X64下的解析句柄表

最新推荐文章于 2023-05-24 15:49:28 发布
最新推荐文章于 2023-05-24 15:49:28 发布
阅读量3.4k 收藏 6
点赞数 1
分类专栏: 内核学习笔记 文章标签: 全局变量 遍历 进程 64位
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zfdyq0/article/details/41789027
版权

一:X64下的句柄表的查找:

关于PspCidTable的寻找,我是通过PsLookupProcessByProcessId查找特征码寻找pspCidTable32位没什么区别。

疑问:我想在KPCR中的KdVersionBlock中寻找,但是64位系统不知道为什么总是NULL,各位牛牛知道的求科普~

寻找PspCidTable

SIZE_T FindCidTable()

{

SIZE_T  CidTableAddr = 0;

UNICODE_STRING ustPsFuncName;

RtlInitUnicodeString(&ustPsFuncName, L"PsLookupProcessByProcessId");

PUCHAR startAddr = (PUCHAR)MmGetSystemRoutineAddress(&ustPsFuncName);

//DbgPrint("startAddr:0x%02X,startAddr+1:0x%02X\n", *startAddr, *(startAddr+1));

 

for (ULONG64 i = 0; i < 100; i++)

{

if (*(startAddr + i) == 0x48 &&

*(startAddr + i + 1) == 0x8b &&

*(startAddr + i + 2) == 0x0d)

{

CidTableAddr = (SIZE_T)(*(PULONG)(startAddr + i + 3) + (startAddr + i + 3 + 4)) & 0xFFFFFFFEFFFFFFFF;

DbgPrint("CidTableAddr:%p\n"CidTableAddr);

break;

}

}

return CidTableAddr;

}

二:实现

相关结构:

32位结构:

typedef struct _HANDLE_TABLE{     ULONG TableCode;     PEPROCESS QuotaProcess;     PVOID UniqueProcessId;     EX_PUSH_LOCK HandleLock;     LIST_ENTRY HandleTableList;     EX_PUSH_LOCK HandleContentionEvent;     PHANDLE_TRACE_DEBUG_INFO DebugInfo;     LONG ExtraInfoPages;     ULONG Flags;     ULONG StrictFIFO: 1;     LONG FirstFreeHandle;     PHANDLE_TABLE_ENTRY LastFreeHandleEntry;     LONG HandleCount;     ULONG NextHandleNeedingPool;} HANDLE_TABLE, *PHANDLE_TABLE;

 

 

现在x64结构:

 

typedef struct _HANDLE_TABLE

{

ULONG64 TableCode;

PEPROCESS QuotaProcess;

PVOID UniqueProcessId;

EX_PUSH_LOCK HandleLock;

LIST_ENTRY HandleTableList;

EX_PUSH_LOCK HandleContentionEvent;

PHANDLE_TRACE_DEBUG_INFO DebugInfo;

LONG ExtraInfoPages;

ULONG Flags;

//ULONG StrictFIFO : 1;

LONG64 FirstFreeHandle;

PHANDLE_TABLE_ENTRY LastFreeHandleEntry;

LONG HandleCount;

ULONG NextHandleNeedingPool;

HANDLE_TABLE, *PHANDLE_TABLE;

 

32位和64位结构体有点差别,注意LONG64 FirstFreeHandle;

其他的和32位没啥区别,就是一级表和二级表的数量 分别为:

#define   MAX_ENTRY_COUNT (0x1000/16)  //一级表中的 HANDLE_TABLE_ENTRY个数

#define   MAX_ADDR_COUNT   (0x1000/8) //二级表和 三级表中的地址个数

 

之后就是便利的核心代码了,方法是自己山寨ExEnumerateHandleRoutine

NTSTATUS EnumProcessByPspCidTable()

{

NTSTATUS status = STATUS_UNSUCCESSFUL;

PHANDLE_TABLE pHandleTable = NULL;

pHandleTable =(PHANDLE_TABLE)*(PSIZE_T)FindCidTable();

