逆--Win7x64 UserTimer结构获取,NtUserSetTimer,_SetTimer,InternalSetTimer 枚举进程定时器

最新推荐文章于 2022-10-16 04:54:08 发布
最新推荐文章于 2022-10-16 04:54:08 发布
阅读量3.6k 收藏 1
点赞数 1
分类专栏: 逆向 文章标签: PTIMER Win7x64TIMER结构 USERTIMER 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/51465496
版权

用户层调用SetTimer-->内核NtUserSetTimer处理

NtUserSetTimer -->_SetTimer --> InternalSetTimer-->FindTimer / HMAllocObject

去看看NtUserSetTimer
函数原型 
UINT_PTR
APIENTRY
NtUserSetTimer
(
   HWND hWnd,
   UINT_PTR nIDEvent,
   UINT uElapse,
   TIMERPROC lpTimerFunc
)

.text:FFFFF97FFF084BD0 ; __int64 __fastcall NtUserSetTimer(HWND hWnd, __int64 nIDTimer, __int64 uElapse, __int64 lpTimerFunc)
.text:FFFFF97FFF084BD0 NtUserSetTimer  proc near               ; DATA XREF: .text:FFFFF97FFF0D30C0o
.text:FFFFF97FFF084BD0                                         ; .pdata:FFFFF97FFF2E9AF0o ...
.text:FFFFF97FFF084BD0
.text:FFFFF97FFF084BD0 hWnd            = qword ptr  8
.text:FFFFF97FFF084BD0 nIDTime         = qword ptr  10h
.text:FFFFF97FFF084BD0 uElapse         = qword ptr  18h
.text:FFFFF97FFF084BD0 lpTimerFuc      = qword ptr  20h
.text:FFFFF97FFF084BD0
.text:FFFFF97FFF084BD0                 mov     rax, rsp
.text:FFFFF97FFF084BD3                 mov     [rax+8], rbx
.text:FFFFF97FFF084BD7                 mov     [rax+10h], rbp
.text:FFFFF97FFF084BDB                 mov     [rax+18h], rsi
.text:FFFFF97FFF084BDF                 mov     [rax+20h], rdi
.text:FFFFF97FFF084BE3                 push    r12
.text:FFFFF97FFF084BE5                 sub     rsp, 20h
.text:FFFFF97FFF084BE9                 mov     rdi, rcx        ; hWnd
.text:FFFFF97FFF084BEC                 mov     rcx, cs:gpresUser
.text:FFFFF97FFF084BF3                 mov     rbp, r9
.text:FFFFF97FFF084BF6                 mov     esi, r8d
.text:FFFFF97FFF084BF9                 mov     r12, rdx
.text:FFFFF97FFF084BFC                 call    cs:__imp_ExEnterPriorityRegionAndAcquireResourceExclusive
.text:FFFFF97FFF084C02                 xor     ebx, ebx
.text:FFFFF97FFF084C04                 mov     cs:gbValidateHandleForIL, 1
.text:FFFFF97FFF084C0B                 mov     cs:gptiCurrent, rax
.text:FFFFF97FFF084C12                 cmp     rdi, rbx
.text:FFFFF97FFF084C15                 jz      short loc_FFFFF97FFF084C26 ; tagWND*
.text:FFFFF97FFF084C17                 mov     rcx, rdi
.text:FFFFF97FFF084C1A                 call    ValidateHwnd    ; 据我所知这个返回tagWND*
.text:FFFFF97FFF084C1F                 cmp     rax, rbx
.text:FFFFF97FFF084C22                 jnz     short loc_FFFFF97FFF084C29
