通过PspCidTable枚举进程

最新推荐文章于 2020-06-05 17:26:00 发布
最新推荐文章于 2020-06-05 17:26:00 发布
阅读量350 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Windows 文章标签: 枚举进程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/liuhaidon1992/article/details/103894328

如果当前进程为System进程,就意味着此次打开的内核对象访问权限属于内核,那么就使用内核句柄表, 内
核句柄与用户句柄不同的地方就在于内核句柄需要或上一个0x80000000即最高位置为1作为标识,
但是实际在使用句柄的时候还是不需要这个最高位值的。进程的句柄表由EPROCESS中的
ObjectTable成员进行管理, 句柄表有3种内存结构分别为一级表,二级表以及三级表。表的结构
由进程中的句柄数决定,属于一个动态增长以及改变的过程,一级表能够存储句柄数为512, 二级为
1024*512,三级表为1024*1024*512。

// 获取PspCidTable地址
PULONG_PTR GetPspCidTable()
{
	UNICODE_STRING uStrName;
	ULONG_PTR pPsLookupProcessByProcessId;
	PULONG_PTR PspCidTable;

	RtlInitUnicodeString(&uStrName, L"PsLookupProcessByProcessId");
	pPsLookupProcessByProcessId = (ULONG_PTR)MmGetSystemRoutineAddress(&uStrName);
	if (!pPsLookupProcessByProcessId)
	{
		KdPrint(("PsLookupProcessByProcessId Can not Find Addresss"));
		return 0;
	}

	KdPrint(("PsLookupProcessByProcessId:%p\n", pPsLookupProcessByProcessId));

	//   488bd1          mov     rdx, rcx
	//   488b0d9149edff  mov     rcx, qword ptr[nt!PspCidTable(fffff800`0402ebc8)]

	for (PUCHAR i = (PUCHAR)pPsLookupProcessByProcessId; i < pPsLookupProcessByProcessId + 0xff; i++)
	{
		// KdPrint(("PspCidTable:%x\n", *i));
		if (*i == 0x48 && *(i + 1) == 0x8b && *(i + 2) == 0xd1)
		{
			PspCidTable = (LONG_PTR*)(*(LONG*)(i + 3 + 3) + 7 + 3 + i);
			KdPrint(("PspCidTable:%p\n", PspCidTable));
			return PspCidTable;
		}
	}
	return 0;
}

//自己实现一个山寨的MyEnumHandleTable,接口和ExEnumHandleTable一样
BOOLEAN
MyEnumHandleTable(
PHANDLE_TABLE HandleTable,
MY_ENUMERATE_HANDLE_ROUTINE EnumHandleProcedure,
PVOID EnumParameter,
PHANDLE Handle
)
{
	ULONG64 i, j, k;
	ULONG_PTR CapturedTable;
	ULONG64 TableLevel;
	PHANDLE_TABLE_ENTRY TableLevel1, *TableLevel2, **TableLevel3;
	BOOLEAN CallBackRetned = FALSE;
	BOOLEAN ResultValue = FALSE;
	ULONG64 MaxHandle;
	//判断几个参数是否有效
	if (!HandleTable
		&& !EnumHandleProcedure
		&& !MmIsAddressValid(Handle))
	{
		return ResultValue;
	}
	//取表基址和表的级数  , TableCode 的低两位用于表示当前句柄表的级数: 0、1、2 分别表示一级表、二级表和三级表。
	CapturedTable = (HandleTable->TableCode)&~3;
	TableLevel = (HandleTable->TableCode) & 3;
	MaxHandle = HandleTable->NextHandleNeedingPool;
	DbgPrint("句柄上限值为0x%X\n", MaxHandle);
	//判断表的等级
	switch (TableLevel)
	{
		case 0:
		{
			//一级表
			TableLevel1 = (PHANDLE_TABLE_ENTRY)CapturedTable;
			DbgPrint("解析一级表 0x%p...\n", TableLevel1);
			for (i = 0; i < MAX_ENTRY_COUNT; i++)
			{
				*Handle = (HANDLE)(i * 4);
				if (TableLevel1[i].Object && MmIsAddressValid(TableLevel1[i].Object))
				{
					//对象有效时,再调用回调函数
					CallBackRetned = EnumHandleProcedure(&TableLevel1[i], *Handle, EnumParameter);
					if (CallBackRetned)  break;
				}
			}
			ResultValue = TRUE;
		}
		break;
		case 1:
		{
			//二级表
			TableLevel2 = (PHANDLE_TABLE_ENTRY*)CapturedTable;
			DbgPrint("解析二级表 0x%p...\n", TableLevel2);
			DbgPrint("二级表的个 数:%d\n", MaxHandle / (MAX_ENTRY_COUNT * 4));
			for (j = 0; j < MaxHandle / (MAX_ENTRY_COUNT * 4); j++)
			{
				TableLevel1 = TableLevel2[j];
				if (!TableLevel1)
					break; //为零则跳出
				for (i = 0; i < MAX_ENTRY_COUNT; i++)
				{
					*Handle = (HANDLE)(j*MAX_ENTRY_COUNT * 4 + i * 4);
					if (TableLevel1[i].Object && MmIsAddressValid(TableLevel1[i].Object))
					{
						//对象有效时,再调用回调函数
						CallBackRetned = EnumHandleProcedure(&TableLevel1[i], *Handle, EnumParameter);
						if (CallBackRetned)  break;
					}
				}
			}
			ResultValue = TRUE;
		}
		break;
		case 2:
		{
			//三级表
			TableLevel3 = (PHANDLE_TABLE_ENTRY**)CapturedTable;
			DbgPrint("解析三级表 0x%p...\n", TableLevel3);
			DbgPrint("三级表的个 数:%d\n", MaxHandle / (MAX_ENTRY_COUNT * 4 * MAX_ADDR_COUNT));
			for (k = 0; k < MaxHandle / (MAX_ENTRY_COUNT * 4 * MAX_ADDR_COUNT); k++)
			{
				TableLevel2 = TableLevel3[k];
				if (!TableLevel2)
					break; //为零则跳出
				for (j = 0; j < MaxHandle / (MAX_ENTRY_COUNT * 4); j++)
				{
					TableLevel1 = TableLevel2[j];
					if (!TableLevel1)
						break; //为零则跳出
					for (i = 0; i < MAX_ENTRY_COUNT; i++)
					{
						*Handle = (HANDLE)(k*MAX_ENTRY_COUNT*MAX_ADDR_COUNT + j*MAX_ENTRY_COUNT + i * 4);
						if (TableLevel1[i].Object && MmIsAddressValid(TableLevel1[i].Object))
						{
							//对象有效时,再调用回调函数
							CallBackRetned = EnumHandleProcedure(&TableLevel1[i], *Handle, EnumParameter);
							if (CallBackRetned)  break;
						}
					}
				}
			}
			ResultValue = TRUE;
		}
		break;
		default:
		{
			DbgPrint("BOOM!\n");
		}
		break;
	}
	DbgPrint("ProcessCount:0x%x", g_ProcessCount);
	return ResultValue;
}