HANDLE hHanel;

UNICODE_STRING usObGetObjectType;

DbgPrint("pHandleTable:%p\n"pHandleTable);

获取system eprocess 结构,我这win7 是个二级表,为了方便我直接写了,关于句柄表可以看博客http://blog.csdn.net/zfdyq0

//PEPROCESS process = (PEPROCESS)(*(PULONG)(*(PULONG)(pHandleTable->TableCode & 0xfffffff0)+8)&0xfffffff8);

RtlInitUnicodeString(&usObGetObjectType, L"ObGetObjectType");

g_pObGetObjectType = MmGetSystemRoutineAddress(&usObGetObjectType);

DbgPrint("g_pObGetObjectType:%p\n"g_pObGetObjectType);

MyEnumHandleTable(pHandleTableMyEnumerateHandleRoutineNULL, &hHanel);

 

return status;

}

 

BOOLEAN MyEnumerateHandleRoutine(

IN PHANDLE_TABLE_ENTRY HandleTableEntry,

IN HANDLE Handle,

IN PVOID EnumParameter

)

{

BOOLEAN Result = FALSE;

ULONG64 ProcessObject;

POBJECT_TYPE ObjectType;

PVOID Object;

UNICODE_STRING ustObjectName;

 

UNREFERENCED_PARAMETER(EnumParameter);

UNREFERENCED_PARAMETER(ustObjectName);

ProcessObject = (HandleTableEntry->Value)&~7; //掩去低三位

Object = (PVOID)((ULONG64)HandleTableEntry->Object&~7);

 

ObjectType = g_pObGetObjectType(Object);

if (MmIsAddressValid(HandleTableEntry))

{

if (ObjectType == *PsProcessType)//判断是否为Process

{

//注意PID其实就是Handle,而 不是从EPROCESS中取,可以对付伪pid

UCHARszName = PsGetProcessImageFileName((PEPROCESS)ProcessObject);

stcProcessInfo[nProcessCount].hProcessID = Handle;

RtlCopyMemory(stcProcessInfo[nProcessCount].szNameszNamestrlen(szName) + 1);

nProcessCount++;

DbgPrint("PID=%4d\t EPROCESS=0x%p %s\n"HandleProcessObjectPsGetProcessImageFileName((PEPROCESS)ProcessObject));

}

}

return Result;//返回FALSE继续

}

 

 

//自己实现一个山寨的MyEnumHandleTable,接口和ExEnumHandleTable一样

#define   MAX_ENTRY_COUNT (0x1000/16)  //一级表中的 HANDLE_TABLE_ENTRY个数

#define   MAX_ADDR_COUNT   (0x1000/8) //二级表和 三级表中的地址个数

 

BOOLEAN

MyEnumHandleTable(

PHANDLE_TABLE HandleTable,

MY_ENUMERATE_HANDLE_ROUTINE EnumHandleProcedure,

PVOID EnumParameter,

PHANDLE Handle

)

{

ULONG64 ijk;

ULONG_PTR CapturedTable;

ULONG64 TableLevel;

PHANDLE_TABLE_ENTRY TableLevel1, *TableLevel2, **TableLevel3;

BOOLEAN CallBackRetned = FALSE;

BOOLEAN ResultValue = FALSE;

ULONG64 MaxHandle;

//判断几个参数是否有效

if (!HandleTable

&& !EnumHandleProcedure

&& !MmIsAddressValid(Handle))

{

return ResultValue;

}

//取表基址和表的级数

CapturedTable = (HandleTable->TableCode)&~3;

TableLevel = (HandleTable->TableCode) & 3;

MaxHandle = HandleTable->NextHandleNeedingPool;

DbgPrint("句柄上限值为0x%X\n"MaxHandle);

//判断表的等级

switch (TableLevel)

{

case 0:

{

  //一级表

  TableLevel1 = (PHANDLE_TABLE_ENTRY)CapturedTable;

  DbgPrint("解析一级表 0x%p...\n"TableLevel1);

  for (i = 0; i < MAX_ENTRY_COUNTi++)

