IoGetCurrentProcess 反汇编分析

最新推荐文章于 2023-11-21 20:00:42 发布
原创 最新推荐文章于 2023-11-21 20:00:42 发布 · 2.3k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#汇编 #struct #list #header #integer #c

本文通过WinDbg反汇编IoGetCurrentProcess函数,详细解析了其内部实现原理,展示了如何从KPCR获取当前线程信息,并最终返回当前进程的EPROCESS结构。

希望高手们飘过,小弟只是把学习心得记一下,以备以后查找,

用WINDBG反汇编IoGetCurrentProcess

如下:

kd> uf IoGetCurrentProcess
nt!PsGetCurrentProcess:
804ef4f2 64a124010000    mov     eax,dword ptr fs:[00000124h]
804ef4f8 8b4044          mov     eax,dword ptr [eax+44h]
804ef4fb c3              ret

可见 IoGetCurrentProcess- 实际调用->PsCetCurrentProcess

 

在WDK 文档中了解到PsGetCurrentProcess

如下:

PEPROCESS 
  PsGetCurrentProcess(
    VOID
    );

看来返回的是一个EPROCESS 的指针

 

从反汇编中返回的是EAX

mov     eax,dword ptr fs:[00000124h]
在内核模式下FS指向的是KPCR(Kernel's Processor Control Region)结构而不是RING3 下PEB

至于KPCR结构的作用我还不了解至知道与线程调度有关,好像每个CPU都有系统给他分配的一个KPCR结构 用于调度线程,

以后再分析

看一下KPCR结构

kd> dt _KPCR
nt!_KPCR
   +0x000 NtTib            : _NT_TIB
   +0x01c SelfPcr          : Ptr32 _KPCR
   +0x020 Prcb             : Ptr32 _KPRCB
   +0x024 Irql             : UChar
   +0x028 IRR              : Uint4B
   +0x02c IrrActive        : Uint4B
   +0x030 IDR              : Uint4B
   +0x034 KdVersionBlock   : Ptr32 Void
   +0x038 IDT              : Ptr32 _KIDTENTRY
   +0x03c GDT              : Ptr32 _KGDTENTRY
   +0x040 TSS              : Ptr32 _KTSS
   +0x044 MajorVersion     : Uint2B
   +0x046 MinorVersion     : Uint2B
   +0x048 SetMember        : Uint4B
   +0x04c StallScaleFactor : Uint4B
   +0x050 DebugActive      : UChar
   +0x051 Number           : UChar
   +0x052 Spare0           : UChar
   +0x053 SecondLevelCacheAssociativity : UChar
   +0x054 VdmAlert         : Uint4B
   +0x058 KernelReserved   : [14] Uint4B
   +0x090 SecondLevelCacheSize : Uint4B
   +0x094 HalReserved      : [16] Uint4B
   +0x0d4 InterruptMode    : Uint4B
   +0x0d8 Spare1           : UChar
   +0x0dc KernelReserved2  : [17] Uint4B
   +0x120 PrcbData         : _KPRCB
既然FS:[0]指向KPCR

那么,eax,dword ptr fs:[00000124h]
是KPCR 120处 KPRCB(内核进程控制快在内中而EPROCESS 在执行层的进程信息快,两者不同)偏移4的一个至给了EAX

 

接下来看一下KPRCB结构

 

nt!_KPRCB
   +0x000 MinorVersion     : Uint2B
   +0x002 MajorVersion     : Uint2B
   +0x004 CurrentThread    : Ptr32 _KTHREAD
   +0x008 NextThread       : Ptr32 _KTHREAD
   +0x00c IdleThread       : Ptr32 _KTHREAD
   ..................................结构太大了就不全部列出来了

他的004偏移处就是指向_KTHREAD(内核线程)指针

那么PsGetCurrentProcess

第一句返汇编就出来了

 

804ef4f2 64a124010000    mov     eax,dword ptr fs:[00000124h] eax=KPCR(fs:[120])->KPRCB偏移4处的地址( CurrentThread    : Ptr32 _KTHREAD

得到EAX就是当前线程的KTHREAD结构

 