.text:FFFFF97FFF084C24                 jmp     short loc_FFFFF97FFF084C51
.text:FFFFF97FFF084C26 ; ---------------------------------------------------------------------------
.text:FFFFF97FFF084C26
.text:FFFFF97FFF084C26 loc_FFFFF97FFF084C26:                   ; CODE XREF: NtUserSetTimer+45j
.text:FFFFF97FFF084C26                 mov     rax, rbx        ; tagWND*
.text:FFFFF97FFF084C29
.text:FFFFF97FFF084C29 loc_FFFFF97FFF084C29:                   ; CODE XREF: NtUserSetTimer+52j
.text:FFFFF97FFF084C29                 mov     ecx, 0Ah
.text:FFFFF97FFF084C2E                 mov     r9, rbp         ; lpTimerFunc
.text:FFFFF97FFF084C31                 mov     rdx, r12        ; nTimerID
.text:FFFFF97FFF084C34                 cmp     esi, ecx
.text:FFFFF97FFF084C36                 cmovb   esi, ecx
.text:FFFFF97FFF084C39                 mov     ecx, 7FFFFFFFh
.text:FFFFF97FFF084C3E                 cmp     esi, ecx
.text:FFFFF97FFF084C40                 cmova   esi, ecx
.text:FFFFF97FFF084C43                 mov     rcx, rax        ; tagWND*
.text:FFFFF97FFF084C46                 mov     r8d, esi        ; uElapse
.text:FFFFF97FFF084C49                 call    _SetTimer       ; _SetTimer
.text:FFFFF97FFF084C49                                         ; (
.text:FFFFF97FFF084C49                                         ; tagWND* hWnd_Object
.text:FFFFF97FFF084C49                                         ; __int64 nTimerID
.text:FFFFF97FFF084C49                                         ; __int64 elapse
.text:FFFFF97FFF084C49                                         ; __int64 lpTimerFunc
.text:FFFFF97FFF084C49                                         ; )
.text:FFFFF97FFF084C4E                 mov     rbx, rax
.text:FFFFF97FFF084C51
.text:FFFFF97FFF084C51 loc_FFFFF97FFF084C51:                   ; CODE XREF: NtUserSetTimer+54j
.text:FFFFF97FFF084C51                 call    UserSessionSwitchLeaveCrit
.text:FFFFF97FFF084C56                 mov     rbp, [rsp+28h+nIDTime]
.text:FFFFF97FFF084C5B                 mov     rsi, [rsp+28h+uElapse]
.text:FFFFF97FFF084C60                 mov     rdi, [rsp+28h+lpTimerFuc]
.text:FFFFF97FFF084C65                 mov     rax, rbx
.text:FFFFF97FFF084C68                 mov     rbx, [rsp+28h+hWnd]
.text:FFFFF97FFF084C6D                 add     rsp, 20h
.text:FFFFF97FFF084C71                 pop     r12
.text:FFFFF97FFF084C73                 retn
.text:FFFFF97FFF084C73 ; ---------------------------------------------------------------------------
.text:FFFFF97FFF084C74                 db 8 dup(90h)
.text:FFFFF97FFF084C74 NtUserSetTimer  endp

