关于PspCidTable

最新推荐文章于 2022-08-04 22:22:11 发布
最新推荐文章于 2022-08-04 22:22:11 发布
阅读量915 收藏
点赞数 1
分类专栏: 内核学习笔记 文章标签: win7 全局变量 对象 object
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zfdyq0/article/details/40282707
版权

PspCidTable为一个全局变量,其格式与普通的句柄表是完全一样的.

但它与每个进程私有的句柄表有以下不同

1.PspCidTable中存放的对象是系统中所有的进线程对象指针,其索引就是PIDCID 

2.PspCidTable中存放是对象体(指向EPROCESSETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HEADER) 

3.PspCidTable是一个独立的句柄表,而每个进程私有的句柄表以一个双链连接起来

 

如何寻找PspCidTable

1.PspCidTable没有导出,通常的方法是找特征码:PsLookUpProcessByProcessId

2另一种方法是从KPCR====>KdVersionBlock

 

首先还是先看一下PspCidTable

kd> dd pspcidtable
84198f34  8b801100 00000000 80000020 00000101
84198f44  80000330 80000024 00000000 00000000
84198f54  00000000 00000000 00000000 00000113
84198f64  00000000 00000000 8414935a 00000000
84198f74  00000000 00000000 00000000 00000008
84198f84  00000000 84198f88 84198f88 00000000
84198f94  00000000 00000000 00000000 00000000
84198fa4  00000000 807ccc38 807c8c38 00000000

8b801100 便是_HANDLE_TABLE

 
kd> dt _handle_table 8b801100 
nt!_HANDLE_TABLE
   +0x000 TableCode        : 0x9bd25001
   +0x004 QuotaProcess     : (null) 
   +0x008 UniqueProcessId  : (null) 
   +0x00c HandleLock       : _EX_PUSH_LOCK
   +0x010 HandleTableList  : _LIST_ENTRY [ 0x8b801110 - 0x8b801110 ]
   +0x018 HandleContentionEvent : _EX_PUSH_LOCK
   +0x01c DebugInfo        : (null) 
   +0x020 ExtraInfoPages   : 0n0
   +0x024 Flags            : 1
   +0x024 StrictFIFO       : 0y1
   +0x028 FirstFreeHandle  : 0x11c
   +0x02c LastFreeHandleEntry : 0x9bd26740 _HANDLE_TABLE_ENTRY
   +0x030 HandleCount      : 0x31f
   +0x034 NextHandleNeedingPool : 0x1000
   +0x038 HandleCountHighWatermark : 0x32f


之后句柄表   +0x000 TableCode        : 0x9bd25001

可以看到这是一张二级表:

 
kd> dd 0x9bd25000
9bd25000  8b804000 9bd26000 00000000 00000000
9bd25010  00000000 00000000 00000000 00000000
9bd25020  00000000 00000000 00000000 00000000
9bd25030  00000000 00000000 00000000 00000000
9bd25040  00000000 00000000 00000000 00000000
9bd25050  00000000 00000000 00000000 00000000
9bd25060  00000000 00000000 00000000 00000000
9bd25070  00000000 00000000 00000000 00000000

查看一级表的内容:

 
kd> dd 8b804000 
8b804000  00000000 fffffffe 869dd8e9 00000000
8b804010  869dd611 00000000 869fcc81 00000000
8b804020  86a00c81 00000000 86a009a9 00000000
8b804030  86a08021 00000000 86a08919 00000000
8b804040  86a08641 00000000 86a08369 00000000
8b804050  86a04d49 00000000 86a04a71 00000000
8b804060  86a04799 00000000 86a044c1 00000000
8b804070  869f9021 00000000 869f9d49 00000000

由于 PspCidTable中存放是对象体(指向EPROCESSETHREAD)869dd8e9 抹去后三位便是指向 System 的 _EPROCESS的指针:

 

抹去后三位是869dd8e8

 
kd> !process 0 0 system
PROCESS 869dd8e8  SessionId: none  Cid: 0004    Peb: 00000000  ParentCid: 0000
    DirBase: 00185000  ObjectTable: 8b801b80  HandleCount: 648.
    Image: System

验证正确!