查看KTHREAD结构以展开的形式

kd> dt _KTHREAD -v -r
nt!_KTHREAD
struct _KTHREAD, 74 elements, 0x1c0 bytes
   +0x000 Header           : struct _DISPATCHER_HEADER, 6 elements, 0x10 bytes
      +0x000 Type             : UChar
      +0x001 Absolute         : UChar
      +0x002 Size             : UChar
      +0x003 Inserted         : UChar
      +0x004 SignalState      : Int4B
      +0x008 WaitListHead     : struct _LIST_ENTRY, 2 elements, 0x8 bytes
         +0x000 Flink            : Ptr32 to struct _LIST_ENTRY, 2 elements, 0x8 bytes
         +0x004 Blink            : Ptr32 to struct _LIST_ENTRY, 2 elements, 0x8 bytes
   +0x010 MutantListHead   : struct _LIST_ENTRY, 2 elements, 0x8 bytes
      +0x000 Flink            : Ptr32 to struct _LIST_ENTRY, 2 elements, 0x8 bytes
         +0x000 Flink            : Ptr32 to struct _LIST_ENTRY, 2 elements, 0x8 bytes
         +0x004 Blink            : Ptr32 to struct _LIST_ENTRY, 2 elements, 0x8 bytes
      +0x004 Blink            : Ptr32 to struct _LIST_ENTRY, 2 elements, 0x8 bytes
         +0x000 Flink            : Ptr32 to struct _LIST_ENTRY, 2 elements, 0x8 bytes
         +0x004 Blink            : Ptr32 to struct _LIST_ENTRY, 2 elements, 0x8 bytes
   +0x018 InitialStack     : Ptr32 to Void
   +0x01c StackLimit       : Ptr32 to Void
   +0x020 Teb              : Ptr32 to Void
   +0x024 TlsArray         : Ptr32 to Void
   +0x028 KernelStack      : Ptr32 to Void
   +0x02c DebugActive      : UChar
   +0x02d State            : UChar
   +0x02e Alerted          : [2] UChar
   +0x030 Iopl             : UChar
   +0x031 NpxState         : UChar
   +0x032 Saturation       : Char
   +0x033 Priority         : Char
   +0x034 ApcState         : struct _KAPC_STATE, 5 elements, 0x18 bytes
      +0x000 ApcListHead      : [2] struct _LIST_ENTRY, 2 elements, 0x8 bytes
         +0x000 Flink            : Ptr32 to struct _LIST_ENTRY, 2 elements, 0x8 bytes
         +0x004 Blink            : Ptr32 to struct _LIST_ENTRY, 2 elements, 0x8 bytes
      +0x010 Process          : Ptr32 to struct _KPROCESS, 29 elements, 0x6c bytes

第二句反汇编:804ef4f8 8b4044          mov     eax,dword ptr [eax+44h]
既然已经知道EAX->KTHREAD结构那么 这里的EAX=KTHREAD 44偏移处的内容

从上结构得到 44处  +0x010 Process          : Ptr32 to struct _KPROCESS, 29 elements, 0x6c bytes

所以此时EAX=KPROCESS结构的地址,

到此为之 PsGetCurrentProcess 就返回了 RET  那就想不是WDK帮助中不是说返回EPROCESS 的指针吗?这里怎么返回

了KPROCESS PCB的指针地址呢,,纳闷啊,我想了半天才明白,

原因是EPROCESS 的第一项就只KPROCESS PCB 既然得到了EPROCESS第一项的地址,也就可以说得到了EPROCESS的地址啊,

所以说PsGetCurrentProcess 既返回了当前进程的KPROCESS PCB 结构又返回了执行体的EPROCESS结构

 

EPROCESS 如下:

kd> dt _EPROCESS
nt!_EPROCESS
   +0x000 Pcb              : _KPROCESS
   +0x06c ProcessLock      : _EX_PUSH_LOCK
   +0x070 CreateTime       : _LARGE_INTEGER
   +0x078 ExitTime         : _LARGE_INTEGER
.........................