据我所知
call ValidateHwnd
会得到一个窗口对象 tagWND*
内部某个地方应该call了UserGetWindowObject

这个函数检验了hwnd的有效性,然后就call _SetTimer


看下_SetTimer 
SetTimer
(
tagWND* hWnd_Object
__int64 nTimerID
__int64 elapse
__int64 lpTimerFunc
)

.text:FFFFF97FFF084C7C ; __int64 __fastcall SetTimer(__int64 pTagWND, __int64 nTimerID, __int64 elapse, __int64 lpTimerFunc)
.text:FFFFF97FFF084C7C _SetTimer       proc near               ; CODE XREF: NtUserSetTimer+79p
.text:FFFFF97FFF084C7C                                         ; xxxMNDoScroll+86p ...
.text:FFFFF97FFF084C7C
.text:FFFFF97FFF084C7C var_local_flag  = dword ptr -18h
.text:FFFFF97FFF084C7C pTagWnd         = qword ptr  8
.text:FFFFF97FFF084C7C nTimerID        = qword ptr  10h
.text:FFFFF97FFF084C7C elapse          = qword ptr  18h
.text:FFFFF97FFF084C7C
.text:FFFFF97FFF084C7C                 mov     [rsp+pTagWnd], rbx
.text:FFFFF97FFF084C81                 mov     [rsp+nTimerID], rbp
.text:FFFFF97FFF084C86                 mov     [rsp+elapse], rsi
.text:FFFFF97FFF084C8B                 push    rdi
.text:FFFFF97FFF084C8C                 sub     rsp, 30h
.text:FFFFF97FFF084C90                 mov     rdi, r9         ; lpTimerFunc
.text:FFFFF97FFF084C93                 mov     esi, r8d        ; elapse
.text:FFFFF97FFF084C96                 mov     rbp, rdx        ; nTimerID
.text:FFFFF97FFF084C99                 mov     rbx, rcx        ; pTagWND
.text:FFFFF97FFF084C9C                 test    rcx, rcx        ; 如果pTagWND为NULL 跳转
.text:FFFFF97FFF084C9F                 jz      short loc_FFFFF97FFF084CC2 ; flag
.text:FFFFF97FFF084CA1                 call    cs:__imp_PsGetCurrentProcessWin32Process
.text:FFFFF97FFF084CA7                 mov     r10, [rbx+10h]  ; tagWND+0x10是_THRDESKHEAD结构下的tagTHREADINFO
.text:FFFFF97FFF084CAB                 cmp     rax, [r10+158h] ; tagTHREADINFO +0x158是tagPROCESSINFO结构 第一个成员是EPROCESS
.text:FFFFF97FFF084CB2                 jz      short loc_FFFFF97FFF084CC2 ; 相同跳转 如果当前EPROCESS和结构下的EPROCESS相同 判断是不是自己应该
.text:FFFFF97FFF084CB4                 mov     ecx, 5
.text:FFFFF97FFF084CB9                 call    UserSetLastError
.text:FFFFF97FFF084CBE                 xor     eax, eax
.text:FFFFF97FFF084CC0                 jmp     short loc_FFFFF97FFF084CD8
.text:FFFFF97FFF084CC2 ; ---------------------------------------------------------------------------
.text:FFFFF97FFF084CC2
.text:FFFFF97FFF084CC2 loc_FFFFF97FFF084CC2:                   ; CODE XREF: _SetTimer+23j
.text:FFFFF97FFF084CC2                                         ; _SetTimer+36j