zfdyq0
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于ISCC2013的思路整理
王意林的专栏
07-11 4366
这一次ISCC初赛,感觉自己变牛逼了一点,本来想把所有题作完再来整理的,结果内核突然出了好几道超变态的题。顿时没有心思做了。 以前都是分大体写,这次写在一起吧。 //======================================格叽格叽========================================== 入门题 很恶心的选择题,百度 google 各凭本事
pspCidTAble完全解读
06-17
### pspCidTable完全解读 #### 一、句柄 在Windows操作系统中,句柄(HANDLE)是一种广泛使用的机制,用于标识内核对象。它实际上是一个指向内核对象的索引,允许用户态程序安全地引用内核态资源。 **定义与特性...
PspCidTable
qiaoli的知识备忘录
03-12 2032
PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每 个进程私有的句柄表有以下不同: 1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID 2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头 (OBJECT_HEADER) 3.PspCidTable是一个独
遍历PspCidTable表检测隐藏进程
08-11 371
一、PspCidTable概述 PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的,但它与每个进程私有的句柄表有以下不同: 1.PspCidTable中存放的对象是系统中所有的进程线程对象,其索引就是PID和TID。 2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HE...
【Windows内核编程】Win10/Win11通过PspCidTable取得EProcess
懵逼树上懵逼果
08-04 963
在内核RING0层运用PspCidTable枚举可能被隐藏、断链的进程,得到EPROCESS对象
PspCidTable综合概述
weixin_34390996的博客
06-24 215
PspCidTable概述 2009-03-28 11:27 PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每 个进程私有的句柄表有以下不同: 1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID 2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有...
【旧文章搬运】更正一个枚举PspCidTable时的错误
weixin_30657999的博客
12-26 86
原文发表于百度空间及看雪论坛,2009-02-27 看雪论坛地址:https://bbs.pediy.com/thread-82919.htm========================================================================== PspCidTable现在已经很科普了,关于其具体格式及如何枚举,网上相关文章一大堆,最多的两篇是gz1...
记录一下 关于进程隐藏摘链操作的问题
zfdyq
12-09 2229
隐藏进程有好多方法,抹除句柄表,抹除csrss中的注册进程信息,摘除Active链等等,今天来记录一下摘链注意的问题。 网上有很多摘链的DEMO,至于稳定性。。。。时不时的蓝~~ 原因为什么,很多代码都只是一味的拆除了相应进程的链表,但是却没有考虑到系统在操作动态链表的一系列问题,先看一下WRK中的销毁进程的操作, 目录:WRK-v1.2\base\ntos\ps\p
关于驱动隐藏那点事(不触发PG 支持win10)
xuq09的专栏
06-10 2591
转:https://blog.csdn.net/zhuhuibeishadiao/article/details/75658816 代码:https://github.com/ZhuHuiBeiShaDiao/NewHideDriverEx 更新:支持seh,原理自己逆下 将seh挂到其它模块上而已. 看网上用此方法隐藏用的挺嗨啊,麻烦打个出处,谢谢了. 没必要藏着,人生没有必要为这...
内核_有用1
fyfy
04-11 237
ShellCode欺骗的艺术! 网上看到一份ShellCode  非常NICE  ,用来抛砖引玉! sub sp,0x440 xor ebx,ebx push ebx push 0x74736577 push 0x6c696166 mov eax,esp push ebx push eax push eax push ebx mov e... http://blog.csdn.ne
cid.zip_pspcidtable_进程_驱动
最新发布
09-21
标题中的"cid.zip_pspcidtable_进程_驱动"表明这是一个关于Windows系统内核编程的项目,主要涉及了PspCidTable、进程管理和驱动程序的使用。PspCidTable是Windows操作系统内部用于存储进程控制信息的数据结构,而...
一种基于PspCidTable的进程检测方法
02-26
"一种基于PspCidTable的进程检测方法"是针对如何有效地监控和管理系统中的进程提出的一种技术方案。PspCidTable(Process Status Port Connection Identifier Table)是某些操作系统,特别是嵌入式系统如PlayStation...
FU_rootkit
11-09
它利用了多种技术手段,包括DKOM(Direct Kernel Object Manipulation)以及修改pspcidtable等方法,使得恶意进程能够逃避系统的检测和常规的反病毒软件的查杀。” **知识点详解:** 1. **Rootkit**:Rootkit是一...
Icesword 是如何列出隐藏进程.docx
09-26
PspCidTable 是一个存放进程控制块(PCB)的表格,但并未在 ntoskrnl.exe 中直接导出,因此常规方法无法直接访问。为了找到这个表格,Icesword 采用了特征字符串搜索的方法。它会查找 PsLookupProcessByProcessId ...
Win7 内核重载 1 ——内核版PELoader
zfdyq
12-19 8384
重载重点,其实就是自己实现一个山寨版的Windows PELoader  ,重载其实就是将一个模块自己重新加载一份到别的内存,运行它。 所谓内核重载,则是将内核文件即:ntkrnlpa.exe 自己加载一份到内存,并运行它,这样的好处可以避免一切HOOK,如SSDT ,InLineHook 等等,原理就是HOOK继续 HOOK主原来内核,但是实际上Windows走的是我们自己的内核。
关于*P双机调试的学习
zfdyq
01-01 4560
关于*P双机调试的学习   一:相关基础知识:   根据软件调试这本书上说的,Windows启动过程如下图:       系统一共调用了两次KdInitSystem()函数。   第一次调用KdInitSystem会初始化一下全局变量:   1.KdPitchDebugger:布尔类型,用来表示是否显式抑制内核调试。当启动选项中包含/DEBUG选项时,这个变量会被设置为真。
X64下的解析句柄表
zfdyq
12-07 3461
一:X64下的句柄表的查找: 关于PspCidTable的寻找,我是通过PsLookupProcessByProcessId查找特征码寻找pspCidTable和32位没什么区别。 疑问:我想在KPCR中的KdVersionBlock中寻找,但是64位系统不知道为什么总是NULL,各位牛牛知道的求科普~ 寻找PspCidTable: SIZE_T FindCidTable() { SI
《Windows内核原理与实现》第三章学习笔记---KPROCESS学习
zfdyq
10-16 2884
typedef struct _KPROCESS { // // The dispatch header and profile listhead are fairly infrequently // referenced. // DISPATCHER_HEADER Header; //表明KPROCESS也是一个分发器对象(dispatcher o
内核调试学习笔记
zfdyq
12-17 2232
内核调试学习笔记  第一次调用KdInitSystem会初始化一下全局变量:   1.KdPitchDebugger:布尔类型,用来表示是否显式抑制内核调试。当启动选项中包含/DEBUG选项时,这个变量会被设置为真。 2.KdDeBuggerEnable:布尔类型,用来表示内核调试是否被启用。当启动选项中包含/DEBUG或者/DEBUGPORT 而且不包含/NODEBUG时,这个变量会被设
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值