PspCidTable句柄表辅助检测隐藏进程

最新推荐文章于 2025-09-24 23:02:04 发布
原创 最新推荐文章于 2025-09-24 23:02:04 发布 · 2.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#检测隐藏进程 #枚举隐藏进程 #Anti-rootkit #句柄表 #ixer

本文介绍了如何通过获取PspCidTable的地址,利用特征码搜索和_KPCR结构来枚举和检测隐藏进程。详细阐述了使用ExEnumHandleTable遍历句柄表的方法,以辅助进行Anti-rootkit操作。

一、获取PspCidTable的地址

1.特征码搜索以下几个函数之一提取Call PspCidTable地址:

PsLookupProcessByProcessId()
PsLookupProcessThreadByCid()
PsLookupThreadByThreadId()

0: kd> u PsLookupProcessByProcessId l 20
nt!PsLookupProcessByProcessId:
805d40de 8bff            mov     edi,edi
805d40e0 55              push    ebp
805d40e1 8bec            mov     ebp,esp
805d40e3 53              push    ebx
805d40e4 56              push    esi
805d40e5 64a124010000    mov     eax,dword ptr fs:[00000124h]
805d40eb ff7508          push    dword ptr [ebp+8]
805d40ee 8bf0            mov     esi,eax
805d40f0 ff8ed4000000    dec     dword ptr [esi+0D4h]
805d40f6 ff35c0495680    push    dword ptr [nt!PspCidTable (805649c0)]	<-就这儿! 特征码:ff 35 E8
805d40fc e859ad0300      call    nt!ExMapHandleToPointer (8060ee5a)
..