.text:FFFFF97FFF084CC2                 and     [rsp+38h+var_local_flag], 0 ; flag
.text:FFFFF97FFF084CC7                 mov     r9, rdi         ; lpTimerFunc
.text:FFFFF97FFF084CCA                 mov     r8d, esi
最低0.47元/天 解锁文章
zhuhuibeishadiao
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wm_timer.rar_KillTimer_WM_TIMER_ontimer_settimer
09-22
这个`wm_timer.rar_KillTimer_WM_TIMER_ontimer_settimer`主题涉及到的是如何使用`SetTimer`、`OnTimer`和`KillTimer`这三个函数来处理与计时相关的事件。以下是对这些知识点的详细解释: 1. **SetTimer**:这是...
一种制作微秒级精度定时器的方法.rar_C++ 定时器_timer_微秒定时器_高精度定时_高精度定时器
07-15
在Windows操作系统中,实现微秒级别的高精度定时器是一项挑战,因为系统API通常提供的定时器精度受限于系统调度和硬件能力。本主题将深入探讨如何使用C++来创建一个能够达到微秒级精度的定时器。 首先,我们需要...
驱动开发:内核枚举DpcTimer定时器
热门推荐
CSDN
10-16 1万+
在笔者上一篇文章`《驱动开发:内核枚举IoTimer定时器》`中我们通过`IoInitializeTimer`这个API函数为跳板,向下扫描特征码获取到了`IopTimerQueueHead`也就是IO定时器的队列头,本章学习的枚举DPC定时器依然使用特征码扫描,唯一不同的是在新版系统中DPC是被异或加密的,想要找到正确的地址,只是需要在找到DPC表头时进行解密操作即可。
xp下枚举KTIMER计时器(包含DPC计时器)
qinqin772的博客
01-04 1116
[此次枚举发生在  32BIT XP sp3 下,别的版本暂时没有试验过] 【前提】 DPC定时器  中描述,KeSetTimerEx中,引用到了 KiInsertTreeTimer ,这个符号是个 FASTCAL L型的函数调用,但是 其并没有使用EDX。 第一个参数 通过 ECX 将 KTIMER的指针传入, 第二个,第三个参数 靠压栈实现,这两个参数就是 LARGE_INT
枚举内常用方法+定时器的常用书写(复制用)
幻世
12-08 218
一、枚举内的常用方法 package com.control.platform.api.enums; import com.hilife.internal.common.enums.CommonIntEnum; import lombok.AllArgsConstructor; import lombok.Getter; import java.util.Arrays; import java.util.List; /** * @author wyf * @createDate 2021/11
[再mark] 系统注册的dpc,枚举定时器相关的……
Returns' Station
06-06 1447
续 http://hi.baidu.com/andriy_aolala/blog/item/7cff8a344b67d0a3d1a2d3d1.html 刚没事儿又看了下~mark而已啊~   1. ExpTimerDpcRoutine   R3程序调用NtCreateTimer   创建句柄对应Etimer,etimer包含一个ktimer结构,最
TCP 四种定时器
xupeng1644的博客
03-01 1421
TCP使用四种定时器Timer,也称为“计时器”): 重传计时器:Retransmission Timer 坚持计时器:Persistent Timer 保活计时器:Keeplive Timer 时间等待计时器:Time_Wait Timer。 重传计时器 重传定时器:为了控制丢失的报文段或丢弃的报文段,也就是对报文段确认的等待时间。当TCP发送报文段时,就创建这个特定报文段的重传计时器,可能发...
cSharp-settimer.zip_C settimer killtimer_C# settimer
09-24
在C#编程中,`SetTimer` 和 `KillTimer` 是两个重要的函数,它们主要用于创建和销毁定时器。这些函数通常用于实现特定时间间隔内的事件触发或者延时操作。在这个`cSharp-settimer.zip`中,包含了一个演示如何使用这...
test_timer.rar_C++ 定时器_c++ 定时器
09-24
`test_timer.rar`中的内容可能包含了一个实现高精度定时器的C++库或者示例代码,其精度达到了1毫秒。这在实时系统、游戏开发、性能测试、数据采集以及其他对时间敏感的应用中尤其有价值。 在C++中,我们可以使用...
Easy-Model-Clock.zip_VC6.0 曲线_clock win32 c++_easy _easy x_vc6.0
09-20
Windows API提供了`SetTimer`函数来设置定时器,当时间到达预设间隔时,系统会发送`WM_TIMER`消息给我们的窗口。在窗口过程函数中,我们需要处理这个消息,重新绘制钟表以反映当前时间的变化。 具体步骤如下: 1. ...
异步处理(Handler)线程(Thread&Runnable)定时器Timer)Wifi管理(WifiManager&WifiInfo)