 

大部分从网上学习而来,我也在不断探索中,希望对大家有帮助,这样的文摘网上多的是,我也是为了自己学习留下笔记,

有什么错误大家指出,我们共同进步,,谢谢,

 

如何在驱动程序(SYS)中得到当前进程的完整路径和进程名?
xstudio的专栏
05-08 2281
 首先利用PsGetCurrentProcess或IoGetCurrentProcess函数得到当前进程的句柄,这个句柄是指向_EPROCESS结构的指针,_EPROCESS的结构如下:typedef struct _EPROCESS    {    KPROCESS                     Pcb;    NTSTATUS                    
PsGetCurrentProcess
我爱密码学
08-27 3226
PsGetCurrentProcess的定义如下:PsGetCurrentProcessThe PsGetCurrentProcess routine returns a pointer to the process of the current thread.PEPROCESS   PsGetCurrentProcess(    VOID    );ParametersNone Return ValuePsGetCurrentProcess returns a pointer to an opaque p
通过PsGetCurrentProcess函数获取函数名
weixin_30662011的博客
12-07 236
通过PsGetCurrentProcess函数来获取当前调用驱动的进程的EPROCESS结构的地址.EPROCESS结构的0x174偏移处存放着进程名.思路如下:驱动程序的加载函数DriverEntry是运行在System进程中的.(1) 通过PsGetCurrentProcess可以获取System进程的内核EPROCESS结构的地址,(2) 从该地址开始寻找"System"字符串.(3) 找到...
如何在驱动程序(SYS)中得到当前进程的完整路径和进程名?(转)
11-15 1109
  首先利用PsGetCurrentProcess或IoGetCurrentProcess函数得到当前进程的句柄,这个句柄是指向_EPROCESS结构的指针,_EPROCESS的结构如下: typedef struct _EPROCESS { KPROCESS Pcb; NTSTATUS ExitStatus; KEVENT LockEvent; DWORD LockCount; QWORD
线程同步(2) - 内核模式下的线程同步
收集学习过程中对自己有帮助的牛人文章
11-29 2124
转载自:http://mzf2008.blog.163.com/blog/static/355997862010112041821953/ 1.内核模式下的等待 NTSTATUS    KeWaitForSingleObject(     IN PVOID  Object,     IN KWAIT_REASON  WaitReason,     IN KPROCE
鬼影技术分析
09-13
"鬼影技术分析" 鬼影技术分析是一种复杂的病毒技术,通过hook和inline hook来控制操作系统的启动过程,并在系统完全加载之前获得执行权限。本技术主要通过以下几个步骤来实现: 首先,病毒会将自身复制到内存当中...
鬼影技术分析:MBR病毒执行流程揭秘
"鬼影技术分析" 鬼影技术是一种高级的恶意软件感染策略,它涉及到对主引导记录(Master Boot Record, MBR)的篡改,以此来实现病毒的持久性和隐蔽性。这种技术通常被用来确保病毒在操作系统启动时能够优先执行,...
Vista下动态开启Local kernel Debug的实现与分析
10-04
VistaLKD工具简化了Local Kernel Debug的启用过程,通过工具运行后的KdSystemDebugControl反汇编代码可以看出,它可能通过修改函数入口点或者注入代码来绕过原生调试限制,使得调试可以在不重启的情况下进行。...
ring3-kit:使用NT API挂钩从任务管理器隐藏进程(NtQuerySystemInformation)
05-27
ring3-kit 使用NT挂钩(NtQuerySystemInformation)从任务管理器中隐藏进程。 一个简单的Ring-3(用户模式)rootkit。 如何 将API函数NtQuerySystemInformation()与我们自己的函数挂钩,该函数对任务管理器隐藏...
******************************************************************************* nt!DbgBreakPointWithStatus: fffff805`7affd0b0 cc int 3 kd> ed nt!Kd_DEFAULT_Mask 0xFFFFFFFF kd> ed nt!Kd_IHVDRIVER_Mask 0xFFFFFFFF kd> g [+] [DriverEntry] 驱动加载开始 [+] [DriverEntry] 驱动加载成功 [+] [ProcessNotifyCallback] 目标进程 oxygen.exe 创建 (PID: 2852) [+] [ProcessNotifyCallback] 工作线程已创建 [+] Worker thread started for hook installation [+] [InstallHook] 找到目标函数地址: FFFFF8057B2EFB60 [PTE_HOOK] 写入前内存 (0xFFFFCF812E591000): F5 55 75 FF 77 F5 DF F7 FD F5 75 5D 7F 75 [PTE_HOOK] 写入后内存 (0xFFFFCF812E591000): FF 25 00 00 00 00 E0 14 2B 80 05 F8 FF FF [PTE_HOOK] 跳板指令写入成功: 0xFFFFCF812E591000 -> 0xFFFFF805802B14E0 [PTE_HOOK] Hook安装成功!