VOID StartEnum()
{
	PULONG_PTR PspCidTable;
	PHANDLE hLastHandle;
	PspCidTable = GetPspCidTable();
	ExEnumHandleTable((PHANDLE_TABLE)*PspCidTable, MyEnumerateHandleRoutine, NULL, &hLastHandle);
}

 

枚举内核句柄表(Windows内核学习笔记)
KOOKNUT的博客
04-14 974
前面我写过有关内核句柄表的一些知识,今天来在这里跟大家分享一下我自己写的内核枚举进程句柄方法。 #include"EnumProcessHandleTable.h" #ifdef _WIN64 #define _HANDLE_TABLE_ 0x200 //硬偏移Win7x64下的HANDLE_TABLE字段在EPROCESS下的偏移 #define _OFFSET_ ...
在Win7 x64通过PspCidTable枚举进程
qq269813279的博客
06-13 2177
PspCidTable存放着一个结构为_HANDLE_TABLE的指针,_HANDLE_TABLE结构记录句柄表的相关信息,句柄表存放着所有进程和线程的对象,其索引就是PID和TID,在WinDbg看一下相关的结构。我们遍历进程对象需要关注两个成员,第一个是TableCode,第二个是NextHandleNeedingPool。TableCode:该成员记录表级和表地址,低2位记录着表的级数,掩掉...
枚举进程——PspCidTable zz
摸爬滚打
05-05 1064
http://blog.csdn.net/strongxu/article/details/4959757 看Windows内核情景分析的时候看到讲PspCidTable中会保存每个进程和线程的CID,就在想可以通过这个表来获取到每个进程的PID及相关信息,然后网上一搜,已经有N多人通过这种方法来获取进程列表了,Iceword也是有这种方法来枚举进程的。Anyway,还是自己实现一遍吧。
PSPCidTable枚举进程
weixin_30552811的博客
03-16 83
  目前网上流传的一些通过PSPCidTable的代码似乎有些问题,以下是我真实使用的一些代码,需要具体的可以向我索要:) 针对XP动态的三层句柄表实现,2000就是固定的三层了,不多说了。   说明一下,PspCidTable仍然不能突破FUTO的限制,不过本人写的一个简单的测试代码是通过EPROCESS 的这个偏移就可以试实现:int OFFSET_MMSUPPORT_WORKINGS...
PspCidTable进程枚举
rongwenbin的专栏
02-25 1565
-------------------------------------这是分割线--------------------------------------- Windows句柄表格式 句柄是Windows对象管理中引入的一个东西,它的实际意义是对象在句柄表中的索引。Windows2000使用的是固定的三层句柄表,而WindowsXP和Windows2003都是使用的动态可扩展的
枚举进程——PspCidTable
strongxu的专栏
12-07 1959
    看Windows内核情景分析的时候看到讲PspCidTable中会保存每个进程和线程的CID,就在想可以通过这个表来获取到每个进程的PID及相关信息,然后网上一搜,已经有N多人通过这种方法来获取进程列表了,Iceword也是有这种方法来枚举进程的。Anyway,还是自己实现一遍吧。当然也借鉴了别人的代码。 NTSTATUS DriverEntry(IN PDRIVER_OBJECT Dr
x64驱动 遍历 PspCidTable 枚举进程和线程
墨鱼菜鸡
06-05 431
介绍 PspCidTable 是一个内核句柄表,存放进程和线程的内核对象(EPROCESS 和 ETHREAD),并通过 PID 和 TID 进行索引(所以进程ID和线程ID不可能相同),ID 号以 4 递增。 获取 ...
PspCidTable句柄表辅助检测隐藏进程
chinghoi's blog
06-26 2169
一、获取PspCidTable的地址 1.特征码搜索以下几个函数之一提取Call PspCidTable地址: PsLookupProcessByProcessId() PsLookupProcessThreadByCid() PsLookupThreadByThreadId() 0: kd> u PsLookupProcessByProcessId l 20 nt!PsLoo
ARK之进程枚举
zhuhuibeishadiao
06-05 2377