颂一家之言
03-06 566
Handler.post(Runnable)方法的执行原理:http://blog.csdn.net/vampire0072009/article/details/43273375 Java中Runnable和Thread的区别:http://developer.51cto.com/art/201203/321042.htm 定时任务:Java中TimerTimerTask的使用 :http
x64驱动遍历 DPC 定时器
LYSM
05-22 764
目的 拿到类似于 PChunter 中的信息: 过程 首先,要拿到系统的 _KPRCB ,也就是 KiProcessorBlock 的地址: 我这里显示了 4 地址,这是因为我的 CPU 是 4 核 —— (垃圾电脑勿喷) 对于 KiProcessorBlock 这个 API , Windows 没有导出: 但是可以通过另一种办法获取到这个地址: // 获取特殊寄存器中的值,拿 _KPRCB ULONG64 PrcbAddress = (ULONG64)__readmsr(0xC0000101)
内核 定时器与IO枚举
墨鱼菜鸡
04-19 136
dpc枚举 https://bbs.pediy.com/thread-204155.htm io定时器 https://blog.csdn.net/qq_26153041/article/details/53978820 https://www.dyxmq.cn/cloud/forgot-and-reset-password-for-typecho.html mysql 数据导出https://...
在VC6中实现全局钩子及枚举窗口功能,设置timer
足迹
03-14 2342
1、新建名称为CServerHook的MFC动态库,选择MFC扩展DLL选项,点击完成。2、系统自动生成ServerHook.cpp文件,但没有ServerHook.h文件,该文件需要手动添加。3、建立导出类CServerHook,ServerHook.h文件内容如下:BOOL _declspec(dllexport)  CALLBACK EnumWindowsProc(HWND hw
[ windows程序设计(programing windows) ] - timer入门
B1aNbian的博客
02-28 426
A timer is an internal routine that repeatedly measures a specified interval, in milliseconds.(这是 microsoft 给出的解释 ) 计时器周期性的给程序一个WM_TIMER消息,该消息的 wParam 参数是计时器的标识符, lParam 参数是被SetTimer函数设置的回调函数Time
Kernel Time和User Time分别指什么
weixin_30710457的博客
09-14 577
比如你的一个程序读取并分析一个文件,读取时会调用系统接口,系统会调用驱动来从物理设备上读取数据这个就是kernel time,除此以外在你自己进程上下文中执行代码占用的时间就是user time了。 这两个合起来准确说应该是你的程序运行过程中一共占用了CPU多少时间。 要看启动花了多少时间,这要看你自己认为什么时候算是启动完成了。比如如果是你自己的代码,在程序开始插入一段取一次时间的代码,在你认为...
枚举进程句柄File,Section,Mutant,Timer关闭Mutex句柄实现游戏多开
u010383647的专栏
09-03 1909
标 题: 枚举进程句柄File,Section,Mutant,Timer关闭Mutex句柄实现游戏多开 作 者: Y4ng 时 间: 2012-09-06 19:50:32 星期四 链 接: http://www.cnblogs.com/Y4ng/archive/2012/09/06/EnumProcessHandle_EnumMutex.html    相信做过游戏多开的朋友就会发现,很多
从病毒开始聊聊那些windows下大杂烩
weixin_34112900的博客
02-07 471
 猪年送安康,祝大家新一年健康、快乐。愿大家都做一个勤奋努力、真诚奉献的人,幸运会永远的眷顾你们。 引子: 某一天饶有兴趣在卡饭上浏览着帖子,故事的相遇就那么简单。当时一条评论勾起我的好奇心,那么好逆向开始。 根据我的习惯,拿到样本我会线上恶意代码分析,直接拉到virustotal之类的网站上,看看是否已经被大多数杀毒软件所能识别,看一些有价值的数据,如下图所示:                 ...
ring0启动一个Win32进程 【译文】
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-23 605
ring0启动一个Win32进程 【译文】 文章原址:http://www.codeproject.com/useritems/KernelExec.asp Download source files - 55 Kb  Download demo project - 27 Kb  介绍 在许多不成功的尝试来试图找到一种方式来以核心模式(KernelMode)来启动可运行的Wi
SetTimer(IDC_TIMER, m_EDIT_SendDataTime, NULL)
最新发布
05-18
这段代码是在 MFC 框架下使用的,作用是创建一个定时器,当计时器到达设定的时间间隔后,会发送一个 WM_TIMER 消息给对应的窗口,以便触发相应的操作。其中,IDC_TIMER定时器的标识符,m_EDIT_SendDataTime 是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值