跳板指令: jmp [0xFFFFCF812E591006] -> 0xFFFFF805802B14E0 [+] [InstallHook] Hook 成功安装. 跳板地址: FFFFCF812E591000 Break instruction exception - code 80000003 (first chance) obpcallback!InstallHook+0xf6: fffff805`802b1396 cc int 3 kd> g Break instruction exception - code 80000003 (first chance) ******************************************************************************* * * * You are seeing this message because you pressed either * * CTRL+C (if you run console kernel debugger) or, * * CTRL+BREAK (if you run GUI kernel debugger), * * on your debugger machine's keyboard. * * * * THIS IS NOT A BUG OR A SYSTEM CRASH * * * * If you did not intend to break into the debugger, press the "g" key, then * * press the "Enter" key now. This message might immediately reappear. If it * * does, press "g" and "Enter" again. * * * ******************************************************************************* nt!DbgBreakPointWithStatus: fffff805`7affd0b0 cc int 3 kd> u FFFFCF812E591000 ffffcf81`2e591000 ff2500000000 jmp qword ptr [ffffcf81`2e591006] ffffcf81`2e591006 e014 loopne ffffcf81`2e59101c ffffcf81`2e591008 2b8005f8ffff sub eax,dword ptr [rax-7FBh] ffffcf81`2e59100e ffd5 call rbp ffffcf81`2e591010 fd std ffffcf81`2e591011 5f pop rdi ffffcf81`2e591012 dd75f5 fnsave [rbp-0Bh] ffffcf81`2e591015 5d pop rbp kd> dq 0xFFFFCF812E591000 ffffcf81`2e591000 14e00000`000025ff d5ffffff`f805802b ffffcf81`2e591010 f77d5df5`75dd5ffd f5f57d75`5f755777 ffffcf81`2e591020 7555555f`d5555d5d 55f5555d`7d555555 ffffcf81`2e591030 55555555`55555555 55555555`55555555 ffffcf81`2e591040 55555555`55555555 55555555`55555555 ffffcf81`2e591050 55555555`55555555 55555555`55555555 ffffcf81`2e591060 55555555`55555555 55555555`55555555 ffffcf81`2e591070 55555555`55555555 55555555`55555555 kd> u FFFFF805802B14E0 obpcallback!MyObReferenceObjectByHandleWithTag [C:\Users\17116\source\repos\obpcallback\obpcallback\源.cpp @ 1003]: fffff805`802b14e0 44884c2420 mov byte ptr [rsp+20h],r9b fffff805`802b14e5 4c89442418 mov qword ptr [rsp+18h],r8 fffff805`802b14ea 89542410 mov dword ptr [rsp+10h],edx fffff805`802b14ee 48894c2408 mov qword ptr [rsp+8],rcx fffff805`802b14f3 4883ec68 sub rsp,68h fffff805`802b14f7 ff15fb2b0000 call qword ptr [obpcallback!