVIEW是一种图形化编程语言和开发环境。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值