A.进程 1.CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS) / Process32First / Process32Next void main() { HANDLE hSnap = CreateToolhelp32Snapshot( TH32CS_SNAPPROCESS, 0 ); if( hSnap == INVALID_HANDLE_VALUE
内核下枚举进程(一)进程活动链
10-08 252
今天学会了一种在内核下枚举进程的方法,写下来与大家共享。用到了的是EPROCESS 结构,EPROCESS 是一个关于进程的结构,此结构很庞大,包括的内容非常丰富.由于此结构未文档化所以用windbg来查看输入dt _eprocess命令查看该结构如下: ntdll!_EPROCESS +0x000 Pcb : _KPROCESS //进程控制...
C# 枚举计算机上的进程
04-23
C# 枚举计算机上的进程C# 枚举计算机上的进程C# 枚举计算机上的进程C# 枚举计算机上的进程C# 枚举计算机上的进程
C#枚举计算机上的进程的实例
01-03
该源码是.Net环境下枚举系统进程的实例,比较简单,希望对初学者有所帮助。
MFC枚举进程内核句柄
12-01
用MFC写的一个枚举进程内核句柄的工具,类似于XT或者process exp查看进程句柄的功能,运行效果见blog
EnumProcessByPsCidTable.rar
01-31
用系统内核变量PsCidTable来枚举进程,前提是PsCidTable没有被XX过
C#获取当前运行的进程
08-20
C#获取当前运行的进程,代码中引入的using System.Diagnostics; 是要用到名称空间中的Process 类,本例将枚举windows当前正在运行的所有进程,并把这些进程信息显示在ListView列表中,这些进程信息主要是进程的ID,优先级,专用内存大小,启动时间并填入ListView控件中,程序利用进程名获取进程数组。
枚举PspCidTable利用API
Sunny_wwc的专栏
01-19 1755
<br />看Windows内核情景分析的时候看到讲PspCidTable中会保存每个进程和线程的CID,就在想可以通过这个表来获取到每个进程的PID及相关信息,然后网上一搜,已经有N多人通过这种方法来获取进程列表了,Iceword也是有这种方法来枚举进程的。Anyway,还是自己实现一遍吧。当然也借鉴了别人的代码。<br />NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)<br />
Pspcidtable遍历进程
LoveQuietly
09-14 614
PspCidTable句柄表                          PspCidTable也是一个句柄表,但是这个句柄表不是私有句柄表,它里面存放的是系统中所有的进程和线程对象,其索引也就是进程ID(PID)或线程ID(TID). 看到我们的表 kd> dd Pspcidtable 8055b260  e1001798 00000002 00000000 00000
C# 枚举进程模块
芳华如梦
07-17 3178
// namespace eMod {     using System;     using IO = System.IO;     using System.Collections.Generic;     using System.Text;     using System.Diagnostics;     using System.Runtime.InteropServ
NT内核函数枚举系统所有进程.
tangjian001的专栏
02-22 1248
//头文件部分.h #define NT_SUCCESS(status)          ((NTSTATUS)(status)>=0) #define STATUS_INFO_LENGTH_MISMATCH ((NTSTATUS)0xC0000004L) #define STATUS_ACCESS_DENIED        ((NTSTATUS)0xC0000022L) #def
PsGetThreadId
最新发布
06-07
如果需要在内核中枚举所有线程,可以使用未公开的 `PspCidTable` 或通过 `PsLookupProcessByProcessId` 获取进程的 `EPROCESS` 结构,然后遍历其线程列表。例如: ```c PLIST_ENTRY ThreadListHead = &EPROCESS->...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值