/*=========================================
最低0.47元/天 解锁文章
句柄及全局句柄
Harlan的博客
09-01 3484
句柄结构   1.这一块共计两个字节,低字节保留为0,高位字节是给SetHandleInformation这个函数用的,比如写成SetHandleInformation(Handle,HANDLE_FLAG_PROTECT_FROM_CLOSE,HANDLE_FLAG_PROTECT_FROM_CLOSE),那么这个位置将被写入0x02; HANDLE_FLAG_PROTECT_FRO...
Anti Rookit -- 检测隐藏进程
qq_41252520的博客
04-27 1476
检测隐藏进程除了众所周知的枚举进程ID之外,还有枚举句柄的方式。不过今天给大家带来的是第三种方法。
遍历PspCidTable检测隐藏进程
08-11 467
一、PspCidTable概述 PspCidTable也是一个句柄,其格式与普通的句柄是完全一样的,但它与每个进程私有的句柄有以下不同: 1.PspCidTable中存放的对象是系统中所有的进程线程对象,其索引就是PID和TID。 2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有的句柄则存放的是对象头(OBJECT_HE...
PsLookupProcessByProcessId 深度解析:Windows内核中的进程猎手
最新发布
fearhacker的专栏
09-24 365
摘要:本文深入解析Windows内核函数PsLookupProcessByProcessId,该函数通过进程ID获取EPROCESS结构体指针。详细介绍了函数原型、参数、返回值、使用场景(如进程信息查询、遍历监控等)及注意事项(引用计数管理、IRQL限制等)。文章包含实战代码示例,并探讨了进阶技巧(如反调试、进程隐藏)和调试方法,同时强调内核编程需谨慎处理权限边界和系统稳定性。警告:本技术仅限合法学习使用,禁止用于非法目的。
内核PspCidTable句柄遍历获取隐藏进程
CrazyWolf的专栏
09-23 2548
先从WinDBG中来看下PspCidTable. lkd> dd pspcidtable 84196eb4 8ae011c8 00000000 80000018 00000101 84196ec4 800005e0 80000020 00000000 00000000 84196ed4 00000000 00000000 00000000 00000113 84196ee4 0000
[转载]基于pspCidTable进程检测技术
yaneng的专栏
06-18 4440
基于pspCidTable进程检测技术文章作者:gz1x信息来源:邪恶八进制信息安全团队(www.eviloctal.com)一.     pspCidTable概念及内核调试二.     获取pspCidTable的方法三.     几种进程检测方法的对比四.     anti-pspCidTable技术及其他一.     pspCidTable概念及内核调试-----------------
隐藏进程
yaneng的专栏
06-18 1259
本人收集与网络,不知原作者是谁……一:序言下列情况不在讨论之中(没进程)1 通过CreateRemoteThread Inject代码到另一个进程(有种病毒就用这种方法,实现内存感染的;其实还有更多应用)2 通过CreateRemoteThread LoadLibray一dll到另一个进程(屏蔽Ctrl+Alt+Del,就是通过这种方法和SetWindowLog实现)二:进程隐藏1 Hook/In
驱动保护进程_隐藏进程_遍历内核句柄
07-02
1、改进程PID,隐藏自己的进程 2、断链隐藏自己的进程,防PG ...5、遍历进程句柄,并降低指定进程PID的句柄权限,里面有遍历内存进程和每个进程句柄的方法 6、操作debugport,防止调试或者使自己脱离调试,检测调试
易语言源码易语言枚举进程所有句柄源码.rar
03-31
例如,检测占用资源过多的进程,查找恶意软件的隐藏行为,或者在多进程协作的程序中找到特定进程等。 6. **注意事项**: - 使用枚举进程句柄功能时,需要注意权限问题。某些进程可能因为安全原因不允许其他程序...
windows进程句柄权限控制
10-14
在Windows操作系统中,进程句柄权限控制是内核级别的安全机制,它关乎系统资源的访问与管理。进程句柄是Windows系统中用于标识和管理对象(如文件、窗口、设备等)的一种方式,而权限控制则确保了只有拥有适当权限的...
pspCidTable
Mr.Out的专栏
10-14 1237
<br /><br />一.                        pspCidTable概念及内核调试<br />-----------------------------------------------------<br /><br />pspCidTable是内核未导出的HANDLE_TALBE结构,它保存着所有进程和线程对象的指针。<br />只要能遍历这个PspCidTable句柄,就可以遍历到系统的所有进程,包括所有隐藏进程,除非你抹掉pspCidTable...<br /><br
pspcidtable 学习
weixin_33913377的博客
04-06 120
PspCidTable is an undocmented variable in Windows kernel... it containsHANDLE_TABLE... if get address of PspCidTable , i find the follow methods to get it in net... thx for sudami 's artic...
全局句柄
qq_41490873的博客
08-13 629
查找时需要把最低位清0 PspCidTable存的是 _HANDLE_TABLE结构体的指针。 最后通过索引找到的是_EPROCESS _ETHREAD 这种结构体本身,不需要+18h。最后的两个bit位要清0. 如何判断找到的句柄类型是进程还是线程 把找到的值减去18h,通过_OBJECT_HEADER结构体的TYPE 判断。 练习二 通过全局句柄遍历所有进程 ...
隐藏句柄防止结束进程
qq_45844442的博客
07-24 626
三环传入一个指定的PID,驱动将保护通过删除目标进程句柄和PID,这样在任务管理器中将无法结束进程(注意:虽然任务管理器无法结束,但是由于VMware注册了一个回调函数,导致只要自身关闭会发生蓝屏,所以需要把VM3DMP.sys去掉)我所使用的系统是Win7 sp1,不同的系统特征码等也会不一样,请自行提取。
X64下的解析句柄
zfdyq
12-07 3660
一:X64下的句柄的查找: 关于PspCidTable的寻找,我是通过PsLookupProcessByProcessId查找特征码寻找pspCidTable和32位没什么区别。 疑问:我想在KPCR中的KdVersionBlock中寻找,但是64位系统不知道为什么总是NULL,各位牛牛知道的求科普~ 寻找PspCidTable: SIZE_T FindCidTable() { SI
学习进程句柄
Sunny_wwc的专栏
11-02 1274
<br />首先打开任务管理器随便选一个进程<br /><br />以explorer.exe为例<br />pid为1388<br />十六进制为56C<br /> <br />用windbg找到对应的EPROCESS<br />kd>!process 1388<br />得到EPROCESS为81e69688  <br /> <br /><br /> <br />再查看进程的EPROCESS<br /><br /> <br />再查看进程句柄HANDLE_TABLE<br /><br /> <br
关于PspCidTable
zfdyq
10-20 981
PspCidTable为一个全局变量,其格式与普通的句柄是完全一样的. 但它与每个进程私有的句柄有以下不同:  1.PspCidTable中存放的对象是系统中所有的进线程对象指针,其索引就是PID和CID  2.PspCidTable中存放是对象体(指向EPROCESS和ETHREAD),而每个进程私有的句柄则存放的是对象头(OBJECT_HEADER)  3.PspCidTable
全局句柄 —— 抹除进程PID
walker的博客
03-16 947
简介 进程 PID 是进程的唯一标识,那么如果我们尝试抹除进程的 PID 会发生什么情况呢? 本次的测试代码以及关于全局句柄,可参考 全局句柄 —— 遍历全局句柄 Code 驱动程序的关键代码如下: // 该句柄进程句柄 if (!RtlCompareUnicodeString(&pWkPOBJECT_TYPE->Name, &unicode_Process, TRUE)) { DbgPrint("句柄类型: Process, 句柄号: %u.\n", uHand
枚举进程——PspCidTable
strongxu的专栏
12-07 1996
    看Windows内核情景分析的时候看到讲PspCidTable中会保存每个进程和线程的CID,就在想可以通过这个来获取到每个进程的PID及相关信息,然后网上一搜,已经有N多人通过这种方法来获取进程了,Iceword也是有这种方法来枚举进程的。Anyway,还是自己实现一遍吧。当然也借鉴了别人的代码。 NTSTATUS DriverEntry(IN PDRIVER_OBJECT Dr
用户模式隐藏进程检测技术与原理
文件内容应该包括但不限于进程隐藏技术的讨论、检测工具的介绍以及检测过程中的常见问题和解决方案。该文档可能被用来教育用户如何在系统中发现和应对可能存在的隐藏进程威胁,是提高系统安全性的实用指南。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值