  {

  *Handle = (HANDLE)(i * 4);

  if (TableLevel1[i].Object && MmIsAddressValid(TableLevel1[i].Object))

  {

  //对象有效时,再调用回调函数

  CallBackRetned = EnumHandleProcedure(&TableLevel1[i], *HandleEnumParameter);

  if (CallBackRetned)  break;

  }

  }

  ResultValue = TRUE;

 

}

break;

case 1:

{

  //二级表

  TableLevel2 = (PHANDLE_TABLE_ENTRY*)CapturedTable;

  DbgPrint("解析二级表 0x%p...\n"TableLevel2);

  DbgPrint("二级表的个 数:%d\n"MaxHandle / (MAX_ENTRY_COUNT*4));

  for (j = 0; j < MaxHandle / (MAX_ENTRY_COUNT * 4); j++)

  {

  TableLevel1 = TableLevel2[j];

  if (!TableLevel1)

  break//为零则跳出

  for (i = 0; i < MAX_ENTRY_COUNTi++)

  {

  *Handle = (HANDLE)(j*MAX_ENTRY_COUNT * 4 + i * 4);

  if (TableLevel1[i].Object && MmIsAddressValid(TableLevel1[i].Object))

  {

  //对象有效时,再调用回调函数

  CallBackRetned = EnumHandleProcedure(&TableLevel1[i], *HandleEnumParameter);

  if (CallBackRetned)  break;

  }

  }

  }

  ResultValue = TRUE;

}

break;

case 2:

{

  //三级表

  TableLevel3 = (PHANDLE_TABLE_ENTRY**)CapturedTable;

  DbgPrint("解析三级表 0x%p...\n"TableLevel3);

  DbgPrint("三级表的个 数:%d\n"MaxHandle / (MAX_ENTRY_COUNT * 4 * MAX_ADDR_COUNT));

  for (k = 0; k < MaxHandle / (MAX_ENTRY_COUNT * 4 * MAX_ADDR_COUNT); k++)

  {

  TableLevel2 = TableLevel3[k];

  if (!TableLevel2)

  break//为零则跳出

  for (j = 0; j < MaxHandle / (MAX_ENTRY_COUNT * 4); j++)

  {

  TableLevel1 = TableLevel2[j];

  if (!TableLevel1)

  break//为零则跳出

  for (i = 0; i < MAX_ENTRY_COUNTi++)

  {

  *Handle = (HANDLE)(k*MAX_ENTRY_COUNT*MAX_ADDR_COUNT + j*MAX_ENTRY_COUNT + i * 4);

  if (TableLevel1[i].Object && MmIsAddressValid(TableLevel1[i].Object))

  {

  //对象有效时,再调用回调函数

  CallBackRetned = EnumHandleProcedure(&TableLevel1[i], *HandleEnumParameter);

  if (CallBackRetned)  break;

  }

  }

  }

  }

  ResultValue = TRUE;

}

break;

default:

{

   DbgPrint("Shoud NOT get here!\n");

}

break;

}

return ResultValue;

}

 

 