_imp_IoGetCurrentProcess (fffff805`802b40f8)] fffff805`802b14fd 4889442448 mov qword ptr [rsp+48h],rax fffff805`802b1502 488b4c2448 mov rcx,qword ptr [rsp+48h] kd> u FFFFF805802B14E0 obpcallback!MyObReferenceObjectByHandleWithTag [C:\Users\17116\source\repos\obpcallback\obpcallback\源.cpp @ 1003]: fffff805`802b14e0 44884c2420 mov byte ptr [rsp+20h],r9b fffff805`802b14e5 4c89442418 mov qword ptr [rsp+18h],r8 fffff805`802b14ea 89542410 mov dword ptr [rsp+10h],edx fffff805`802b14ee 48894c2408 mov qword ptr [rsp+8],rcx fffff805`802b14f3 4883ec68 sub rsp,68h fffff805`802b14f7 ff15fb2b0000 call qword ptr [obpcallback!_imp_IoGetCurrentProcess (fffff805`802b40f8)] fffff805`802b14fd 4889442448 mov qword ptr [rsp+48h],rax fffff805`802b1502 488b4c2448 mov rcx,qword ptr [rsp+48h] 检测打印结果,看看是什么原因导致hook没效果
最新发布
06-25
我们注意到在调试输出中,Hook函数...根据调试输出和反汇编分析,Hook没有生效的核心原因在于**跳板指令中的地址值被截断**,导致跳转目标错误。以下是详细分析和解决方案: ### 问题...
进程挂靠后使用PsGetCurrentProcessId获取的进程ID不准
Sven的忘却日记
06-01 2084
如题,在使用KeStackAttachProcess挂靠到目标进程后,又调用了一系列子函数,此时并没有把EPROCESS传进去。 PEPROCESS pProcess = NULL; KAPC_STATE apc; NTSTATUS status = PsLookupProcessByProcessId((HANDLE)pid, &pProcess); if (NT_SUCCESS(status)) { KeStackAttachProcess(pProcess, &apc);
获取当前进程.线程。过程一探。
Xed
09-25 902
PsGetCurrentProcess PsGetCurrentThread   这2个函数 前者是获取当前进程 后者是获取当前线程。 -------- 他们的反汇编代码如下 lkd> u IoGetCurrentProcess nt!PsGetCurrentP
驱动程序的同步处理
Masimaro的专栏
01-09 2173
驱动程序运行在系统的内核地址空间,而所有进程共享这2GB的虚拟地址空间,所以绝大多数驱动程序是运行在多线程环境中,有的时候需要对程序进行同步处理,使某些操作是严格串行化的,这就要用到同步的相关内容。 异步是指两个线程各自运行互不干扰,而当某个线程运行取决与另一个线程,也就是要在线程之间进行串行化处理时就需要同步机制。中断请求级别在进行I/O操作时会产生中断,以便告知CPU当前I/O操作已完成,此时
通过ActiveProcessLinks遍历进程
pureman_mega的博客
12-26 937
进程的遍历有多种方法。在应用程序里可以使用CreateToolHelp32SnapShot函数先做个进程快照(snapshot),然后通过返回的数据进行遍历。在内核编程里可以通过内核数据结构来实现。 内核结构EPROCESS(执行体进程块 executive process)是一个不透明(opaque)的结构体,大概意思就是这个结构不对外公开,但是还是可以通过WinDbg获取它的各成员名和类型
恶意代码分析实战 Lab 10-3 习题笔记
isinstance的博客
03-20 1382
问题 1.这个程序做了些什么? 解答:书上说本次实验包括一个驱动程序和一个可执行文件,还要把驱动程序放到C:\Windows\System32目录下面,我们试试 把文件放到那个目录之后,点击执行就会跳出这个IE,然后不断的跳IE出来,到我打完这段话,已经跳了这么多的窗口出来了 然后我们开始分析,先是安装书上的开始静态分析 我们先分析的是exe文件 在KERNEL32.DLL...
5.4 Windows驱动开发:内核通过PEB取进程参数
优快云
11-21 8460
PEB结构`(Process Envirorment Block Structure)`其中文名是进程环境块信息,进程环境块内部包含了进程运行的详细参数信息,每一个进程在运行后都会存在一个特有的PEB结构,通过附加进程并遍历这段结构即可得到非常多的有用信息。 在应用层下,如果想要得到PEB的基地址只需要取`fs:[0x30]`即可,TEB线程环境块则是`fs:[0x18]`,如果在内核层想要得到应用层进程的PEB信息我们需要调用特定的内核函数来获取。
内核级进程遍历
bcbobo21cn的专栏
01-22 570
内核级进程遍历;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值