zfdyq0
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
WIN64驱动编程基础教程
12-06
详细目录如下: 0.基础的基础 |-学习WIN64驱动开发的硬件准备 |-配置驱动开发环境 ------------------------------ 1.驱动级HelloWorld |-配置驱动测试环境 |-编译和加载内核HelloWorld ------------------------------ 2.内核编程基础 |-WIN64内核编程的基本规则 |-驱动程序与应用程序通信 |-内核里使用内存 |-内核里操作字符串 |-内核里操作文件 |-内核里操作注册 |-内核里操作进线程 |-驱动里的其它常用代码 ------------------------------ 3.内核HOOK与UNHOOK |-系统调用、WOW64与兼容模式 |-编程实现突破WIN7的PatchGuard |-系统服务描述结构详解 |-SSDT HOOK和UNHOOK |-SHADOW SSDT HOOK和UNHOOK |-INLINE HOOK和UNHOOK ------------------------------ 4.无HOOK监控技术 |-无HOOK监控进线程启动和退出 |-无HOOK监控模块加载 |-无HOOK监控注册操作 |-无HOOK监控文件操作 |-无HOOK监控进线程句柄操作 |-使用对象回调监视文件访问 |-无HOOK监控网络访问 |-无HOOK监视修改时间 ------------------------------ 5.零散内容 |-驱动里实现内嵌汇编 |-DKOM隐藏进程+保护进程 |-枚举和隐藏内核模块 |-强制结束进程 |-强制读写进程内存 |-枚举消息钩子 |-强制解锁文件 |-初步探索PE32+格式文件 ------------------------------ 6.用户态HOOK与UNHOOK |-RING3注射DLL到系统进程 |-RING3的INLINE HOOK和UNHOOK |-RING3的EAT HOOK和IAT HOOK ------------------------------ 7.反回调 |-枚举与删除创建进线程回调 |-枚举与删除加载映像回调 |-枚举与删除注册回调 |-枚举与对抗MiniFilter |-枚举与删除对象回调
signature:从 mfile 或匿名函数句柄解析函数参数名称-matlab开发
05-30
返回函数参数名称列ARGSOUT = SIGNATURE.ARGOUT(FUN) 返回对应于 FUN 的 mfile 中的输出参数列 ARGSIN = SIGNATURE.ARGIN(FUN) 返回对应于 FUN 的 mfile 中的... 签名.argin(@(x,y,z) z+y+x) 答案 = 'x' 'y' 'z'
x86/x64软件逆向分析入门
06-25
本课程从最简单的C程序开始,到较为复杂的函数实现,结合其生成的二进制文件的逆向反汇编,由浅入深循序渐进介绍了基于X86/X64架构的软件逆向分析。可以作为逆向工程师的参考教程,也可以作为对软件逆向分析充满兴趣的朋友们的入门教程。
win10 x64进程句柄
weixin_41725706的博客
12-04 522
win10 x64进程句柄研究测试
switch语句反汇编
tell_me_404的博客
07-26 652
switch语句反汇编一、switch语句1、在正向编码时,switch语句可以看做是if语句的简写2、break在switch语句中十分重要二、switch语句的反汇编1、当switch存在3个分支时2、当switch存在4个分支及以上且连续时3、当switch存在多个分支,常量连续性相对不高时补充:当case后的常量差距较大时 一、switch语句 1、在正向编码时,switch语句可以看做是if语句的简写 2、break在switch语句中十分重要 举一个缺少break的反例(程序在switch语句
深入解析Windows操作系统中文.part2.rar
05-22
从上往下查看Windows的网络栈,包括映射、API、名称解析和协议驱动程序;诊断引导问题,执行崩溃分析。 本书适合广大Windows平台开发人员、IT专业从业人员等参考使用。 编辑推荐 ■ 国内知名译者潘爱民先生译作 ■ ...
python实现WebSocket服务端过程解析
01-02
一种类似Flask开发的WebSocket-Server服务端框架,适用python3.X 1、安装模块Pywss pip install pywss 2、搭建简易服务器 2.1 服务端代码 代码简介 route: 注册请求路径 example_1(request, data): request: ...
pcap:Rust语言pcap库
03-28
将/Lib或/Lib/x64文件夹添加到您的LIB环境变量中。 Linux 在基于DebianLinux上,安装libpcap-dev 。 如果不是以root用户身份运行,则需要像这样设置功能: sudo setcap cap_net_raw,cap_net_admin=eip
SharpHandler
03-20
:)由于以下原因,使该代码成为可能: 的项目和按项目他们是这里真正的MVP :)该项目重用了lsass的打开句柄解析或最小化lsass的转储,因此您不需要使用自己的lsass句柄进行交互。编译指令正如我经常被问到的这个...
x64 Global HANDLE 全局句柄
Mikasys的博客
10-20 772
全局句柄 0: kd> dq PspCidTable fffff800`04070408 fffff8a0`00004880 00000000`00000000 fffff800`04070418 ffffffff`80000020 00000000`00000101 fffff800`04070428 ffffffff`80000298 ffffffff`80000024 fffff800`04070438 00000000`00000000 00000000`00000113 fffff
x64dbgpy 自动化控制插件AIP手册
CSDN
03-25 7307
一款 x64dbg 自动化控制插件,通过Python控制x64dbg的行为,实现远程动态调试,解决了逆向工作者分析程序,反病毒人员脱壳,漏洞分析者寻找指令片段,原生脚本不够强大的问题,通过与Python相结合利用Python语法的灵活性以及其丰富的第三方库,加速漏洞利用程序的开发,辅助漏洞挖掘以及恶意软件分析。
Windows 10 X64 内核对象句柄解析
vs2008ASPNET的专栏
05-24 1180
fweWindows 很多API函数都会创建和使用句柄(传入参数),句柄一个内核对象的内存地址,每个进程都有一个句柄,它保存着进程拥有的句柄,内核也有一个句柄 PspCidTable,它保存着整个系统的句柄。0xffff8d85`570ff000 notepad.exe句柄地址,低两位为0 示是1级。(句柄项>>0x10)&0xfffffffffffffff0 = 对象地址(低位)句柄地址+(进程ID>>0xa*8)-1。从内核句柄项中解析出内核对象地址。由上内核函数逆向可知。
win10 x64全局句柄
weixin_41725706的博客
12-05 474
x64全局句柄
win10 x64驱动实现遍历全局句柄
weixin_41725706的博客
12-06 533
win10 x64驱动遍历全局句柄
x64下vs2013 C++遍历目录下所有文件使用_findnext()调试时中断
thy_2014的专栏
08-23 4719
今天尝试在VS2013 win32控制台下写一个手写数字的机器学习程序,其中需要遍历某目录下的所有.txt文件,在网上查了大量方法,主流是这样的 #include #include #include #include using namespace std; void getFiles(string path, vector& files, string postfix) {
内核-句柄
weixin_45012273的博客
03-06 984
私有句柄 属于一个程序独有的 每个程序都有属于自己程序的句柄 里面存储了所有本程序打开的内核对象 内核对象 进程创建 或打开内核对象的时候 将获得句柄,通过句柄访问内核对象 为什么需要句柄??? 句柄存在的目的是为了避免在应用层直接修改内核对象 应用层要是可以修改 如果修改成无效的地址在传送到0环 操作系统就会崩溃 所以操作系统并没有像用户层公开这个结构体 而是创建了一个句柄 每个进程都有自己的这样的私有的 这个存储在0环 而你的进程里创建几个句柄 中就用几项 而句柄则.
枚举进程内核句柄
Debug Hacker
12-01 1692
最近由于有一点点的时间,写了一个小工具,主要目的是总结前段时间对内核句柄的一些学习,功能很简单,类似于Process Explorer查看进程句柄的方法,在win7 x64上测试通过,效果如下图: 注意有些路径为空是因为x64下32位程序对64位程序用GetModuleFileNameEx获取进程的全路径是无法获取的,这个问题如果有好的解决方案欢迎推荐,自己太菜了... 代码上传到了C
x64驱动 遍历 PspCidTable 枚举隐进程和线程
墨鱼菜鸡
06-05 283
介绍 PspCidTable 是一个内核句柄,存放进程和线程的内核对象(EPROCESS 和 ETHREAD),并通过 PID 和 TID 进行索引(所以进程ID和线程ID不可能相同),ID 号以 4 递增。 获取 ...
STM32蓝牙键盘代码解析
最新发布
06-06
最后打印出了服务句柄、设备名称特征句柄和外观特征句柄。 3. 按键扫描 ```c void Keyboard_Process(void) { HID_Buffer[0] = 0; HID_Buffer[2] = 0; HID_Buffer[3] = 0; HID_Buffer[4] = 0; HID_Buffer[5] =...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值